Digitale technologieën staan tegenwoordig aan de basis van bijna elke industrie. De automatisering en grotere verbondenheid die zij zich veroorloven, hebben een revolutie teweeggebracht in de economische en culturele instellingen van de wereld – maar zij hebben ook risico’s met zich meegebracht in de vorm van cyberaanvallen. Threat Intelligence is kennis waarmee u dergelijke aanvallen kunt voorkomen of beperken. Informatie over bedreigingen is gebaseerd op gegevens en biedt een context – zoals wie u aanvalt, wat hun motivatie en capaciteiten zijn en op welke indicatoren van aantasting in uw systemen u moet letten – die u helpt geïnformeerde beslissingen over uw beveiliging te nemen.
“Informatie over bedreigingen is op bewijs gebaseerde kennis, met inbegrip van context, mechanismen, indicatoren, implicaties en actiegericht advies over een bestaande of opkomende bedreiging of gevaar voor bedrijfsmiddelen. Deze intelligentie kan worden gebruikt om beslissingen te nemen over de reactie van het subject op die dreiging of dat gevaar.” – Gartner
Voor meer gedetailleerde informatie, bekijk de secties van dit overzicht getiteld “The Threat Intelligence Lifecycle” en “The Types of Threat Intelligence.”
- Why Is Threat Intelligence Important?
- Wie kan profiteren van dreigingsinformatie?
- De levenscyclus van bedreigingsinformatie
- Planning en richting
- Verzameling
- Verwerking
- Analyse
- Verspreiding
- Feedback
- De soorten dreigingsinformatie
- Strategische dreigingsintelligentie
- Tactical Threat Intelligence
- Operationele bedreigingsinformatie
- Machine Learning for Better Threat Intelligence
- Gegevens structureren in entiteiten en gebeurtenissen
- Tekst in meerdere talen structureren via natuurlijke taalverwerking
- Om gebeurtenissen en entiteiten te classificeren en menselijke analisten te helpen prioriteit te geven aan waarschuwingen
- Voorspelling van gebeurtenissen en entiteitseigenschappen door middel van voorspellende modellen
- Gebruikszaken van bedreigingsinformatie
- Reactie op incidenten
- Security Operations
- Vulnerability Management
- Risicoanalyse
- Fraudepreventie
- Security Leadership
- Reductie van risico’s van derden
Why Is Threat Intelligence Important?
De cyberbeveiligingsindustrie wordt vandaag de dag geconfronteerd met tal van uitdagingen – steeds hardnekkiger en sluwere bedreigingsactoren, een dagelijkse stortvloed van gegevens vol vreemde informatie en valse alarmen over meerdere, niet met elkaar verbonden beveiligingssystemen, en een ernstig tekort aan geschoolde professionals.
Sommige organisaties proberen bedreigingsgegevensfeeds in hun netwerk op te nemen, maar weten niet wat ze met al die extra gegevens moeten doen, waardoor de last van analisten toeneemt die wellicht niet over de tools beschikken om te beslissen wat ze prioriteit moeten geven en wat ze moeten negeren.
Een oplossing voor informatie over cyberbedreigingen kan elk van deze problemen aanpakken. De beste oplossingen maken gebruik van machine learning om het verzamelen en verwerken van gegevens te automatiseren, integreren met uw bestaande oplossingen, nemen ongestructureerde gegevens uit ongelijksoortige bronnen op en verbinden vervolgens de punten door context te bieden voor indicatoren van compromittering (IoC’s) en de tactieken, technieken en procedures (TTP’s) van bedreigingsactoren.
Dreigingsinformatie is geschikt voor actie – het komt op tijd, biedt context en kan worden begrepen door de mensen die de beslissingen moeten nemen.
Wie kan profiteren van dreigingsinformatie?
Iedereen! Van informatie over cyberdreigingen wordt algemeen gedacht dat het het domein is van elite-analisten. In werkelijkheid voegt het voor organisaties van elke omvang waarde toe aan alle beveiligingsfuncties.
Wanneer informatie over bedreigingen wordt behandeld als een afzonderlijke functie binnen een breder beveiligingsparadigma in plaats van als een essentieel onderdeel dat elke andere functie aanvult, is het resultaat dat veel van de mensen die het meeste baat zouden hebben bij informatie over bedreigingen, er geen toegang toe hebben wanneer ze die nodig hebben.
De operationele beveiligingsteams zijn routinematig niet in staat de waarschuwingen die ze ontvangen te verwerken – bedreigingsinformatie integreert met de beveiligingsoplossingen die u al gebruikt, waardoor waarschuwingen en andere bedreigingen automatisch worden geprioriteerd en gefilterd. Teams voor kwetsbaarheidsbeheer kunnen nauwkeuriger prioriteiten stellen voor de belangrijkste kwetsbaarheden met toegang tot de externe inzichten en context die worden geboden door informatie over bedreigingen. En fraudepreventie, risicoanalyse en andere beveiligingsprocessen op hoog niveau worden verrijkt door het inzicht dat bedreigingsinformatie biedt in het huidige bedreigingslandschap, met inbegrip van belangrijke inzichten in bedreigingsactoren, hun tactieken, technieken en procedures en meer uit gegevensbronnen over het hele web.
Kijk in ons gedeelte over use cases hieronder voor een diepgaandere blik op hoe elke beveiligingsrol kan profiteren van bedreigingsinformatie.
De levenscyclus van bedreigingsinformatie
Dus, hoe wordt informatie over cyberbedreigingen geproduceerd? Ruwe gegevens zijn niet hetzelfde als inlichtingen – inlichtingen over cyberdreigingen zijn het eindproduct dat voortkomt uit een zesdelige cyclus van gegevensverzameling, verwerking en analyse. Dit proces is een cyclus omdat tijdens de ontwikkeling van inlichtingen nieuwe vragen en hiaten in de kennis aan het licht komen, waardoor nieuwe vereisten voor het verzamelen van gegevens worden vastgesteld. Een effectief inlichtingenprogramma is iteratief en wordt in de loop van de tijd steeds verder verfijnd.
Om de waarde van de door u geproduceerde dreigingsinformatie te maximaliseren, is het van cruciaal belang dat u eerst uw use-cases vaststelt en uw doelstellingen definieert voordat u iets anders doet.
Planning en richting
De eerste stap bij het produceren van bruikbare informatie over bedreigingen is het stellen van de juiste vraag.
De vragen die het beste bijdragen aan de creatie van bruikbare informatie over bedreigingen, zijn gericht op één feit, gebeurtenis of activiteit – brede, open vragen moeten doorgaans worden vermeden.
Prioriteer uw inlichtingendoelstellingen op basis van factoren zoals hoe nauw ze aansluiten bij de kernwaarden van uw organisatie, hoe groot de impact van de uiteindelijke beslissing zal zijn en hoe tijdgevoelig de beslissing is.
Een belangrijke leidende factor in dit stadium is het inzicht in wie het eindproduct zal gebruiken en ervan zal profiteren – gaat de informatie naar een team van analisten met technische expertise die een snel rapport over een nieuwe exploit nodig hebben, of naar een leidinggevende die op zoek is naar een breed overzicht van trends om zijn beslissingen over beveiligingsinvesteringen voor het volgende kwartaal te onderbouwen?
Verzameling
De volgende stap is het verzamelen van ruwe gegevens die voldoen aan de eisen die in het eerste stadium zijn gesteld. Het is het beste om gegevens te verzamelen uit een breed scala aan bronnen – interne bronnen zoals logboeken van netwerkgebeurtenissen en verslagen van eerdere reacties op incidenten, en externe bronnen van het open web, het dark web en technische bronnen.
Dreigingsgegevens worden meestal gezien als lijsten met IoC’s, zoals kwaadaardige IP-adressen, domeinen en bestandshashes, maar het kan ook informatie over kwetsbaarheden omvatten, zoals de persoonlijk identificeerbare informatie van klanten, onbewerkte code van plaksites en tekst uit nieuwsbronnen of sociale media.
Verwerking
Als alle ruwe gegevens eenmaal zijn verzameld, moet u ze sorteren, ordenen met metadatatags en overbodige informatie of valse positieven en negatieven eruit filteren.
Dagelijks verzamelen zelfs kleine organisaties gegevens in de orde van grootte van miljoenen loggebeurtenissen en honderdduizenden indicatoren. Het is te veel voor menselijke analisten om efficiënt te verwerken – het verzamelen en verwerken van gegevens moet worden geautomatiseerd om er iets zinnigs van te maken.
Oplossingen zoals SIEM’s zijn een goede plek om te beginnen, omdat ze het relatief eenvoudig maken om gegevens te structureren met correlatieregels die kunnen worden ingesteld voor een paar verschillende use-cases, maar ze kunnen slechts een beperkt aantal gegevenstypen opnemen.
Als u ongestructureerde gegevens uit veel verschillende interne en externe bronnen verzamelt, hebt u een meer robuuste oplossing nodig. Recorded Future maakt gebruik van machine learning en natuurlijke taalverwerking om tekst uit miljoenen ongestructureerde documenten in zeven verschillende talen te ontleden en ze te classificeren met behulp van taalonafhankelijke ontologieën en gebeurtenissen, zodat analisten krachtige en intuïtieve zoekopdrachten kunnen uitvoeren die verder gaan dan kale trefwoorden en eenvoudige correlatieregels.
Analyse
De volgende stap is om zin te geven aan de verwerkte gegevens. Het doel van analyse is om te zoeken naar potentiële beveiligingsproblemen en de relevante teams op de hoogte te stellen in een formaat dat voldoet aan de inlichtingenvereisten die zijn geschetst in de plannings- en richtingfase.
Threat intelligence kan vele vormen aannemen, afhankelijk van de oorspronkelijke doelstellingen en het beoogde publiek, maar het idee is om de gegevens in een formaat te krijgen dat het publiek zal begrijpen. Dit kan variëren van eenvoudige lijsten met bedreigingen tot door vakgenoten beoordeelde rapporten.
Verspreiding
Het eindproduct wordt vervolgens verspreid onder de beoogde gebruikers. Om bruikbare informatie over bedreigingen te krijgen, moet deze op het juiste moment bij de juiste mensen terechtkomen.
De informatie moet ook worden gevolgd, zodat er continuïteit is tussen de ene informatiecyclus en de volgende en de opgedane kennis niet verloren gaat. Gebruik ticketsystemen die integreren met uw andere beveiligingssystemen om elke stap van de inlichtingencyclus te volgen – elke keer dat er een nieuw inlichtingenverzoek komt, kunnen tickets worden ingediend, opgeschreven, beoordeeld en vervuld door meerdere mensen in verschillende teams, allemaal op één plaats.
Feedback
De laatste stap is wanneer de inlichtingencyclus de cirkel rond maakt, waardoor deze nauw verbonden is met de initiële plannings- en sturingsfase. Na ontvangst van het afgewerkte inlichtingenproduct bekijkt degene die het oorspronkelijke verzoek heeft ingediend, het opnieuw en bepaalt of zijn vragen zijn beantwoord. Dit bepaalt de doelstellingen en procedures van de volgende inlichtingencyclus, waardoor documentatie en continuïteit weer essentieel worden.
De soorten dreigingsinformatie
Zoals blijkt uit de levenscyclus van dreigingsinformatie, ziet het eindproduct er anders uit, afhankelijk van de oorspronkelijke inlichtingenbehoeften, de informatiebronnen en het beoogde publiek. Het kan nuttig zijn om inlichtingen over bedreigingen op basis van deze criteria in een aantal categorieën onder te verdelen.
Dreigingsinformatie wordt vaak onderverdeeld in drie subcategorieën:
- Strategisch – Bredere trends die typisch bedoeld zijn voor een niet-technisch publiek
- Tactisch – Schetsen van de tactieken, technieken en procedures van dreigingsactoren voor een meer technisch publiek
- Operationeel – Technische details over specifieke aanvallen en campagnes
Strategische dreigingsintelligentie
Strategische dreigingsintelligentie biedt een breed overzicht van het dreigingslandschap van een organisatie. Het is bedoeld om beslissingen op hoog niveau door leidinggevenden en andere besluitvormers in een organisatie te onderbouwen – als zodanig is de inhoud over het algemeen minder technisch en wordt deze gepresenteerd in de vorm van rapporten of briefings. Goede strategische informatie moet inzicht geven in gebieden zoals de risico’s die zijn verbonden aan bepaalde actielijnen, algemene patronen in de tactieken en doelwitten van bedreigingsactoren, en geopolitieke gebeurtenissen en trends.
Gemeenschappelijke informatiebronnen voor strategische dreigingsinformatie zijn onder meer:
- Beleidsdocumenten van natiestaten of niet-gouvernementele organisaties
- Nieuws van lokale en nationale media, branche- en vakspecifieke publicaties of andere deskundigen op dit gebied
- White papers, onderzoeksrapporten en andere inhoud die door beveiligingsorganisaties is geproduceerd
Het produceren van sterke strategische dreigingsinformatie begint met het stellen van gerichte, specifieke vragen om de inlichtingenbehoeften te bepalen. Er zijn ook analisten voor nodig met expertise die verder gaat dan de typische vaardigheden op het gebied van cyberbeveiliging – met name een sterk begrip van sociaal-politieke en zakelijke concepten.
Hoewel het eindproduct niet-technisch is, vereist het produceren van effectieve strategische inlichtingen diepgaand onderzoek van enorme hoeveelheden gegevens, vaak in meerdere talen. Dat kan het verzamelen en verwerken van gegevens in eerste instantie te moeilijk maken om handmatig uit te voeren, zelfs voor die zeldzame analisten die beschikken over de juiste taalvaardigheid, technische achtergrond en vakkennis. Een oplossing voor bedreigingsinformatie die het verzamelen en verwerken van gegevens automatiseert, helpt deze last te verminderen en stelt analisten die niet over zoveel expertise beschikken in staat effectiever te werken.
Tactical Threat Intelligence
Tactical threat intelligence geeft een overzicht van de tactieken, technieken en procedures (TTP’s) van bedreigingsactoren. Het moet verdedigers helpen om in specifieke termen te begrijpen hoe hun organisatie kan worden aangevallen en wat de beste manieren zijn om zich tegen die aanvallen te verdedigen of ze te beperken. De informatie bevat meestal een technische context en wordt gebruikt door personeel dat direct betrokken is bij de verdediging van een organisatie, zoals systeemarchitecten, systeembeheerders en beveiligingspersoneel.
Rapporten van beveiligingsleveranciers zijn vaak de gemakkelijkste manier om informatie over tactische bedreigingen te krijgen. Zoek in rapporten naar informatie over de aanvalsvectoren, -hulpmiddelen en -infrastructuur die aanvallers gebruiken, met inbegrip van specifieke informatie over welke kwetsbaarheden het doelwit zijn en welke exploits aanvallers gebruiken, evenals welke strategieën en hulpmiddelen zij mogelijk gebruiken om detectie te voorkomen of te vertragen.
Tactische informatie over bedreigingen moet worden gebruikt om verbeteringen in bestaande beveiligingscontroles en -processen aan te brengen en de reactie op incidenten te versnellen. Omdat veel van de vragen die door tactische informatie worden beantwoord, uniek zijn voor uw organisatie en op korte termijn moeten worden beantwoord – bijvoorbeeld: “Is deze kritieke kwetsbaarheid die wordt misbruikt door bedreigingsactoren die zich richten op mijn branche, aanwezig in mijn systemen? – Het hebben van een oplossing voor bedreigingsinformatie die gegevens uit uw eigen netwerk integreert, is van cruciaal belang.
Operationele bedreigingsinformatie
Operationele informatie is kennis over cyberaanvallen, gebeurtenissen of campagnes. Het geeft gespecialiseerde inzichten die incidentresponsteams helpen de aard, de intentie en de timing van specifieke aanvallen te begrijpen.
Omdat dit gewoonlijk technische informatie bevat – informatie zoals welke aanvalsvector wordt gebruikt, welke kwetsbaarheden worden uitgebuit of welke commando- en controledomeinen worden gebruikt – wordt dit soort informatie ook wel technische dreigingsinformatie genoemd. Een veelgebruikte bron van technische informatie zijn threat data feeds, die zich meestal richten op één type indicator, zoals hashes van malware of verdachte domeinen.
Maar als technische informatie over bedreigingen strikt wordt opgevat als informatie die afkomstig is van technische informatie zoals threat data feeds, dan zijn technische en operationele informatie over bedreigingen niet helemaal synoniem – meer als een Venn-diagram met enorme overlappingen. Andere bronnen van informatie over specifieke aanvallen kunnen afkomstig zijn uit gesloten bronnen, zoals het onderscheppen van de communicatie van dreigersgroepen, hetzij door infiltratie, hetzij door in te breken in die communicatiekanalen.
Dientengevolge zijn er een paar belemmeringen voor het verzamelen van dit soort inlichtingen:
- Toegang – Dreigersgroepen kunnen via besloten en versleutelde kanalen communiceren, of een bewijs van identificatie vereisen. Er zijn ook taalbarrières met dreigers die zich in het buitenland bevinden.
- Ruis – Het kan moeilijk of onmogelijk zijn om handmatig goede informatie te verzamelen uit grote hoeveelheden bronnen zoals chatrooms en sociale media.
- Vertroebeling – Om detectie te voorkomen, kunnen dreigers gebruikmaken van vertroebelingstactieken zoals het gebruik van codenamen.
Oplossingen voor dreigingsinformatie die vertrouwen op machinaal leerprocessen voor geautomatiseerde gegevensverzameling op grote schaal, kunnen veel van deze problemen overwinnen wanneer ze effectieve operationele dreigingsinformatie proberen te ontwikkelen. Een oplossing die gebruikmaakt van natuurlijke taalverwerking, kan bijvoorbeeld informatie uit anderstalige bronnen verzamelen zonder dat menselijke expertise nodig is om deze te ontcijferen.
Machine Learning for Better Threat Intelligence
Gegevensverwerking vindt tegenwoordig op een dusdanige schaal plaats dat automatisering nodig is om allesomvattend te zijn. Combineer datapunten uit veel verschillende soorten bronnen – waaronder open, dark web en technische bronnen – om een zo robuust mogelijk beeld te vormen.
Recorded Future maakt op vier manieren gebruik van technieken voor machinaal leren om het verzamelen en samenvoegen van gegevens te verbeteren – om gegevens in categorieën te structureren, om tekst in meerdere talen te analyseren, om risicoscores te bieden en om voorspellende modellen te genereren.
Gegevens structureren in entiteiten en gebeurtenissen
Ontologie heeft te maken met hoe we concepten opsplitsen en hoe we ze groeperen. In de gegevenswetenschap vertegenwoordigen ontologieën categorieën entiteiten op basis van hun namen, eigenschappen en relaties tot elkaar, waardoor ze gemakkelijker in hiërarchieën van verzamelingen kunnen worden gesorteerd. Boston, Londen en Göteborg zijn bijvoorbeeld allemaal afzonderlijke entiteiten die ook onder de bredere entiteit “stad” zullen vallen.
Als entiteiten een manier vertegenwoordigen om fysiek verschillende concepten te sorteren, dan sorteren gebeurtenissen concepten in de tijd. Vastgelegde toekomstige gebeurtenissen zijn taalonafhankelijk – iets als “John heeft Parijs bezocht”, “John heeft een reis naar Parijs gemaakt”, “Джон прилетел в Париж” en “John a visité Paris” worden allemaal als dezelfde gebeurtenis herkend.
Ontologieën en gebeurtenissen maken krachtige zoekopdrachten over categorieën mogelijk, waardoor analisten zich op het grotere geheel kunnen concentreren in plaats van zelf handmatig gegevens te moeten sorteren.
Tekst in meerdere talen structureren via natuurlijke taalverwerking
Met natuurlijke taalverwerking kunnen entiteiten en gebeurtenissen verder gaan dan kale trefwoorden en ongestructureerde tekst uit bronnen in verschillende talen omzetten in een gestructureerde database.
De machine learning die dit proces aanstuurt, kan reclame van primaire inhoud scheiden, tekst classificeren in categorieën als proza, gegevenslogboeken of code, en entiteiten met dezelfde naam ondubbelzinnig onderscheiden (zoals “Apple” het bedrijf, en “appel” de vrucht) door contextuele aanwijzingen in de omringende tekst te gebruiken.
Op deze manier kan het systeem dagelijks tekst uit miljoenen documenten in zeven verschillende talen ontleden – een taak die een onpraktisch groot en vaardig team van menselijke analisten zou vereisen om uit te voeren. Dankzij deze tijdsbesparing kunnen IT-beveiligingsteams 32 procent efficiënter werken met Recorded Future.
Om gebeurtenissen en entiteiten te classificeren en menselijke analisten te helpen prioriteit te geven aan waarschuwingen
Machine learning en statistische methodologie worden gebruikt om entiteiten en gebeurtenissen verder te sorteren op belangrijkheid – bijvoorbeeld door risicoscores toe te kennen aan kwaadaardige entiteiten.
Risicoscores worden berekend door middel van twee systemen: een aangedreven door regels op basis van menselijke intuïtie en ervaring, en de andere aangedreven door machine learning getraind op een reeds doorgelichte dataset.
Classifiers zoals risicoscores bieden zowel een oordeel (“deze gebeurtenis is kritiek”) als een context die de score verklaart (“omdat meerdere bronnen bevestigen dat dit IP-adres kwaadaardig is”).
Automatisering van de manier waarop risico’s worden geclassificeerd, bespaart analisten tijd bij het sorteren van valse positieven en het bepalen van wat prioriteit moet krijgen, waardoor IT-beveiligingsmedewerkers die Recorded Future gebruiken 34 procent minder tijd hoeven te besteden aan het samenstellen van rapporten.
Voorspelling van gebeurtenissen en entiteitseigenschappen door middel van voorspellende modellen
Machine learning kan ook modellen genereren die de toekomst voorspellen, vaak veel nauwkeuriger dan menselijke analisten, door te putten uit de diepe pools van gegevens die eerder zijn gedolven en gecategoriseerd.
Dit is een bijzonder sterke “wet van de grote aantallen”-toepassing van machine-leren – naarmate we meer gegevensbronnen blijven gebruiken, worden deze voorspellende modellen steeds nauwkeuriger.
Gebruikszaken van bedreigingsinformatie
Diverse gebruikscases van bedreigingsinformatie maken het een essentiële hulpbron voor cross-functionele teams in elke organisatie. Hoewel het misschien het meest direct waardevol is wanneer het u helpt een aanval te voorkomen, is informatie over bedreigingen ook een nuttig onderdeel van triage, risicoanalyse, kwetsbaarheidsbeheer en besluitvorming op brede schaal.
Reactie op incidenten
Beveiligingsanalisten die zijn belast met de reactie op incidenten melden een van de hoogste stressniveaus in de branche, en het is geen wonder waarom – het aantal cyberincidenten is de afgelopen twee decennia gestaag gestegen en een groot deel van de dagelijkse waarschuwingen blijkt vals-positief te zijn. Bij echte incidenten moeten analisten vaak tijd besteden aan het handmatig sorteren van gegevens om het probleem te beoordelen.
Dreigingsinformatie vermindert de druk op meerdere manieren:
- Automatisch identificeren en afwijzen van valse positieven
- Verrijking van waarschuwingen met real-time context, zoals aangepaste risicoscores
- Vergelijken van informatie uit interne en externe bronnen
Recorded Future-gebruikers identificeren risico’s 10 keer sneller dan ze deden voordat ze threat intelligence in hun beveiligingsoplossingen integreerden, waardoor ze gemiddeld dagen meer tijd hebben om op bedreigingen te reageren in een sector waar zelfs seconden ertoe kunnen doen.
Security Operations
De meeste SOC-teams (Security Operations Centers) moeten enorme hoeveelheden waarschuwingen verwerken die worden gegenereerd door de netwerken die ze bewaken. Het verwerken van deze waarschuwingen duurt te lang, en veel ervan worden helemaal niet onderzocht. “Alert-moeheid” leidt ertoe dat analisten alerts minder serieus nemen dan ze zouden moeten. Threat Intelligence lost veel van deze problemen op door te helpen sneller en nauwkeuriger informatie over bedreigingen te verzamelen, valse alarmen uit te filteren, triage te versnellen en incidentanalyse te vereenvoudigen. Hiermee kunnen analisten ophouden tijd te verspillen aan het onderzoeken van waarschuwingen op basis van:
- Acties waarvan het waarschijnlijker is dat ze onschuldig zijn dan kwaadaardig
- Aanvallen die niet relevant zijn voor die onderneming
- Aanvallen waarvoor al afweermiddelen en controlemechanismen bestaan
Naast het versnellen van de triage kan threat intelligence SOC-teams helpen bij het vereenvoudigen van de analyse en beheersing van incidenten. Gebruikers van Recorded Future lossen bedreigingen 63 procent sneller op, waardoor de kritieke uren die zij aan herstel besteden met meer dan de helft worden verminderd.
Vulnerability Management
Effectief kwetsbaarheidsbeheer betekent een verschuiving van een “patch alles, altijd”-aanpak – een aanpak die niemand realistisch ooit kan bereiken – naar het prioriteren van kwetsbaarheden op basis van het werkelijke risico.
Hoewel het aantal kwetsbaarheden en bedreigingen elk jaar is toegenomen, blijkt uit onderzoek dat de meeste bedreigingen zich richten op hetzelfde, kleine deel van de kwetsbaarheden. Bedreigers zijn ook sneller – het duurt nu gemiddeld slechts vijftien dagen tussen de bekendmaking van een nieuwe kwetsbaarheid en het verschijnen van een exploit die deze kwetsbaarheid aanpakt.
Dit heeft twee gevolgen:
- U hebt twee weken de tijd om uw systemen te patchen of te remediëren tegen een nieuwe exploit. Als u niet binnen dat tijdsbestek kunt patchen, zorg dan voor een plan om de schade te beperken.
- Als een nieuwe kwetsbaarheid niet binnen twee weken tot drie maanden wordt uitgebuit, zal dat waarschijnlijk nooit gebeuren – patchen kan een lagere prioriteit krijgen.
Threat Intelligence helpt u bij het identificeren van de kwetsbaarheden die een daadwerkelijk risico vormen voor uw organisatie, waarbij verder wordt gegaan dan CVE-scores door het combineren van interne scangegevens voor kwetsbaarheden, externe gegevens en aanvullende context over de TTP’s van dreigingsactoren. Met Recorded Future identificeren gebruikers 22 procent meer echte bedreigingen voordat ze een ernstige impact hebben.
Risicoanalyse
Risicomodellering kan voor organisaties een nuttige manier zijn om investeringsprioriteiten vast te stellen. Maar veel risicomodellen hebben te lijden onder vage, niet-gekwantificeerde output die haastig is samengesteld, gebaseerd is op gedeeltelijke informatie, gebaseerd is op ongegronde aannames, of moeilijk is om actie op te ondernemen.
Threat intelligence biedt context die risicomodellen helpt om gedefinieerde risicometingen te maken en transparanter te zijn over hun aannames, variabelen en uitkomsten. Het kan helpen bij het beantwoorden van vragen als:
- Welke dreigingsactoren gebruiken deze aanval, en richten ze zich op onze branche?
- Hoe vaak is deze specifieke aanval recentelijk waargenomen door ondernemingen als de onze?
- Stijgt of daalt de trend?
- Welke kwetsbaarheden misbruikt deze aanval, en zijn deze kwetsbaarheden aanwezig in onze onderneming?
- Welke schade, technisch en financieel, heeft deze aanval toegebracht aan ondernemingen zoals de onze?
Het stellen van de juiste vragen met behulp van Recorded Future’s informatie over bedreigingen is een van de manieren waarop gebruikers 86 procent minder ongeplande downtime zien – een enorm verschil wanneer zelfs een minuut downtime sommige organisaties tot $ 9.000 aan productiviteitsverlies en andere schade kan kosten.
Fraudepreventie
Om uw organisatie veilig te houden, is het niet genoeg om alleen bedreigingen te detecteren en te reageren op bedreigingen die al misbruik maken van uw systemen. U moet ook frauduleus gebruik van uw gegevens of merk voorkomen.
Informatie over bedreigingen die is verzameld uit ondergrondse criminele gemeenschappen, biedt inzicht in de motivaties, methoden en tactieken van bedreigingsactoren, vooral wanneer deze informatie wordt gecorreleerd met informatie van het oppervlakteweb, waaronder technische feeds en indicatoren.
Gebruik bedreigingsinformatie om het volgende te voorkomen:
- Betalingsfraude – Door bronnen zoals criminele gemeenschappen, plaksites en andere forums te controleren op relevante betaalkaartnummers, bankidentificatienummers of specifieke verwijzingen naar financiële instellingen, kunt u vroegtijdig worden gewaarschuwd voor aankomende aanvallen die uw organisatie zouden kunnen treffen.
- Gecompromitteerde gegevens – Cybercriminelen uploaden regelmatig massale caches met gebruikersnamen en wachtwoorden naar plaksites en het dark web, of maken deze beschikbaar voor verkoop op ondergrondse marktplaatsen. Bewaak deze bronnen met bedreigingsinformatie om uit te kijken naar gelekte referenties, bedrijfsgegevens of bedrijfseigen code.
- Typosquatting – Ontvang realtime waarschuwingen over nieuw geregistreerde phishing- en typosquatting-domeinen om te voorkomen dat cybercriminelen zich voordoen als uw merk en nietsvermoedende gebruikers bedriegen.
Door meer inbreuken te voorkomen met behulp van bedreigingsinformatie, kunnen gebruikers van Recorded Future meer dan 1 miljoen dollar per potentiële inbreuk besparen door middel van schadelijke boetes, straffen en verloren consumentenvertrouwen.
Security Leadership
CISO’s en andere beveiligingsleiders moeten risico’s beheren door de beperkte beschikbare middelen af te wegen tegen de noodzaak om hun organisaties te beveiligen tegen bedreigingen die zich steeds verder ontwikkelen. Threat intelligence kan helpen het bedreigingslandschap in kaart te brengen, risico’s te berekenen en beveiligingspersoneel de informatie en context te geven om betere en snellere beslissingen te nemen.
Heden ten dage moeten beveiligingsleiders:
- Bepaal zakelijke en technische risico’s, waaronder opkomende bedreigingen en “bekende onbekenden” die van invloed kunnen zijn op het bedrijf
- Identificeer de juiste strategieën en technologieën om de risico’s te beperken
- Communiceer de aard van de risico’s aan het topmanagement, en rechtvaardig investeringen in defensieve maatregelen
Threat intelligence kan een kritieke bron zijn voor al deze activiteiten, door informatie te verstrekken over algemene trends, zoals:
- Welke soorten aanvallen komen steeds vaker (of minder vaak) voor
- Welke soorten aanvallen zijn het duurst voor de slachtoffers
- Welke nieuwe soorten dreigingsactoren zich aandienen,
- De beveiligingspraktijken en -technologieën die het meest (of minst) succesvol zijn gebleken bij het stoppen of beperken van deze aanvallen
Het kan beveiligingsgroepen ook in staat stellen te beoordelen of een opkomende bedreiging waarschijnlijk gevolgen zal hebben voor hun specifieke onderneming op basis van factoren zoals:
- Branche – Heeft de dreiging invloed op andere bedrijven in onze vertical?
- Technologie – Betekent de bedreiging dat software, hardware of andere technologieën die in onze onderneming worden gebruikt, worden aangetast?
- Geografie – Is de bedreiging gericht tegen faciliteiten in regio’s waar wij actief zijn?
- Aanvalsmethode – Zijn de aanvalsmethoden, waaronder social engineering en technische methoden, met succes gebruikt tegen onze onderneming of soortgelijke ondernemingen?
Met deze soorten informatie, verzameld uit een brede reeks externe gegevensbronnen, krijgen beveiligingsbeslissers een holistisch beeld van het cyberrisicolandschap en de grootste risico’s voor hun onderneming.
De volgende vier belangrijke gebieden helpen threat intelligence-leiders bij het nemen van beslissingen:
- Beperking – Threat intelligence helpt beveiligingsleiders bij het prioriteren van de kwetsbaarheden en zwakke punten waar dreigingsactoren zich waarschijnlijk het meest op zullen richten, en geeft context aan de TTP’s die deze dreigingsactoren gebruiken, en dus de zwakke punten die ze plegen uit te buiten.
- Communicatie – CISO’s worden vaak uitgedaagd door de noodzaak om bedreigingen te beschrijven en tegenmaatregelen te rechtvaardigen in termen die niet-technische bedrijfsleiders zullen motiveren, zoals kosten, impact op klanten, nieuwe technologieën. Dreigingsinformatie biedt krachtige munitie voor deze discussies, zoals de impact van soortgelijke aanvallen op bedrijven van dezelfde grootte in andere sectoren of trends en informatie van het dark web die aangeven dat de onderneming waarschijnlijk het doelwit zal zijn.
- Leiders ondersteunen – Threat intelligence kan beveiligingsleiders een realtime beeld geven van de nieuwste dreigingen, trends en gebeurtenissen, waardoor beveiligingsleiders tijdig en efficiënt kunnen reageren op een dreiging of de potentiële impact van een nieuw type dreiging kunnen communiceren aan bedrijfsleiders en bestuursleden.
- De vaardigheidskloof in beveiliging – CISO’s moeten ervoor zorgen dat de IT-organisatie over de personele middelen beschikt om haar missie uit te voeren. Maar het tekort aan vaardigheden op het gebied van cyberbeveiliging betekent dat het huidige beveiligingspersoneel vaak te maken heeft met een onbeheersbare werklast. Informatie over bedreigingen automatiseert enkele van de meest arbeidsintensieve taken, waarbij snel gegevens worden verzameld en de context uit meerdere informatiebronnen wordt gecorreleerd, risico’s worden geprioriteerd en onnodige waarschuwingen worden verminderd. Krachtige informatie over bedreigingen helpt ook junior personeel snel bij te scholen en boven hun ervaringsniveau te presteren.
Reductie van risico’s van derden
Talloze organisaties transformeren hun manier van zakendoen via digitale processen. Ze verplaatsen gegevens van interne netwerken naar de cloud en verzamelen meer informatie dan ooit tevoren.
Het gemakkelijker verzamelen, opslaan en analyseren van gegevens verandert veel bedrijfstakken zeker ten goede, maar deze vrije stroom van informatie heeft een prijs. Het betekent dat we bij het beoordelen van het risico van onze eigen organisatie ook rekening moeten houden met de beveiliging van onze partners, verkopers en andere derden.
Helaas lopen veel van de meest gebruikelijke risicobeheerpraktijken van derden die vandaag de dag worden toegepast, achter op de beveiligingsvereisten. Statische risicobeoordelingen, zoals financiële audits en verificaties van beveiligingscertificaten, zijn nog steeds belangrijk, maar ze missen vaak context en zijn niet altijd op tijd. Er is behoefte aan een oplossing die realtime context biedt over het daadwerkelijke bedreigingslandschap.
Threat Intelligence is één manier om precies dat te doen. Het kan transparantie bieden in de bedreigingsomgevingen van de derde partijen waarmee u samenwerkt, waarbij realtime waarschuwingen worden gegeven over bedreigingen en wijzigingen in hun risico’s en u de context krijgt die u nodig hebt om uw relaties te evalueren.