Dit moet elke manager weten over threat intelligence
Zes vragen en antwoorden over ‘threat intel’
20 juni 2019 -
Voor een digitale economie als Nederland is cybersecurity cruciaal. Het anticiperen op cyberdreigingen wordt steeds belangrijker. Toch is threat intelligence nog niet mainstream in ons land.
Wat is ‘threat intel’ precies? En waarom verdient het meer aandacht? Dr. Kiri Addison van Mimecast beantwoordt zes vragen over deze securitydiscipline.
Nederlandse organisaties hechten relatief weinig belang aan threat intelligence, blijkt uit onderzoek van Mimecast. Slechts 27 procent van de Nederlandse respondenten geeft aan dat het nu al ‘extreem belangrijk’ is voor de eigen organisatie. Een duidelijk verschil met landen als de VS (55 procent) en het Verenigd Koninkrijk (34,9 procent). Volgens Addison, werkzaam als Head of Data Science for Threat Intelligence bij Mimecast, laten Nederlandse bedrijven hiermee kansen liggen.
1. Wat is threat intelligence?
"Threat intelligence draait om het vertalen van data uit verschillende bronnen naar bruikbare inzichten om de cyberbeveiliging van de organisatie te verbeteren," zegt Addison, die jarenlange ervaring heeft als analist in een Security Operations Center (SOC). "SOC-analisten zijn vooral bezig met het tracken van Indicators of Compromise, indicatoren dat het netwerk wordt aangevallen. Maar zonder de juiste context betekent dat weinig. Threat intelligence moet direct toepasbaar en relevant zijn voor de organisatie: dit is de dreiging en dit kunt u doen om de risico’s te beperken."
2. Wat heeft een organisatie aan threat intelligence?
Addison legt uit dat threat intelligence bescherming biedt tegen een breed scala aan cyberdreigingen. "Bijvoorbeeld phishingaanvallen via e-mail. Threat intelligence kan specifieke gebruikers binnen de organisatie aanwijzen die het vaakst worden aangevallen, of die slecht presteren in securitytrainingen. Ook is het mogelijk om via opensourcedata te achterhalen welke inloggegevens van medewerkers gelekt zijn. Dat is reden om in te grijpen, zeker als de medewerker in kwestie wachtwoorden hergebruikt. Een andere trend is dat aanvallers een e-mail sturen naar een medewerker van wie inloggegevens gelekt zijn," vervolgt Addison. "Ze loggen in op dat account, laten een screenshot zien als bewijs en doen alsof ze toegang tot álle accounts van die persoon hebben. Vervolgens eisen ze een betaling in bitcoins en dreigen ze persoonlijke gegevens openbaar te maken. Als de threat intel waarschuwt voor dergelijke aanvallen, kunt u werknemers inlichten en valt het plan van de cybercrimineel in duigen."
Addison noemt nog twee voorbeelden. "Organisaties gebruiken vaak securityoplossingen met de standaardconfiguratie, terwijl dat lang niet altijd veilig is. Threat intelligence kan onveilige configuraties aan het licht brengen. En het is ook een krachtig wapen tegen supplychainaanvallen, waarbij een gehackte partij in de toeleveringsketen wordt ingezet voor bijvoorbeeld het lospeuteren van informatie via e-mail bij partners en leveranciers. Met threat intelligence bent u in staat snel te signaleren dat een partij in uw supplychain wordt misbruikt voor criminele activiteiten."
3. Is het moeilijk om als organisatie te starten met threat intelligence?
"Het destilleren van inzichten uit grote hoeveelheden data is niet eenvoudig," erkent Addison. "Veel organisaties hebben niet de kennis in huis om die vertaalslag zelf te maken. Maar zelfs als u een eigen securityteam heeft, kost het selecteren en filteren van data tijd. Het gaat vaak om eindeloze lijsten met data uit meerdere bronnen: interne data, data van securityleveranciers en opensourcedata bijvoorbeeld. Het is dan ook essentieel om dit proces zoveel mogelijk te automatiseren."
"Er zijn wel degelijk oplossingen die threat intelligence begrijpelijk en actiegericht maken," benadrukt ze. "Zo biedt Mimecast een overzichtelijk dashboard met dreigingsinformatie. Doel hiervan is om de risico’s en aanbevelingen op heldere wijze te communiceren. Op termijn willen we klanten een top vijf met dreigingen tonen waar zij nu direct actie op moeten ondernemen."
4. In hoeverre is threat intelligence al de norm in het bedrijfsleven?
Addison: "Wij merken dat grotere bedrijven al serieus bezig zijn met threat intelligence. Zij zitten erbovenop en weten bijvoorbeeld precies welke dreigingsinformatie ze nodig hebben. Maar dat is nog een uitzondering. Veel bedrijven zijn geïnteresseerd, maar ze weten eigenlijk nog niet zo goed wat threat intelligence is en wat het oplevert. Toch verwacht ik dat steeds meer organisaties hiermee aan de slag gaan. Zeker als de oplossingen toegankelijker worden en meer concrete inzichten aanreiken."
5. Wat adviseert u Nederlandse organisaties die nu geen gebruikmaken van threat intel?
"Het is belangrijk dat ze threat intelligence niet langer zien als zomaar een feed. Goede threat intel beschermt organisaties en helpt bij het maken van geïnformeerde beslissingen op basis van de risico’s. Ook is threat intel in de juiste vorm zeer waardevol voor securityteams, want het voegt focus en context toe zodat ze weten waar ze hun kostbare tijd aan moeten besteden. Wat zijn de actuele cyberdreigingen voor onze bedrijfsvoering? Welke systemen moeten nu gepatcht worden?"
6. Hoe ziet de toekomst van threat intelligence eruit?
"Het dreigingslandschap evolueert continu," vertelt Addison. "We zien bijvoorbeeld een sterke groei van malware-as-a-service: schadelijke software als dienst. Daarmee kan iedereen een aanval opzetten. Ook zorgwekkend is de opkomst van zeer gerichte ransomware-aanvallen op specifieke bedrijven, waarbij enorme bedragen aan losgeld worden geëist. En we merken dat cryptojacking – het stiekem kapen van processorkracht om cryptomunten te ‘delven’ – steeds populairder wordt.
Goede threat intel – dus géén vervuilde lijstjes met nietszeggende indicatoren – bereidt organisaties voor op de cyberdreigingen van vandaag én die van morgen. Ik verwacht dan ook dat threat intel steeds hoger op de agenda komt te staan in het bedrijfsleven. Want inzicht in de risico’s is cruciaal om een effectieve securitystrategie vorm te geven."
