We hebben te maken met dreigingsinformatie in een serie van posts hier op de blog. Eerder hebben we het gehad over hoe deze strategie werkt; we wijzen op de cyclus die moet worden doorlopen om het te bereiken.
Vandaag gaan we je helpen nadenken over de verschillende soorten informatie over bedreigingen. U zult zien dat ze stuk voor stuk inspelen op een doelstelling, of een zakelijke realiteit op het gebied van informatiebeveiliging.
Opvolgen!
3 soorten dreigingsinformatie
Bedreigingsinformatie wordt over het algemeen onderverdeeld in drie subcategorieën:
- Estrategica — bredere trends die normaal gesproken gericht zijn op een niet-technisch publiek;
- tactiek — schetsen van de tactieken, technieken en procedures van dreigingsactoren voor een meer technisch publiek;
- Operationeel — technische details over specifieke aanvallen en campagnes.
Bekijk hieronder een overzicht van elk van deze subcategorieën!
1. Strategische dreigingsinformatie
Strategische dreigingsinformatie geeft een breed overzicht van het dreigingslandschap van de organisatie. Het is bedoeld om beslissingen op hoog niveau te informeren die worden genomen door leidinggevenden en andere besluitvormers in een organisatie - als zodanig is de inhoud vaak minder technisch en wordt deze gepresenteerd door middel van rapporten of briefings.
Goede strategische inlichtingen moeten inzicht verschaffen in gebieden zoals de risico's die verbonden zijn aan bepaalde handelwijzen, brede patronen in de tactieken en doelen van dreigingsactoren en geopolitieke gebeurtenissen en trends.
Veelgebruikte informatiebronnen voor strategische dreigingsinformatie zijn onder meer:
- beleidsdocumenten van natiestaten of niet-gouvernementele organisaties;
- nieuws van lokale en nationale media, branche- en vakspecifieke publicaties of andere vakdeskundigen;
- whitepapers, onderzoeksrapporten en andere inhoud geproduceerd door beveiligingsorganisaties.
Het produceren van sterke strategische dreigingsinformatie begint met specifieke, gerichte vragen om inlichtingenvereisten te definiëren. Analisten met ervaring buiten de typische cyberbeveiligingsvaardigheden zijn ook nodig, met name een goed begrip van sociaal-politieke en zakelijke concepten.
Hoewel het eindproduct niet technisch is, vereist het produceren van effectieve strategische intelligentie diepgaand onderzoek door middel van grote hoeveelheden gegevens, vaak in meerdere talen.
Dit kan de initiële verzameling en verwerking van gegevens erg moeilijk maken om handmatig uit te voeren, zelfs voor die zeldzame analisten die over de juiste taalvaardigheden, technische achtergrond en vaardigheden beschikken.
Een oplossing voor bedreigingsinformatie die het verzamelen en verwerken van gegevens automatiseert, helpt deze last te verminderen en stelt minder ervaren analisten in staat efficiënter te werken.
2. Tactische dreigingsinformatie
Tactical threat intelligence beschrijft de tactieken, technieken en procedures van dreigingsactoren. Het moet verdedigers helpen begrijpen, in specifieke termen, hoe hun organisatie kan worden aangevallen en wat de beste manieren zijn om zich tegen die aanvallen te verdedigen of deze te verminderen.
Het bevat doorgaans een technische context en wordt gebruikt door personeel dat direct betrokken is bij de verdediging van een organisatie, zoals systeemarchitecten, beheerders en beveiligingspersoneel.
Rapporten van beveiligingsleveranciers zijn vaak de gemakkelijkste manier om tactische informatie over bedreigingen te verkrijgen.
Actief op zoek naar informatie in rapporten over de aanvalsvectoren, tools en infrastructuuraanvallers die worden gebruikt. Inclusief details over welke kwetsbaarheden het doelwit zijn en van welke exploits aanvallers profiteren, evenals welke strategieën en tools ze mogelijk gebruiken om detectie te voorkomen of uit te stellen.
3. Operationele dreigingsinformatie
Operational intelligence is kennis over cyberaanvallen, evenementen of campagnes. Het biedt deskundige inzichten die incidentresponsteams helpen de aard, intentie en timing van specifieke aanvallen te begrijpen.
Omdat dit vaak technische informatie omvat, zoals welke aanvalsvector wordt gebruikt, welke kwetsbaarheden worden uitgebuit of welke commando- en controledomeinen worden gebruikt, wordt dit type intelligentie ook wel technische bedreigingsinformatie genoemd.
Een veelvoorkomende bron van technische informatie zijn feeds met dreigingsgegevens, die zich vaak richten op een enkel type indicator, zoals malware-hashes of verdachte domeinen.
Maar als technische dreigingsinformatie strikt wordt beschouwd als afgeleid van technische informatie, zoals dreigingsgegevensfeeds, zijn technische en operationele dreigingsinformatie niet helemaal synoniem - meer als een Venn-diagram met grote overlappingen.
Andere informatiebronnen over specifieke aanvallen kunnen afkomstig zijn uit gesloten bronnen, zoals het onderscheppen van communicatie van dreigingsgroepen, hetzij door infiltratie, hetzij door inbreuk op deze communicatiekanalen.
Bijgevolg zijn er enkele belemmeringen voor het verzamelen van dit soort informatie:
- toegang — Dreigingsgroepen kunnen communiceren via privé, versleutelde kanalen of hebben een identiteitsbewijs nodig. Ook zijn er taalbarrières bij dreigingsgroepen in het buitenland.
- ruido — Het kan moeilijk of onmogelijk zijn om handmatig goede informatie te verzamelen uit grootschalige bronnen zoals chatrooms en sociale media.
- Verduistering — Om detectie te voorkomen, kunnen bedreigingsgroepen gebruik maken van verduisteringstactieken, zoals het gebruik van aliassen.
Threat intelligence-oplossingen die afhankelijk zijn van machine learning-processen voor geautomatiseerde grootschalige gegevensverzameling, kunnen veel van deze problemen oplossen bij het ontwikkelen van effectieve operationele informatie over bedreigingen.
Een oplossing die bijvoorbeeld natuurlijke taalverwerking gebruikt, zal informatie kunnen verzamelen uit bronnen in vreemde talen zonder dat menselijke kennis nodig is om het te ontcijferen.
Hoe wordt in uw bedrijf omgegaan met het onderwerp dreigingsinformatie? Ga dieper op dit concept in door het eBook te downloaden die we net hebben uitgebracht!
