In de eerste aflevering van deze tweedelige serie hebben we het concept ‘staartrisico’ geïntroduceerd als een manier om organisaties te helpen bij het beoordelen, beheren en verhelpen van cyberrisico's. Een belangrijke factor was dat een 'lange staart' van cyberrisico wordt gecreëerd met de toenemende frequentie en potentiële ernst van unieke cyberrisico's. Deze risico’s kunnen zo ernstig zijn dat ze de meest kritieke bedrijfsactiviteiten van een organisatie kunnen verstoren of zelfs een heel marktsegment kunnen verstoren.
We hebben het idee geïntroduceerd dat de lange staart waarschijnlijk langer zal worden, vanwege het intensievere gebruik van machine learning-algoritmen, waardoor aanvallen op specifieke organisaties en zelfs specifieke applicaties mogelijk zijn. We kunnen echter iets doen aan deze lange staart van cyberrisico.
Teamsport
Goed nieuws is dat cybersecurity nu een teamsport is. Ik ben getuige geweest van een verhoogde samenwerking als het gaat om cybersecurity, zowel in mijn professionele rol als in mijn persoonlijke ervaring als consument.
In wat leek op een plotselinge ontwikkeling, begonnen professionals van it, fraudebestrijding en bedrijfsafdelingen proactief contact op te nemen met hun ciso-collega’s voor advies. Op hun beurt begonnen ciso, cio’s en zelfs ceo’s samen te werken om gemeenschappen te lanceren om informatie over dreigingen te delen tussen organisaties en met overheidsinstanties zoals Informatie Uitwisseling en Analyse Centra en de in Europa gevestigde CSSA. Een goed voorbeeld van deze evolutie binnen de zeer competitieve cybersecurity-industrie is The Cyber Threat Alliance.
Deze ontwikkeling zal ons helpen een robuuster cyber-immuunsysteem te bouwen, het lange staartrisico voor aangepaste bedreigingen te verminderen en de lat hoger te leggen voor aanvallers.
Laten we herhalen wat nodig is om samenwerking en gedeelde dreigingsinformatie te gebruiken om het lange termijnrisico te verminderen, omdat de meeste organisaties dit in de praktijk nog steeds niet doen:
- Consumeer bedreigingsinformatie indicatoren en analyses.
- Instrueer al je bedieningselementen om aanvallen te voorkomen op basis van waargenomen indicatoren.
- Deel indicatoren en feedback van waargenomen aanvallen met de gemeenschap.
We bekijken het stap voor stap. Bedreigingsinformatie op een gestructureerde manier gebruiken is relatief eenvoudig. Er is een reeks operationele formaten zoals STIX, Yara en Sigma om bedreigingen te uiten en te detecteren, en platforms zoals MindMeld of Misp zijn beschikbaar als open source voor de gemeenschap.
De meeste organisaties consumeren verzamelde gegevens echter niet via hun besturingselementen. Door puntoplossingen van meerdere leveranciers te gebruiken, die niet goed integreren of die geen consumptie van indicatoren toestaan, krijgen organisaties alleen waarschuwingen over specifieke indicatoren, maar deze blokkeren de resulterende aanval niet. Helaas ondersteunen niet veel technologieën aangepaste indicatoren op een preventieve manier. De rest verlaat het security operations center (soc) met een groot aantal waarschuwingen en handmatige activiteiten om op te volgen.
We zijn het er allemaal over eens dat zelfs beperkte detectie beter is dan niets. Maar ik kan je uit ervaring vertellen dat dit model niet duurzaam is op de lange termijn.
Geautomatiseerde orkestratie-oplossingen kunnen nuttig zijn om de end-to-end cybersecurity te waarborgen. Onderschat de vereiste hoeveelheid werk echter niet. Zelfs basisintegraties vereisen niet alleen een sterke inzet van it-afdelingen om je omgeving te instrumenteren, maar ook een volledige controle over je supply chain voor dreigingsinformatie.
Tot slot, als jij als gunst dreigingsgegevens krijgt, is het oneerlijk om niet terug te delen. Begrijpt je beveiligingsteam welke gegevens het kan delen en zijn je juridische en dataprivacyteams het eens?
Houd er rekening mee dat het delen van gegevens over bedreigingsinformatie mogelijk niet bovenaan de takenlijst van je SOC-analisten staat. Help hen dit proces zo gemakkelijk mogelijk te maken en probeer het vanaf de eerste dag van de grond te krijgen.
Wat te delen?
Niet zeker over wat je kan delen? Hier is een startpunt:
Niveau I: Delen van compromisindicatoren (ioc) is het meest voorkomende type delen. Dit kan een kwaadaardig ipp-adres zijn dat een scan tegen je organisatie heeft uitgevoerd, of een cryptografische hash van schadelijke software. Het delen van deze indicatoren is eenvoudig, maar de handmatige inspanning om ze te verzamelen en te gebruiken is ultrahoog, de waarde van informatie is laag voor ontvangers en de levensduur van die indicatoren is niet lang. Daarom moet deze stap worden geautomatiseerd.
Niveau II: Tactieken, technieken en procedures (ttp) van specifieke aanvallen vertegenwoordigen een waardevoller type informatie voor ontvangers. Bijvoorbeeld specifieke, unieke tools die de aanvallers gebruiken. Ttp’s kunnen door consumenten worden gebruikt om generieke jachtoefeningen uit te voeren en te valideren of vergelijkbare aanvalstypes in je eigen omgeving hebben plaatsgevonden. Bekende standaarden voor het beschrijven van de ttp’s zijn de ATT & CK databases en de Unit42 Playbooks.
Niveau III: Eén van de meest waardevolle vormen van delen is feedback delen over de effectiviteit van detectie- en preventiecontroles. Dergelijke telemetrie kan organisaties op meerdere manieren helpen. Ten eerste, kan het organisaties helpen hun beveiligingspositie te begrijpen en het maakt het weghalen van ondernemingen van bekende indicatoren overbodig. Ten tweede, zal het organisaties helpen om onmiddellijk te bepalen of ze worden blootgesteld aan specifieke aanvallen of actoren van bedreigingen en hen een redelijk zicht bieden op investeringsmogelijkheden die nodig zijn voor beveiliging tegen bepaalde soorten aanvallen. Helaas is het moeilijk om dergelijke informatie te verzamelen, daarom wordt dergelijke informatie zelden gedeeld.
Threath intelligence
Als je jouw staartrisico moet verkleinen en je beter moet aanpassen tegen cyberdreigingen, zou ik alle ciso’s adviseren eerst te denken aan threat intelligence. Het hebben van een database met bedreigingsinformatie, een deelplatform of een deelprocedure binnen je soc is een eerste kleine stap.
Nog belangrijker is echter om sleutelprincipes vast te stellen in de routekaart voor beveiligingstechnologie, de infrastructuur en de processen, om machine-to-machine-integratie op een gedetailleerder niveau mogelijk te maken. Consumptie van bedreigingsinformatie moet gericht zijn op geautomatiseerde preventie in plaats van detectie en moet retrospectieve feedback over de effectiviteit van de controles overwegen.
Uiteindelijk is het belangrijk dat je niet geïsoleerd blijft en deze problemen en uitdagingen zelf probeert aan te pakken. Het is een teamsport!
Sergej Epp, ciso voor de centraal-Europese regio bij Palo Alto Networks
