Hoe kies je de juiste threat intelligence-bronnen?

Door steeds geavanceerdere cyberdreigingen is kennis van het dreigingslandschap een belangrijk element geworden van het beveiligingsbeleid. Threat intelligence is de realisatie hiervan. Het wordt door Gartner omschreven als: Evidence-based kennis – waaronder context, mechanismen, indicatoren, implicaties en concreet advies – van nieuwe of bestaande dreigingen of risico’s voor bedrijfsassets. Deze kennis kan vervolgens gebruikt worden om beslissingen te nemen over de reactie op een dergelijke dreiging.

Het gaat dus om het verzamelen van informatie en deze te ordenen en te analyseren om trends te identificeren (sectoren die vaak doelwit zijn, gebruikte middelen en methodes, enz.). Deze profilering maakt het mogelijk om het beveiligingsbeleid te optimaliseren om beter te kunnen anticiperen op verschillende incidenten.

Daarnaast zorgt het ervoor dat overwerkte IT-teams makkelijker prioriteit kunnen geven aan het mitigeren van dreigingen die zich richten op kritieke bedrijfsassets. Threat intelligence is daarmee een waardevol en zelfs essentieel hulpmiddel bij het nemen van beslissingen met betrekking tot de architectuur en het beveiligen van informatiesystemen.

Welke threat intelligence-bronnen zijn er?

Een groot deel van de effectiviteit van een intelligence- en analysedienst hangt af van het verzamelen van relevante informatie. Maar hoe kies je de juiste informatiebronnen? En welke vragen moet je jezelf stellen voor je deze bronnen kiest?

Daarnaast kan de verzamelde informatie verschillend van aard zijn. Dit kunnen indicators of compromise (IOC) zijn, zoals hashes, domeinnamen, IP-adressen, maar ook signalen die de identificatie van kwaadaardige activiteiten mogelijk maken, zoals het hergebruik van een architectuur of platform dat in het verleden werd gebruikt of het gebruik van bepaalde diensten, technieken of methoden. Threat intelligence-bronnen kunnen grofweg worden ingedeeld in de volgende categorieën:

  • Open source informatie (OSINT);
  • Commerciële en maatschappelijke datastromen;
  • Social media (SOCMINT);
  • Door mensen gemaakte intelligence-, analyse- en correlatiemogelijkheden;
  • Informatie van het deep en dark web.

Definieer het threat intelligence-beleid

Om het threat intelligence-beleid goed te definiëren, moet eerst een balans opgemaakt worden van de huidige situatie. Over welke technische middelen beschikt u? Welke in-house skills heb je? Wordt threat intelligence gebruikt om risicoanalyses te verfijnen, incidenten op te sporen, medewerkers op te leiden of om de technische architectuur te verbeteren?

De belangrijkste valkuil bij het verzamelen van gegevens is door simpelweg de meest populaire bronnen te selecteren in de overtuiging dat dit toegang biedt tot alle informatie die je nodig hebt – dit is vaak niet het geval. Het is essentieel om bronnen zorgvuldig te selecteren op basis van wat je definitie van een threat intelligence-beleid vereist.

Elke bron is anders

Als je de specifieke kenmerken van elk type bron kent, kun je de bronnen kiezen die het beste aansluiten bij de doelstellingen van het threat intelligence-beleid. IOC leveren bijvoorbeeld gegevens die gemakkelijk kunnen worden verwerkt, maar die uiteindelijk een hoger niveau van analyse vereisen om false positives te voorkomen. Van andere bronnen kan het nodig zijn om de verzamelde gegevens eerst te analyseren voordat deze omgezet kunnen worden in bruikbare output.

Openbare bronnen of privébronnen

Er zijn zowel openbare bronnen (OSINT, social media), maar ook particuliere aanbieders van informatie over dreigingen, zoals Trend Micro, SentinelOne en Check Point. Het gebruik van openbare bronnen zal in ieder geval substantiële verwerking en filtering vergen, dus deze keuze zal gepaard moeten gaan met het mobiliseren van dedicated middelen en tools.

Het kiezen van een particuliere aanbieder geeft toegang tot een breder spectrum aan bronnen en vereist minder interne middelen. Het is echter belangrijk dat deze bronnen wel aansluiten op je doelen. Nogmaals, een goed threat intelligence-beleid is gebaseerd op informatie die relevant is voor het bedrijf.

Door zorgvuldig relevante informatiebronnen te selecteren, kunnen de juiste gegevens verzameld worden die, eenmaal geanalyseerd, een waardevol hulpmiddel zullen zijn bij besluitvorming, met name met betrekking tot het identificeren van dreigingen en de reactie hierop. Zo kunnen organisaties de risico’s verkleinen, het aanvallers lastiger maken dan ooit en eindelijk uit de angstcultuur stappen die recente high profile aanvallen hebben gecreëerd.

Gerelateerde artikelen

Bijna alle organisaties misconfigureren cloudomgeving

Bijna alle organisaties misconfigureren cloudomgeving

Ruim 98 procent van de organisaties heeft misconfiguraties in de beveiliging van hun cloudomgeving. En bijna zeven op de tien organisaties maken gebruik van externe gebruikers die admin-rechten hebben voor de cloudomgeving, wat kan leiden tot problemen rond data governance en een hoger risico op data-exfiltratie en -exploitatie.

IT-analytics: de lijm die Operations en Security bindt

IT-analytics: de lijm die Operations en Security bindt

Ooit waren IT-operations en beveiliging twee gescheiden werelden. Gedreven door de behoefte aan robuuste cyberhygiëne en zichtbaarheid zien we beide disciplines echter steeds meer integreren. De juiste analytics krijgen over je IT-omgeving helpt bijvoorbeeld om security en IT-operaties meer met elkaar te laten communiceren.

Cybercrime aanmerkelijk minder gegroeid in 2022

Cybercrime aanmerkelijk minder gegroeid in 2022

De explosieve groei van cybercriminaliteit in 2020 en het eerste deel van 2021 is flink afgenomen. Van oktober 2021 tot en met september 2022 waren er weliswaar méér cybercriminele pogingen (99.506 versus 94.806), maar de toename was met vijf procentpunten opvallend zwakker dan een jaar eerder.

Vertrouwen is geen optie meer

Vertrouwen is geen optie meer

Cyberaanvallen worden steeds geraffineerder. Cybercriminelen zijn beter georganiseerd dan ooit tevoren. Voor organisaties is het de hoogste tijd om in te zien dat het opzeggen van alle vertrouwen de best mogelijke beveiliging is. Anders gezegd: zero trust security is eigenlijk de enige manier waarop we ons kunnen verdedigen tegen cybercriminelen.