Wat is threat intelligence, oftewel het vergaren van informatie over dreigingen? Definitie en toelichting
Threat intelligence is het proces van het identificeren en analyseren van cyberdreigingen. De term ‘threat intelligence’ kan verwijzen naar de gegevens die zijn verzameld over een mogelijke dreiging of het proces van het vergaren, verwerken en analyseren van die gegevens om meer inzicht te krijgen in dreigingen. Threat intelligence omvat het spitten door gegevens, het bestuderen ervan in de context om problemen op te sporen en het implementeren van oplossingen die zich specifiek op het aangetroffen probleem richten.
Dankzij de digitale technologie is de hedendaagse wereld meer verbonden dan ooit tevoren. Maar die verbindingen brengen ook een verhoogd risico op cyberaanvallen met zich mee, zoals inbreuken op de beveiliging, gegevensdiefstal en malware. Threat intelligence is een belangrijk aspect van cybersecurity. Lees verder voor meer informatie over threat intelligence, waarom het zo belangrijk is en hoe je het moet toepassen.
Wat is threat intelligence?
De definitie van threat intelligence wordt vaak verward met andere cybersecuritytermen. Vaak verwarren mensen 'dreigingsgegevens' met ‘dreigingsinformatie’, maar het zijn verschillende dingen:
- Dreigingsgegevens verwijst naar een lijst met mogelijke bedreigingen.
- Dreigingsinformatie kijkt naar het geheel, door de gegevens en de algemene context te onderzoeken om een structuur voor besluitvorming op te bouwen.
Dreigingsinformatie stelt organisaties in feite in staat om sneller betere beslissingen over beveiliging te nemen. Het stelt ze in staat om in de strijd tegen cyberaanvallen proactief te werk te gaan, in plaats van reactief.
Waarom is dreigingsinformatie belangrijk?
Dreigingsinformatie is een cruciaal onderdeel van elk cyberveiligheidsecosysteem. Een informatieprogramma voor cyberdreigingen, soms ook wel CTI-programma genoemd, kan:
- Gegevensverlies voorkomen: met een goed gestructureerd CTI-programma kunnen organisaties cyberdreigingen detecteren en voorkomen dat gevoelige informatie uitlekt in het geval van gegevensinbreuk.
- Structuur geven aan de veiligheidsmaatregelen: door dreigingen te identificeren en te analyseren, herkent CTI de patronen die hackers gebruiken. Op basis hiervan kunnen organisaties beveiligingsmaatregelen treffen om zich tegen nieuwe aanvallen te beschermen.
- Anderen informeren: Hackers worden iedere dag slimmer. Om gelijke tred te houden, delen experts de tactieken die ze hebben waargenomen met andere gebruikers in hun gemeenschap om een collectieve knowledge base aan te leggen waarmee cybercriminaliteit bestreden kan worden.
Typen dreigingsinformatie
CTI wordt vaak opgesplitst in drie categorieën: strategisch, tactisch en operationeel. We gaan deze aspecten nu een voor een onder de loep nemen:
Strategische dreigingsinformatie:
Vaak een analyse op hoog niveau die is ontworpen voor een niet-technische doelgroep, zoals de raad van bestuur van een bedrijf of organisatie. Hierin komen cybersecuritykwesties aan bod die gevolgen hebben voor algemene zakelijke beslissingen, evenals algemene trends en beweegredenen. Strategische dreigingsinformatie is vaak gebaseerd op publiek toegankelijke bronnen, zoals verslagen in de media, white papers en research.
Tactische dreigingsinformatie:
Richt zich vooral op de nabije toekomst en is bedoeld voor een meer technisch ingestelde doelgroep. Hiermee worden eenvoudige IOC's (Indicators Of Compromise) vastgesteld, zodat IT-teams naar specifieke dreigingen in een netwerk kunnen zoeken en deze kunnen elimineren. Voorbeelden van IOC's zijn onjuiste IP-adressen, bekende schadelijke domeinnamen, ongebruikelijke verkeersvolumes, waarschuwingssignalen tijdens het inloggen of een toename in het aantal bestand- of downloadverzoeken. Dit type informatie is vaak het eenvoudigst om te genereren en dat gebeurt meestal automatisch. Ook heeft deze informatie vaak een korte levensduur, aangezien veel IOC's al snel in onbruik raken.
Operationele dreigingsinformatie:
Achter elke cyberaanval zit een 'wie', 'waarom' en 'hoe'. Operationele dreigingsinformatie wil deze vragen beantwoorden door cyberaanvallen uit het verleden te bestuderen en conclusies te trekken over intentie, timing en raffinement. Operationele dreigingsinformatie vereist meer bronnen dan tactische informatie en heeft een langere levensduur. Dat komt doordat cyberaanvallers hun tactieken, technieken en procedures (ook wel TTP's genoemd) niet zo snel kunnen wijzigen als hun tools, zoals een bepaald type malware.
De levenscyclus van CTI
Experts op het gebied van cyberbeveiliging gebruiken het concept 'levenscyclus' in verband met dreigingsinformatie. De levenscyclus van een cyberdreiging bestaat meestal uit de volgende fasen: richting, verzameling, verwerking, analyse, verspreiding en feedback.
Fase 1: Richting
Tijdens deze fase worden de doelstellingen voor het dreigingsinformatieprogramma ingesteld. Denk bijvoorbeeld aan:
- Begrijpen welke aspecten van de organisatie beveiligd moeten worden en mogelijk een volgorde van prioriteit opstellen.
- Vaststellen welke dreigingsinformatie de organisatie nodig heeft om haar bedrijfsmiddelen te beschermen en te kunnen inspelen op dreigingen.
- Begrijpen wat de impact van een cyberaanval op de organisatie zou zijn.
Fase 2: Verzameling
Deze fase is gericht op het verzamelen van gegevens ter ondersteuning van de doelen en doelstellingen die zijn ingesteld in Fase 1. Zowel de kwantiteit als de kwaliteit van de gegevens zijn van essentieel belang teneinde het missen van ernstige dreigingen of misleiding door 'valse positieven' te voorkomen. Tijdens deze fase moeten organisaties hun gegevensbronnen identificeren, zoals bijvoorbeeld:
- Metagegevens van interne netwerken en beveiligingsapparatuur
- Datafeeds over dreigingen van betrouwbare cybersecuritybedrijven
- Gesprekken met goed geïnformeerde belanghebbenden
- Open-source nieuwssites en blogs
Fase 3: Verwerking
Alle verzamelde gegevens moeten worden omgezet in een bruikbare indeling voor de organisatie. De verschillende werkwijzen voor het vergaren van de gegevens moeten op verschillende manieren worden verwerkt. De waarheid van gegevens uit vraaggesprekken met personen moet bijvoorbeeld worden gecontroleerd ten opzichte van andere gegevens.
Fase 4: Analyse
Als de gegevens eenmaal een bruikbare indeling hebben, is het tijd om ze te analyseren. Analyse is het proces waarbij gegevens worden omgezet in informatie op basis waarvan het bedrijf beslissingen kan nemen. Het gaat dan om beslissingen als het al dan niet verhogen van de investering in beveiligingsbronnen, of een bepaalde dreiging of serie dreigingen moet worden onderzocht, welke handelingen moeten worden genomen om een acute dreiging te elimineren, welke tools voor dreigingsinformatie nodig zijn, enzovoort.
Fase 5: Verspreiding
Na uitvoering van de analyse moeten de belangrijkste aanbevelingen en conclusies worden doorgegeven aan de belanghebbende partijen binnen de organisatie. De verschillende teams in de organisatie hebben verschillende belangen. Teneinde informatie op effectieve wijze te verspreiden, is het handig je af te vragen welke informatie elke doelgroep nodig heeft, in welke indeling en hoe vaak.
Fase 6: Feedback
De feedback van belanghebbenden verbetert de kwaliteit van het dreigingsinformatieprogramma en zorgt ervoor dat dit voldoet aan de vereisten en doelstellingen van elke groep.
De term 'levenscyclus' geeft ook aan dat dreigingsformatie niet een eenmalig, lineair proces is. Integendeel, het is een circulair proces dat voortdurend moet worden herhaald zodat organisaties verbeteringen kunnen blijven aanbrengen.
Wie trekt profijt van dreigingsinformatie?
Iedereen die belang heeft bij beveiliging profiteert van dreigingsinformatie. Vooral als je een bedrijf runt, profiteer je bijvoorbeeld van:
Minder risico
Hackers zijn altijd op zoek naar nieuwe manieren om bedrijfsnetwerken binnen te dringen. Dankzij CTI kunnen bedrijven nieuwe zwakke plekken herkennen zodra deze de kop opsteken en zo het risico op gegevensverlies of onderbreking van de dagelijkse bezigheden verlagen.
Gegevensinbreuken voorkomen
Als het goed is, helpt een alomvattend CTI-systeem gegevensinbreuken voorkomen door toezicht te houden op verdachte domeinen of IP-adressen die proberen te communiceren met de bedrijfssystemen. Een goed CTI-systeem geeft verdachte IP-adressen geen toegang tot het netwerk, zodat ze je gegevens niet kunnen stelen. Zonder een CTI-systeem kunnen hackers het netwerk overspoelen met nepverkeer en zo een DDoS-aanval (Distributed Denial of Service) uitvoeren.
Lagere kosten
Gegevensinbreuken zijn duur. In 2021 bedroegen de gemiddelde kosten van een gegevensinbreuk globaal gezien $ 4,24 miljoen (maar dit varieert per sector, waarbij de gezondheidszorg de hoogste kosten had). Deze kosten worden opgelopen door bijvoorbeeld de juridische kosten en boetes plus de kosten voor de herstelwerkzaamheden na het incident. CTI verlaagt het risico op gegevensinbreuken en helpt je dus zo geld te besparen.
Kortom, onderzoek naar dreigingsinformatie geeft een bedrijf inzicht in de cyberrisico's en welke stappen nodig zijn om deze risico's te beperken.
Waar je op moet letten bij een dreigingsinformatieprogramma
Omgaan met dreigingen vereist dat je volledig zicht hebt op je bedrijfsmiddelen. Je hebt een programma nodig dat activiteit monitort, problemen opmerkt en gegevens levert op basis waarvan je goed gefundeerde beslissingen kunt nemen om je organisatie te beschermen. Dit is waar je op moet letten bij een CTI-programma:
Op maat gemaakt dreigingsbeheer
Je zoekt een bedrijf dat toegang heeft tot je systeem, zwakke punten opmerkt, beveiligingsmaatregelen voorstelt en dat je 24 uur per dag monitort. Veel cybersecuritysystems zeggen dat ze dat doen, maar je moet een systeem zoeken dat een oplossing specifiek aan jouw behoeften kan aanpassen. Cyberveiligheid is geen 'one-size-fits-all'-oplossing, dus neem geen genoegen met een bedrijf dat dat wil verkopen.
Feeds met informatie over dreigingen
Je hebt een up-to-the-minute feed nodig met websites die op een blokkeringslijst zijn geplaatst plus kwaadwillende partijen waarop moet worden gelet.
Toegang tot onderzoeken
Je zoekt een bedrijf dat je toegang geeft tot de meest recente onderzoeken die laten zien hoe hackers binnenkomen, wat ze willen en hoe ze dat voor elkaar krijgen. Gewapend met deze informatie kan een bedrijf beter gefundeerde beslissingen nemen.
Echte oplossingen
Een CTI-programma moet je bedrijf helpen aanvallen te detecteren en de risico's te verlagen. Het moet een alomvattend programma zijn, je hebt niets aan een programma dat alleen mogelijke probleem identificeert, maar geen oplossingen aandraagt.
In de zich voortdurend uitbreidende wereld van bedreigingen kunnen cyberdreigingen ernstige gevolgen hebben voor je organisatie. Maar met solide CTI kun je de risico's verkleinen en daarmee ook het gevaar dat je reputatie en financiële situatie lopen. Vraag een demo van Kaspersky’s Threat Intelligence-portal aan en bekijk de voordelen daarvan voor je bedrijf. Zo blijf je cybercriminelen een stap voor.
Aanbevolen producten:
Ook interessant
Wat is threat intelligence, oftewel het vergaren van informatie over dreigingen? Definitie en toelichting
Kaspersky
