Threat Intelligence: wat zijn de voordelen van deze strategie?

De diverse gebruiksscenario's van Threat Intelligence maken het een essentiële hulpbron voor multifunctionele teams in elke organisatie. 

Hoewel het misschien het meest direct waardevol is bij het voorkomen van een aanval, is dreigingsinformatie ook een nuttig onderdeel van triage, risicoanalyse, kwetsbaarheidsbeheer en uitgebreide besluitvorming.

Uitchecken!

→ Alvorens verder te gaan met dit artikel, wil je misschien de eerdere teksten bekijken die we al hebben gepubliceerd. Daar zijn ze:

  1. Threat Intelligence: waarom is deze strategie belangrijk voor bedrijven?
  2. Soorten bedreigingsinformatie: welke moet u in uw bedrijf implementeren?

Bedreigingsinformatie biedt respons op incidenten

Beveiligingsanalisten die belast zijn met incidentrespons rapporteren enkele van de hoogste niveaus van stress in de branche, en het is geen wonder waarom. Het aantal cyberincidenten is de afgelopen twee decennia gestaag toegenomen en een groot deel van de dagelijkse waarschuwingen bleken valse positieven te zijn. 

Bij het omgaan met echte incidenten moeten analisten vaak tijd besteden aan het handmatig doorzoeken van de gegevens om het probleem te beoordelen.

Bedreigingsinformatie vermindert de druk op verschillende manieren:

  • automatisch identificeren en verwijderen van valse positieven;
  • waarschuwingen verrijken met realtime context, zoals aangepaste risicoscores;
  • vergelijken van informatie uit interne en externe bronnen.

Zie nu hoe een goed gestructureerde en uitgevoerde strategie voor dreigingsinformatie een flexibele en efficiënte respons op incidenten oplevert!

Bedreigingsinformatie verbetert beveiligingsoperaties

De meeste teams voor beveiligingsoperaties hebben te maken met grote hoeveelheden waarschuwingen die worden gegenereerd door de netwerken die ze bewaken. Het screenen van deze waarschuwingen duurt lang en veel worden nooit onderzocht, waardoor een zekere "vermoeidheid" ontstaat die professionals ertoe brengt de ernst van de problemen niet goed te overwegen. 

Bedreigingsinformatie lost veel van deze problemen op door sneller en nauwkeuriger informatie te verzamelen, valse alarmen uit te filteren, triage te versnellen en analyse te vereenvoudigen. Hiermee kunnen analisten stoppen met het verspillen van tijd aan het zoeken naar waarschuwingen op basis van:

  • acties die eerder ongevaarlijk dan kwaadaardig zijn;
  • aanvallen die niet relevant zijn voor het bedrijf;
  • aanvallen waarvoor al verdedigingen en controles bestaan.

Naast het versnellen van triage, kan dreigingsinformatie beveiligingsteams helpen om incidentanalyse en -beheersing te vereenvoudigen.

Maakt kwetsbaarheidsbeheer krachtiger

Effectief kwetsbaarheidsbeheer betekent overstappen van een "alles, altijd oplossen"-benadering - die niemand realistisch kan bereiken - naar prioriteiten stellen op basis van reëel risico.

Hoewel het aantal bedreigingen elk jaar toeneemt, blijkt uit onderzoek dat de meeste van hen zich richten op hetzelfde kleine deel van de kwetsbaarheden. Bedreigingsactoren zijn ook sneller: het duurt nu gemiddeld slechts vijftien dagen tussen de aankondiging van een nieuwe kwetsbaarheid en het verschijnen van een exploit die erop gericht is.

Dit heeft twee implicaties:

  1. Je hebt twee weken om je systemen te patchen tegen een nieuwe exploit. Lukt het niet om binnen deze termijn te corrigeren, maak dan een plan om de schade te beperken.
  2. Als een nieuwe kwetsbaarheid niet binnen twee weken tot drie maanden wordt uitgebuit, heeft het oplossen ervan mogelijk een lagere prioriteit.

Threat Intelligence helpt u bij het identificeren van kwetsbaarheden die een reëel risico vormen voor uw organisatie door interne scangegevens voor kwetsbaarheden, externe gegevens en aanvullende context over bedreigingsactoren te combineren.

Vergemakkelijkt risicoanalyse

Risicomodellering kan voor organisaties een handige manier zijn om investeringsprioriteiten vast te stellen. Maar veel risicomodellen hebben last van vage, niet-gekwantificeerde resultaten die haastig worden samengesteld, op basis van gedeeltelijke informatie, ongegronde aannames of moeilijk om naar te handelen.

Bedreigingsinformatie biedt context die u helpt om gedefinieerde risicometingen te doen. Het kan helpen bij het beantwoorden van vragen als:

  • Welke dreigingsactoren gebruiken deze aanval en richten zich op onze branche?
  • Hoe vaak is deze specifieke aanval recentelijk waargenomen door bedrijven zoals het onze?
  • Is de trend omhoog of omlaag?
  • Welke kwetsbaarheden worden door deze aanval misbruikt en zijn deze kwetsbaarheden aanwezig in ons bedrijf?
  • Wat voor schade, technisch en financieel, heeft deze aanval aangericht bij bedrijven zoals het onze?

Zorgt voor fraudepreventie

Uw organisatie veilig houden gaat niet alleen over het detecteren van en reageren op bedreigingen die uw systemen al misbruiken. U moet ook frauduleus gebruik van uw gegevens of merk voorkomen.

Informatie over dreigingen die is verzameld uit ondergrondse criminele gemeenschappen, biedt inzicht in de motivaties, methoden en tactieken van dreigingsactoren. Vooral als het is gecorreleerd met informatie op het web, inclusief feeds en technische indicatoren.

Gebruik bedreigingsinformatie om het volgende te voorkomen:

  • betalingsfraude — Monitoring van bronnen zoals criminele gemeenschappen, collagesites en andere forums voor relevante betaalkaartnummers, bank-ID-nummers of specifieke verwijzingen naar financiële instellingen kan een vroege waarschuwing geven voor toekomstige aanvallen die uw organisatie kunnen treffen.
  • gecompromitteerde gegevens — Cybercriminelen uploaden regelmatig massale caches met gebruikersnamen en wachtwoorden op het dark web, of stellen ze beschikbaar voor verkoop op ondergrondse markten. Controleer deze bronnen op gelekte inloggegevens, bedrijfsgegevens of bedrijfseigen code.
  • typosquatting — Ontvang realtime waarschuwingen over nieuw geregistreerde phishing- en typosquatting-domeinen om te voorkomen dat cybercriminelen zich voordoen als uw merk en nietsvermoedende gebruikers oplichten.

veiligheidsleiderschap

Beveiligingsleiders moeten risico's beheren door de beperkte beschikbare middelen in evenwicht te brengen met de noodzaak om hun organisaties te beschermen tegen steeds veranderende bedreigingen. 

Bedreigingsinformatie kan helpen het risicolandschap in kaart te brengen, de impact te berekenen en het beveiligingsteam de context te geven om betere, snellere beslissingen te nemen.

Vandaag moeten veiligheidsleiders:

  • zakelijke en technische risico's beoordelen, inclusief opkomende bedreigingen en "bekende onbekenden" die van invloed kunnen zijn op het bedrijf;
  • de juiste strategieën en technologieën identificeren om risico's te beperken;
  • de aard van de risico's aan het senior management communiceren en investeringen in defensieve maatregelen rechtvaardigen.

Bedreigingsinformatie kan een essentiële hulpbron zijn voor al deze activiteiten en inzicht verschaffen in algemene trends zoals:

  • welke soorten aanvallen komen steeds vaker (of minder) voor;
  • welke soorten aanvallen zijn het duurst voor slachtoffers;
  • welke nieuwe soorten dreigingsactoren ontstaan ​​en op welke activa en bedrijven zij zich richten;
  • welke beveiligingspraktijken en -technologieën meer (of minder) succesvol zijn geweest in het stoppen of verminderen van deze aanvallen.

Het kan beveiligingsgroepen ook in staat stellen te beoordelen of een opkomende dreiging waarschijnlijk van invloed is op het bedrijf op basis van factoren zoals:

  • Industrie — Heeft de dreiging gevolgen voor andere bedrijven in onze branche?
  • Technologie — Betreft de dreiging het compromitteren van software, hardware of andere technologieën die in ons bedrijf worden gebruikt?
  • aardrijkskunde — Is de dreiging gericht op installaties in regio's waar we actief zijn?
  • aanvalsmethode: — Werden de bij de aanval gebruikte methoden, inclusief social engineering en technische methoden, met succes tegen ons bedrijf of iets dergelijks gebruikt?

Met dit soort informatie, verzameld uit een brede reeks externe gegevensbronnen, krijgen besluitvormers op het gebied van beveiliging een holistisch beeld van het cyberrisicolandschap en de grootste risico's.

Vermindert risico's die afkomstig zijn van derden

Talloze organisaties transformeren de manier waarop ze zaken doen door middel van digitale processen. Ze verplaatsen gegevens van interne netwerken naar de cloud en verzamelen meer informatie dan ooit tevoren.

Door gegevens gemakkelijker te verzamelen, op te slaan en te analyseren, verandert zeker veel industrieën ten goede, maar deze vrije stroom van informatie heeft een prijs. 

Dit betekent dat we bij het inschatten van het risico van onze eigen organisatie ook rekening moeten houden met de veiligheid van onze partners, leveranciers en andere derden.

Helaas blijven veel van de meest voorkomende risicobeheerpraktijken van derden die tegenwoordig worden gebruikt, achter bij de beveiligingsvereisten. 

Statische beoordelingen zoals financiële audits en controles van veiligheidscertificaten zijn nog steeds belangrijk, maar ze missen vaak context en komen niet altijd op tijd. Er is behoefte aan een oplossing die realtime context biedt over het echte bedreigingslandschap.

Bedreigingsinformatie is een manier om dat te doen. Deze strategie kan transparantie bieden in de omgevingen van de derde partijen waarmee u werkt. Dit biedt realtime waarschuwingen over bedreigingen en veranderingen in hun risico's.

Hoe wordt in uw bedrijf omgegaan met het onderwerp dreigingsinformatie? Ga dieper op dit concept in door het eBook te downloaden die we net hebben uitgebracht!

Klik hier om te downloaden


Aandeel