Veel organisaties zijn in de veronderstelling dat threat intelligence alleen betaalbaar is voor de grootste bedrijven. Onzin. Iedere securityprofessional kan dreigingsinformatie verzamelen en toepassen. Sterker, het hoort deel uit te maken van elke securitystrategie. Vijf tips om te starten met het in kaart brengen van bedreigingen.
Threat intelligence biedt inzicht in de cyberrisico’s van vandaag en morgen. Zonder dat inzicht kan een organisatie onmogelijk de juiste prioriteiten stellen en maatregelen treffen. De focus ligt dan op reactief beleid: it valt continu van het ene in het andere securityprobleem. Dat is minder efficiënt dan een proactieve verdediging.
Bovendien zijn zonder forse investeringen al resultaten te boeken. Uiteraard moet de organisatie wel zicht hebben op wat er op het interne netwerk en in de ‘boze buitenwereld’ gebeurt. En voor de vertaling naar de juiste maatregelen zijn de juiste skills nodig. Deze tips vormen een goed startpunt voor organisaties die met threat intelligence aan de slag willen.
- Analyseer uw it-omgeving
De eerste stap is het in kaart brengen van hardware, software, clouddiensten en datatypen. Welke systemen zijn essentieel voor de continuïteit van de organisatie? Dat inzicht helpt niet alleen bij het bepalen van de beveiligings- en recoverymaatregelen, maar maakt ook duidelijk over welke datatypen u dreigingsinformatie moet verzamelen.
Vroeger was deze inventarisatie een complex en tijdrovend proces. Tegenwoordig niet meer. Met behulp van gratis of goedkope tools – waarvan sommige zelfs zijn ingebouwd in Microsoft- of Linux-omgevingen – is snel een vrij nauwkeurig overzicht te krijgen van on-premises apparatuur en de gebruikte software.
Cloudomgevingen zijn vaak uitdagender, maar toch is het belangrijk om hier werk van te maken. Ik durf te wedden dat ook bij uw organisatie clouddata op onverwachte plekken belanden. Misschien ontdekt u wel een datalek. Een goed zicht op datatypen en -verkeer is vereist om te bepalen welke security-maatregelen prioriteit hebben.
- Richt continue securitymonitoring in
Na de inventarisatie is het advies de eigen organisatie onder de loep te nemen. Welke cybergevaren – van malwarebesmettingen tot phishingaanvallen – duiken er dagelijks? Om deze vraag te beantwoorden, moet u het interne netwerk en de systemen continu monitoren. Alleen dan heeft u een actueel beeld van het dreigingslandschap.
Begin met een analyse van uw logbestanden. Als u die niet heeft, is het aan te bevelen om logging aan te zetten. Houd hierbij rekening met silovorming en neem de gehele organisatie mee in de analyse. Zo zien ontwikkelaars waarschijnlijk ook bepaalde dingen in de applicatielogs. Dergelijke interne resources kunnen van grote waarde zijn als input voor threat intelligence.
- Haal dreigingsinformatie van buiten
Het is zaak de interne dreigingsinformatie aan te vullen met inzichten van externe partijen. Dat betekent niet dat u veroordeeld bent tot dure abonnementen op threat intelligence-feeds. Kijk eerst eens naar opensource-intelligence (OSINT) voor uw branche en technologieportfolio. Die informatie is niet honderd procent actueel, maar het is een begin.
Toch is opensource niet de allerbelangrijkste bron van (betaalbare) dreigingsinformatie; dat zijn uw securityleveranciers. Zoek uit welke van uw huidige oplossingen threat intelligence-feeds bevatten en zet deze aan. Mimecast biedt bijvoorbeeld de mogelijkheid om werknemers een risicoscore te geven op basis van hun activiteit op internet en via e-mail. Ook hebben klanten via de Mimecast-API realtime-toegang tot data over aanvalstypen.
U kunt nog een stap verder gaan. Vraag of uw securityvendoren hun onderzoeksgegevens willen delen. Waarschijnlijk hebben zij meer specialistische kennis en capaciteit. Tegelijkertijd is het belangrijk om zelf de controle te behouden. U bent eindverantwoordelijk. De ceo kijkt u erop aan als het misgaat, niet de vendoren.
- Deel kennis met branchegenoten
Organisaties zijn vaak huiverig om threat intelligence te delen met branchegenoten of bedrijven in dezelfde regio. Zonde, want de situatie is te ernstig voor protectionistisch beleid. Zo zijn hackers volgens een nieuw rapport de grootste dreiging voor het bedrijfsleven. Kennisdeling is nodig om cybercriminaliteit effectief tegen te gaan. En in sommige sectoren zelfs verplicht: organisaties binnen de vitale infrastructuur moeten ernstige cyberincidenten melden bij het Nationaal Cyber Security Centrum (NCSC).
Directe kennisdeling is een optie, maar niet de enige. Via overheidsinstanties als het NCSC, het Digital Trust Center en de verschillende CERT’s zoals GovCERT is een schat aan gratis informatie beschikbaar. U kunt ook naar securitycongressen gaan en daar actuele inzichten over het dreigingslandschap uitwisselen. Of stel eens een gerichte vraag op een forum over cybersecurity.
- Maak de vertaalslag naar maatregelen
Al die dataverzameling is zinloos als u er geen concrete acties aan kunt koppelen. Kortom, de data moeten ‘actionable’ zijn. Veel organisaties lopen op dit punt vast. Ze denken dat er niet genoeg expertise aanwezig is om te bepalen wat er precies moet gebeuren, in welke volgorde en waarom.
Dat is niet altijd terecht. De meeste securityteams bestaan uit slimme mensen die erg goed zijn in het interpreteren van data. Dat doen ze namelijk dagelijks. De vertaalslag van dreigingsdata naar bruikbare inzichten valt wellicht reuze mee. Zeker nu u weet waar u staat en dus gerichter kunt analyseren.
Deze stap is ook belangrijk om de waarde van uw werk te tonen aan de business. De baas heeft geen boodschap aan threat intelligence op zich, maar wil weten welke problemen u ermee oplost en hoe. Op die vragen moet u voorbereid zijn als u een leidinggevende probeert te overtuigen van het belang van threat intelligence.
Threat intelligence is geen elitespeeltje. De ruwe data die u nodig heeft, liggen veelal voor het oprapen. Waarom zou u daar geen gebruik van maken?
Stap 1 wordt nogal lastig als je alles in de ‘cloud’ geparkeerd hebt, het gaat namelijk niet om de apparatuur maar de connecties. Laat de ‘cloud’ hierin nu juist een n-to-n abstractie hebben waardoor de overige 4 stappen nogal lastig in te vullen zijn omdat je bij n-to-n logging zoveel informatie krijgt dat je niet weet wat er nu relevant is.
Eén van mijn eerste bijdragen die ik hier schreef ging dus over dit onderwerp omdat de grootste bedreiging niet van buiten komt. Of hierin het profileren van gebruikers als ‘zwakste schakel’ de oplossing is lijkt me nogal bedenkelijk, de kans is groot dat er dan al snel buiten het ‘spoor’ omgewerkt gaat worden middels het fenomeen van ‘shadow IT’ wat dus alle niet gecontracteerde oplossingen betreft die daarom zo populair zijn.
Hi Ewout, bedankt voor je reactie. Ik ben volledig met je eens dat de cloud complexiteit toevoegt. Bovendien geldt voor threat intelligence – net als voor elke andere securitydiscipline – dat een bepaalde mate van expertise vereist is om het goed in te richten. Het vertalen van data naar bruikbare inzichten is zeker een uitdaging. Delen van kennis is dan ook een belangrijk element. Dat gezegd hebbende, wilde ik met mijn bijdrage vooral benadrukken dat organisaties al redelijk low-effort en low-cost met threat intelligence kunnen starten.