We zijn al meer dan tien jaar bezig met het automatiseren van informatie over cyberdreigingen, ook wel Threat intelligence genoemd. Tijdens deze reis hebben we een breed scala aan problemen en uitdagingen ontdekt. Alles van verschillende standaarden en de bijbehorende terminologie tot en met de informatiebronnen zelf. We hebben aan den lijve ondervonden dat het werken met threat intelligence een beetje lijkt op het proberen in elkaar te zetten van een puzzel. Het probleem met deze puzzel is dat sommige stukjes ontbreken, andere stukjes juist van de verkeerde puzzel zijn terwijl we ook stukjes hebben die van vorm kunnen veranderen en als laatste nog puzzelstukjes waarvan de experts het niet over eens zijn of het überhaupt wel puzzelstukjes zijn. Dus waar laat dit ons op onze zoektocht?
Samen met TNO en acht andere Europese organisaties werken we samen om security operations centers (SOC’s) en computer security incident response teams (CSIRT’s) te voorzien van een automatiserings- en beslissingsondersteunend platform om cyberdreigingen te voorkomen. Ons doel is om gezamenlijk de capaciteiten en efficiëntie van verdedigers te verbeteren om cyberaanvallen te detecteren en erop te reageren in een realiteit waarin bedreigingen, technologie en de wereld evolueren, en er een toenemend tekort aan cyberbeveiligingstalent is.
Het gezamenlijke onderzoeksproject SOCCRATES wordt gefinancierd door het Horizon 2020-programma van de Europese Unie. De rol van mnemonic in het project is het ontwikkelen van nieuwe methoden en hulpmiddelen om de automatisering van threat intelligence te ondersteunen – een voortzetting van onze zoektocht.
Threat intelligence is de kern van effectieve Detection and Response
Threat intelligence is kennis over dreigingen. Het helpt u echte en relevante bedreigingen te onderscheiden van hypothetische, en is van cruciaal belang om uzelf effectief te verdedigen. Door het gedrag, de doelstellingen, de tools en de infrastructuur van de tegenstander te begrijpen, bent u beter uitgerust om u ertegen te verdedigen.
Threat intelligence helpt ons ook bij het nemen van beslissingen: van een strategische investeringsbeslissing tot een technische uitdaging voor het omgaan met een specifiek alarm van een beveiligingstool. Vertrouwen in besluitvorming komt voort uit het vertrouwen dat u heeft in de intelligentie waarop u die beslissing baseert.
mnemonic levert al twee decennia Managed Detection en Response (MDR)-diensten. Ons vermogen om onze kennis over bedreigingen te gebruiken, is essentieel om onze klanten te beschermen tegen geavanceerde, complexe en evoluerende bedreigingen. Om dit te bereiken zijn zowel mensen als technologie nodig. Wij zijn disciplineoverschrijdende threat intelligence-onderzoekers, incidentresponders en beveiligingsanalisten, gecombineerd met een technologieplatform dat deze informatie kan benutten.
Automatisering is de toekomst van Threat intelligence
mnemonic identificeerde meer dan tien jaar geleden de behoefte aan automatisering in Threat intelligence. De twee belangrijkste drijfveren voor automatisering waren een overdaad aan informatie en een toenemende mate van automatisering door aanvallers. Er is simpelweg te veel informatie beschikbaar om handmatig te verwerken, en wanneer aanvallers automatiseren, moeten de verdedigers dat ook doen om bij te blijven.
De eerste automatiseringsactiviteiten in Threat intelligence waren gecentreerd rond atomic indicators of compromise, zoals IP-adressen, domeinnamen en file hashes met contextuele informatie. Door automatisering en standaardisatie konden dergelijke indicatoren worden verzameld, gedeeld en bijna in realtime worden gebruikt – een praktijk die vandaag de dag nog steeds veel wordt gebruikt.
Hoewel het zeker nuttig is, is het belangrijkste probleem met atomic indicators of compromise dat een aanvaller ze kan veranderen met minimale kosten en moeite. Het is echter veel duurder en moeilijker voor hen om hun gedrag te veranderen. Het wijzigen van een domeinnaam is veel gemakkelijker dan het aanpassen van de technieken die ze gebruiken, hun processen en algemene benaderingen voor het uitvoeren van aanvallen. Dus als we methoden kunnen ontwikkelen om het gedrag van tegenstanders te detecteren en dit effectief met elkaar en met onze beveiligingssystemen te delen, kunnen we terrein winnen en hun inspanningen verstoren. Dit is een van de doelen waar onze onderzoekers aan werken.
Semi-geautomatiseerde Threat intelligence
In 2014 konden we geen beschikbaar platform vinden met de mogelijkheden die we nodig hadden, dus begonnen we ons eigen platform te ontwikkelen. Samen met enkele universiteiten, CERT’s en industriepartners werkten we samen aan een door onderzoek geleid innovatieproject dat in 2020 resulteerde in de lancering van ons Semi-Automated Cyber Threat intelligence-platform, of zoals we het noemen – ACT. Het platform is open-source gelanceerd en is beschikbaar op Github.
We hebben het ACT-platform gebouwd om onze kennis van bedreigingen op te slaan om het nuttiger te maken. Het is handig om voorkennis over een dreiging efficiënt te kunnen vinden en die kennis te relateren aan wat je hier en nu waarneemt. Het kan u helpen meer context te krijgen, zodat u een meer geschikte manier van handelen kunt kiezen.
Vervang mensen niet – verbeter ze
Kennis nuttig maken betekent ook waar mogelijk automatiseren en analisten hun tijd laten besteden aan analyse in plaats van repetitieve handmatige taken. Mensen zijn goed in het nemen van beslissingen wanneer ze worden geconfronteerd met ontbrekende en onzekere informatie, en kunnen redeneren over de waarschijnlijke oorzaken van de waargenomen effecten. Computers zijn goed in het verwerken van grote hoeveelheden informatie en in het foutloos uitvoeren van repetitieve taken.
Ons doel met het platform is dus semi-automatisering: laat de mensen doen waar ze goed in zijn, en laat de computers doen waar ze goed in zijn. We wilden de menselijke analisten verbeteren, niet vervangen.
Waar gaan we heen?
Het SOCCRATES-project gaat in februari volgend jaar een grootschalige pilot lanceren. Onze laatst bereikte mijlpaal is het structureren van threat intelligence door het delen van de operationele stroom van advanced persistent threat groepen (het maken van hun tegenstander-emulatieplan) te automatiseren met behulp van MITRE ATT&CK. Onze Adversary Emulation Planner is nu gepubliceerd en open source beschikbaar op onze Github.
Dus hoewel we nog een lange weg te gaan hebben in het delen van tactische threat intelligence, zodat het op betrouwbare wijze dreigingsdetectie kan automatiseren, boeken we vooruitgang. Het is een complexe uitdaging die een inspanning van de gemeenschap vereist. Onze zoektocht is nu vergezeld door een fellowship, waardoor we veel sterker zijn.
Wilt u meer inzicht in Threat Intelligence?
Luister of bekijk onze podcast met PhD. Martin Eian (Head of R&D), om meer te weten over de automatisering van Threat Intelligence en wat aan menselijke analisten overgelaten moet worden. Evenals hoe bedrijven met threat intelligence werken vandaag de dag.
Blijf op de hoogte met onze gratis Threat Intelligence update
Elke dag informeren onze 250+ security experts u over wat er gaande is in de wereld van cyberbeveiliging. Blijf op de hoogte en geinformeerd door u aan te melden op onze Threat Intelligence update.
