Threat Intelligence: hoe werkt het in de praktijk?

Hoe Threat Intelligence werkt - Flexa Cloud

Hoe wordt informatie over cyberdreigingen geproduceerd? Hoe werkt het in de dagelijkse praktijk van bedrijven? Welke voordelen hebben organisaties die er gebruik van maken meer kans om te verkrijgen, vergeleken met hun collega's die er nog niet zijn?

In onze serie artikelen over dit onderwerp proberen we u te helpen begrijpen waarom dit concept van fundamenteel belang is. Laten we nu proberen deze vragen te beantwoorden. Uitchecken! 

→ Misschien wilt u een introductie in het concept van threat intelligence. Lees dan eerst dit artikel: 

De zes fasen van de Threat Intelligence-cyclus

Cyberthreat intelligence is het eindproduct dat voortkomt uit een zesdelige cyclus van het verzamelen, verwerken en analyseren van data. Dit proces is een cyclus omdat nieuwe problemen en kennislacunes worden geïdentificeerd tijdens de ontwikkeling van inlichtingen, wat leidt tot de definitie van nieuwe verzamelingsvereisten. 

In die zin is een effectief inlichtingenprogramma iteratief en wordt het in de loop van de tijd verfijnder.

Om de waarde van de bedreigingsinformatie die u produceert te maximaliseren, is het van cruciaal belang om uw gebruiksscenario's te identificeren en doelstellingen te definiëren voordat u iets anders doet. Volg de onderwerpen die volgen!

1. Planning en richting

De eerste stap om bruikbare informatie over bedreigingen te produceren, is het stellen van de juiste vragen.

De vragen die het beste leiden tot het creëren van bruikbare informatie over bedreigingen, zijn gericht op één feit, gebeurtenis of activiteit - brede, open vragen moeten over het algemeen worden vermeden.

Geef prioriteit aan uw inlichtingendoelstellingen op basis van factoren zoals hoe nauw ze aansluiten bij de kernwaarden van uw organisatie, hoe groot de impact van de resulterende beslissing zal zijn en hoe gevoelig de beslissing is.

Een belangrijke leidende factor in dit stadium is inzicht in wie het eindproduct zal consumeren en ervan zal profiteren. 

U moet vragen en antwoorden: 

  • Gaat de informatie naar een team van technisch onderlegde analisten die een snel rapport over een nieuwe exploit nodig hebben? 
  • Of voor een leidinggevende die op zoek is naar een breed overzicht van trends om hun beslissingen over beveiligingsinvesteringen voor het volgende kwartaal te onderbouwen?

2. Collectie

De volgende stap is het verzamelen van ruwe data die voldoet aan de eisen die in de eerste fase zijn gedefinieerd. Het is het beste om informatie-assets te verzamelen uit een groot aantal verschillende bronnen: interne, zoals netwerkgebeurtenislogboeken en eerdere incidentresponsrecords; en externe bronnen van het open web, dark web en technische bronnen.

Bedreigingsgegevens worden over het algemeen beschouwd als lijsten met IoC's, zoals kwaadaardige IP-adressen, domeinen en bestandshashes. Maar het kan ook informatie over kwetsbaarheden bevatten, zoals persoonlijk identificeerbare informatie van klanten, onbewerkte code van geplakte websites en tekst van nieuwsbronnen of sociale netwerken.

3. Verwerking

Nadat alle onbewerkte gegevens zijn verzameld, moet u deze classificeren, organiseren met metadatatags en overtollige informatie of valse positieven en negatieven eruit filteren.

Tegenwoordig verzamelen zelfs kleine organisaties dagelijks gegevens in de orde van miljoenen loggebeurtenissen en honderdduizenden indicatoren. Het is te veel voor menselijke analisten om efficiënt te verwerken - het verzamelen en verwerken van gegevens moet worden geautomatiseerd om zinvol te worden.

Oplossingen zoals SIEM's zijn een goed startpunt omdat ze het structureren van gegevens relatief eenvoudig maken met correlatieregels die kunnen worden geconfigureerd voor een paar verschillende gebruiksscenario's, maar die slechts een beperkt aantal gegevenstypen kunnen bevatten.

Als u ongestructureerde gegevens uit veel verschillende interne en externe bronnen verzamelt, heeft u een robuustere oplossing nodig. 

4. Analyse

De volgende stap is het begrijpen van de verwerkte gegevens. Het doel van de analyse is om potentiële beveiligingsproblemen op te sporen en relevante teams op de hoogte te stellen in een formaat dat voldoet aan de inlichtingenvereisten die zijn uiteengezet in de plannings- en regiestap.

Bedreigingsinformatie kan vele vormen aannemen, afhankelijk van uw aanvankelijke doelen en doelgroep. Maar het idee is om informatie-assets in een formaat te plaatsen dat het publiek begrijpt, dat kan variëren van eenvoudige dreigingslijsten tot peer-reviewed rapporten.

5. Openbaarmaking

Het eindproduct wordt vervolgens gedistribueerd naar de beoogde consumenten. Om dreigingsinformatie bruikbaar te maken, moet het de juiste mensen op het juiste moment bereiken.

Het moet ook traceerbaar zijn, zodat er continuïteit is tussen de ene inlichtingencyclus en de volgende. Op die manier gaat het leren niet verloren. 

Het wordt aanbevolen om ticketingsystemen te gebruiken die integreren met uw andere beveiligingssystemen om elke stap van de inlichtingencyclus te volgen - elke keer dat er een nieuw inlichtingenverzoek binnenkomt, kunnen tickets worden ingediend, geschreven, beoordeeld en ingevuld door meerdere mensen in verschillende teams.

6. Opmerkingen

De laatste fase is wanneer de inlichtingencyclus is voltooid, waardoor deze nauw aansluit bij de initiële plannings- en regiefase. 

Na ontvangst van het voltooide inlichtingenproduct beoordeelt de eerste aanvrager het en bepaalt of hun vragen zijn beantwoord. Dit stuurt de doelstellingen en procedures van de volgende inlichtingencyclus, waardoor documentatie en continuïteit essentieel zijn.

Hoe wordt in uw bedrijf omgegaan met het onderwerp dreigingsinformatie? Ga dieper op dit concept in door het eBook te downloaden die we net hebben uitgebracht!

klik om te downloaden