Met cyber threat intelligence zet je in op preventieve bescherming tegen cybercrime

Cybercrime komt steeds meer voor en kent veel parallellen met de georganiseerde criminaliteit uit het dagelijks leven. De bestrijding ervan gebeurt nu doorgaans per geval en pas als het leed al is geschied. Toch is vroegtijdig ingrijpen essentieel om financiële schade en imagoschade te voorkomen. Zeker nu de gevolgen van cybercrime steeds groter worden. Denk aan Log4J, Mediamarkt en VDL. Waar Cyber Threat Intelligence een aantal jaren geleden nog ‘nice to have’ was, is het nu simpelweg noodzaak.

Monitoren, detecteren en acteren op een incident. Daarmee worden de gevolgen van cybercrime zo klein mogelijk gehouden. Toch voorkom je het hiermee niet. Cyber Threat Intelligence (CTI) zet wél in op preventie. Het stelt je in staat om vroegtijdig te anticiperen op cyberdreigingen en -aanvallen. Hoewel die bewustwording er vaak wel is, is het lastig een start te maken. Uit een recent onderzoek van Enterprise Strategy Group (ESG) blijkt dat 72 procent van de organisaties de CTI-uitgaven wil verhogen. Maar waar begin je? En waar moet je allemaal aan denken?

Zo zit CTI in elkaar

Voordat ik inga op een goede strategie rondom CTI, leg ik eerst uit wat het precies is. Met CTI worden grote hoeveelheden dreigingsinformatie verzameld, geanalyseerd en in de juiste context geplaatst. De kennis, expertise en ervaringen die door de jaren heen rondom cybercrime zijn opgedaan, zijn ingezet om Indicators of Compromise (IOCs) of Indicators of Attack (IOAs) te ontwikkelen. Met een IOC spoor je een specifieke dreiging binnen je netwerk of bedrijfsomgeving op. IOAs detecteren wat een aanvaller probeert te bereiken, onafhankelijk van de malware of exploit die hij bij een aanval gebruikt. Beide type indicators helpen je aanwijzingen voor acute of opkomende dreigingen te herkennen. Daardoor kun je proactief de nodige operationele en strategische maatregelen nemen om schade te voorkomen.

De uitdagingen rondom CTI

Toch hebben de meeste organisaties veel moeite om zich tegen aanvallen te beschermen en CTI effectief in te zetten. Dat komt ten eerste omdat er een overkill aan soorten bedreigingen is zoals gerichte aanvallen, zero-days, APT’s en botnets. Dat maakt het lastig om je proactief te verdedigen. Bovendien zijn er ook nog eens heel veel methoden beschikbaar die allemaal de claim hebben de beste te zijn. Een gerichte proactieve verdediging is dus niet zomaar bedacht. En dan heb je ook nog eens te maken met de razendsnelle evolutie van cybercrime. Word je aangevallen, dan kan dat zomaar als een verrassing komen. Of je hebt het zelfs niet eens door als er een aanval plaatsvindt. Tegen de tijd dat je een oplossing hebt bedacht, dan beschikt een hacker al over een nieuwe aanvalsvector en ben je opnieuw niet beschermd. Tot slot zijn aanvallen ook nog eens complex. Is er een datalek, dan moet je security team uitzoeken hoe de aanval plaatsvond en welke devices zijn geraakt. Een handmatig en dus tijdrovend proces.

Wat kunnen CTI oplossingen je bieden?

Er zijn verschillende vendoren die CTI services bieden. Deze zijn ontwikkeld door CTI-experts die over heel de wereld kennis hebben opgedaan van gerichte aanvallen en geavanceerde bedreigingen, zero-days en botnet-activiteiten. Deze dreigingen zijn traditioneel moeilijk te ontdekken voor security engineers omdat zij doorgaans alleen over informatie binnen hun lokale netwerk beschikken. De CTI-rapporten en feeds filteren de overload aan beschikbare informatie en bieden je de meest relevante informatie. CTI diensten geven je inzicht in de mogelijke risico’s en onbekende dreigingen op de langere termijn. Speel je proactief in op cybersecurity, dan ben je in de toekomst beter beschermd.

Waar let je op bij de selectie van een Threat Intelligentie oplossing?

Wil je een vendor selecteren, let er dan eerst op of de oplossing niet alleen op machine learning vertrouwt. Er is ook menselijke expertise nodig om de meest nauwkeurige informatie over bedreigingen te bieden. Check ook de hoeveelheid sensoren van de vendor en of deze wereldwijd zijn geplaatst. Hoe meer intellect, hoe beter de voorspelbaarheid. Handig om te weten is ook of de oplossing specifiek inspeelt op uw industrie en of je deze kunt integreren met bestaande security oplossingen. En niet onbelangrijk: controleer of de vendor rapporten maakt over APT’s en andere actuele dreigingen. Zo zie je of deze inspeelt op de laatste ontwikkelingen.