Enabling Trust and Business Continuity™

Threat Intelligence

Threat Intelligence (TI) -Bepaal uw bedreigingen

Threat Intelligence

In de wereld van de cybersecurity neemt Threat Intelligence (TI) een steeds belangrijkere plaats in. Het probleem is dat veel organisaties niet weten welke risico’s zij lopen en of en in hoeverre zij in staat zijn om zichzelf naar behoren te beschermen. Zij kunnen niet meer doen dan reactief handelen of het probleem ‘compliance-driven’ aan te pakken, en hebben geen heldere visie of blauwdruk om cybersecurity op een andere manier aan te pakken.

Begin vandaag nog met een Threat Intelligence programma!


(Cyber) Threat Intelligence

Veel organisaties gaan momenteel halsoverkop aan de slag met TI en schaffen standalone programma’s aan die in hun eigen hokje werken, waardoor ze niet in staat zijn om een proactieve houding aan te nemen en securityoplossingen zo efficiënt op te zetten dat ze er optimaal van kunnen profiteren. Maar het is niet genoeg om rondom uw eigen systeem nieuwe controles uit te voeren en nieuwe technologieën toe te passen. Om de kracht van TI optimaal te gebruiken, moet uw organisatie overstappen op een securitybenadering die intelligence-driven is en moet u de juiste personen aanstellen die dit programma kunnen leiden. Om een goede defensieve houding te ontwikkelen moet u de juiste cyberdreigingsinformatie verzamelen, hierin het kaf van het koren scheiden, de juiste processen en methodologieën ontdekken en invoeren, deze automatiseren en ervoor zorgen dat informatie beter wordt gedeeld, zowel intern tussen teams als extern met uw leveranciers, branchegenoten en publieke organisaties.

Natuurlijk hebben niet alle organisaties de middelen of de juiste organisatorische structuur die noodzakelijk zijn om een uitgebreid TI-programma uit te voeren. En dat hoeft ook niet. Threat Intelligence is een terugkerend proces met gedefinieerde volwassenheidsniveaus en mijlpalen. Maar, wat is Threat Intelligence nu eigenlijk? In feite draait het bij intelligentie om het verminderen van onzekerheid. Wanneer door onzekerheid de doelstellingen van een organisatie worden bedreigd, heeft intelligentie de taak om de organisatorische risico’s te verminderen. Cyberintelligentie vermindert de onzekerheid over de manier waarop bedreigingen moeten worden aangepakt, zoals elektronische misdaad, hacktivisme, terrorisme en spionage.

Om onzekerheid te kunnen verminderen en zo cyberrisico’s te kunnen beheersen, is informatie nodig die cyberaanvallers zoveel mogelijk proberen te verbergen. Intelligentie-analytici moeten deze verborgen informatie op directe of indirecte manier naar boven halen om informatie te verzamelen en te analyseren. Intelligentie-analytici gaan eerst feiten vaststellen en trekken vervolgens precieze, betrouwbare en geldige conclusies waar beleidsmakers mee aan de slag kunnen. De conclusies en voorspellingen die uit hun analyse naar voren komen, zijn van groot belang bij de operationele planning van securityactiviteiten, incidentrespons, kwetsbaarheidsmanagement, risicomanagement en besluitvorming op directieniveau.

Voordat we een goed threat-intelligenceprogramma op kunnen stellen, moeten we op de hoogte zijn van de piramide van pijn, IoC’s (Indicators of Comprimise – duidingen van intrusie) en TTP’s (tactieken, technieken en procedures). TTP is een mooie afkorting die door veel mensen in de cybersecurity wordt gebruikt, maar slechts weinig mensen weten en begrijpen echt hoe ze dit goed moeten toepassen in een programma voor ‘cyber threat intelligence’. Tactieken, technieken en procedures (TTP’s) hebben alles te maken met de manier waarop ‘threat agents’ (de slechteriken) hun aanvallen opzetten en uitvoeren. ‘Tactieken’ wordt in de afkorting TTP ook wel eens vervangen door ‘Tools’. TTP’s zijn de ‘patronen van de activiteiten of methoden die worden geassocieerd met een bepaalde ‘threat actor’ of groep van ‘threat actors’. Een analyse van de TTP’s is nuttig bij contra-intelligentie en securityactiviteiten, omdat hierdoor duidelijk wordt hoe de ‘threat agents’ hun aanvallen uitvoeren. Vervolgens kijken we wat dit betekent voor de organisatie en bepalen we de risico’s, de schade en de actoren. Wat brengt onze organisatie werkelijk schade toe? Stel bijvoorbeeld dat de machines in de fabriek het opeens niet meer doen. Hoe zou een aanvaller dit kunnen bereiken? Enzovoort.

Threat Intelligence-model

CTI (Cyber Threat Intelligence) werkt volgens dezelfde methoden als traditionele intelligentie en focust op operationele, tactische en strategische reacties op cyber-bedreigingen.

In het algemeen wordt het proces van Threat Intelligence beschreven aan de hand van ‘bekenden’ en ‘onbekenden’. Het riskantst zijn de onbekende onbekenden, bedreigingen die we niet kennen, noch begrijpen. De eerste stap in het verzamelen van informatie is dus het ontdekken van het bestaan van bedreigingen – de bekende onbekenden – en moeten we vervolgens aan de slag gaan om ze te begrijpen als bekende bekenden, waarna de juiste maatregelen tegen deze bedreigingen kunnen worden genomen. Dit continue proces van het herkennen, begrijpen en bestrijden van cyberbedreigingen is een prima beschrijving van het proces van Threat Intelligence.

In de praktijk informeert ‘Intelligence’ de organisatie hoe die een reeks veranderende, vijandige vaardigheden en activiteiten – die samen cyberbedreigingen vormen – kan voorkomen, afwenden of indien nodig vernietigen. Een intelligentie-organisatie moet de veranderende wereld van bedreigingen constant in de gaten houden om de organisatie te kunnen informeren hoe zij deze bedreigingen zo effectief mogelijk met de beschikbare middelen kunnen aanpakken.

In combinatie met Threat Hunting is dit een erg krachtig middel om de effectiviteit van de huidige beveiligingsmaatregelen te toetsen.

Neemt contact op voor een vrijblijvende intake voor uw Threat Intelligence-model

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten