Na de ransomeware-aanvallen WannaCry en Petya zijn bedrijven en organisaties druk met het nog effectiever inrichten van hun cybersecurity-systeem. De volgende stap hierbij is het gebruik van threat intelligence (TI). Er wordt dan vooral gekeken naar wie de hackers zijn en hoe zij te werk gaan, maar het ‘waarom’, oftewel de strategische TI, vergeten bedrijven nog te veel.
Net als voor cybersecurity geldt voor TI dat het lastig is om simpel te zeggen wat het is en wat bedrijven ervoor moeten regelen. TI kun je omschrijven als ‘geanalyseerde informatie over het doel, de capaciteiten en de mogelijkheden die een menselijke tegenstander heeft’. Dus waar zijn de hackers op uit en hoe gaan ze te werk? Als je die informatie hebt, kun je je beveiliging daarop inrichten.
'TI kun je omschrijven als ‘geanalyseerde informatie over het doel, de capaciteiten en de mogelijkheden die een menselijke tegenstander heeft’.
Bij TI onderscheiden we drie niveaus: tactisch, operationeel en strategisch. Tactische TI bestaat doorgaans uit de technische indicatoren die door hackers worden gebruikt (‘hoe’). Operationele TI geeft inzicht in de operatie: De verschillende campagnes die uitgevoerd worden en welke tactieken, technieken en procedures door de aanvallers gebruiken (‘wie’). Strategische TI vertelt iets over de motieven en drijfveren van aanvallers (‘waarom’).
Strategische TI minstens zo belangrijk
Bedrijven richten zich momenteel vooral op operationele en tactische TI, vooral omdat de noodzaak voor deze informatie duidelijk is. Maar strategische TI is minstens zo belangrijk. Kennis over de motieven van hackers en het waarom zij zich op een specifieke organisatie of industrie richten, vormt een essentieel onderdeel in de digitale bescherming. Ik geef twee voorbeelden waaruit duidelijk wordt waarom:
- Een Nederlandse bierbrouwer neemt in een ander land een lokale bierbrouwerij over. Deze lokale bierbrouwerij is de nationale trots van het land. Een activistische hackersgroep is zeer gekant tegen de verkoop van ‘nationale belangen’ en richt zijn pijlen op de Nederlandse bierbrouwerij. Als de Nederlandse brouwerij dit vooraf had geweten en ook nog op de hoogte was geweest van de tactiek, de technieken en de procedures van deze hackersgroep, had zij adequate maatregelen op het gebied van cybersecurity kunnen treffen.
- Een Nederlandse multinational neemt deel aan een grote aanbesteding. In deze aanbesteding concurreert het bedrijf met onder andere een grote multinational uit een ander Europees land. In veel landen om ons heen stelt de wet dat het de taak van de nationale inlichtingendienst is om de nationale economie te bevorderen. De Nederlandse multinational is nu dus doelwit geworden van de inlichtingendienst van een ander land. Dit verandert het dreigingsprofiel aanzienlijk.
Kennis over de motieven van hackers en het waarom zij zich op een specifieke organisatie of industrie richten, vormt een essentieel onderdeel in de digitale bescherming. Door de kennis over de eigen organisatie te combineren met kennis over TI kan een bedrijf het beveiligingsniveau adequaat aanpassen. Met andere woorden: als je weet waarmee de business zich bezighoudt en waarop hij zich richt, kun je kijken of bepaalde specifieke dreigingen relevant worden. Op basis daarvan kun je maatregelen treffen.
Cyber fusion cells
Hiervoor zijn wel capabele medewerkers nodig die deze correlatie kunnen maken. Grote banken bouwen momenteel zogenoemde cyber fusion cells. Hierin worden verschillende informatiebronnen met elkaar gecombineerd en, al dan niet met behulp van kunstmatige intelligentie, gecorreleerd. Denk hierbij aan interne technische informatie (operationele IT), kennis over de business, het monitoren van open en gesloten bronnen (bijvoorbeeld het dark web) en kennis over de eigen IT-systemen en –architectuur. Vanuit de cel krijgen vervolgens de afdelingen binnen een organisatie toepasbare TI aangeleverd (actionable intelligence).
Om een cyber fusion cell optimaal te laten functioneren, is meer dan alleen technische kennis noodzakelijk. Vooral medewerkers met een (inlichtingen)analyse-achtergrond zijn essentieel. Zij zijn namelijk gewend om grote hoeveelheden data te analyseren en in staat strategische TI-rapporten te verwerken en te schrijven. Dit is een ander profiel dan het profiel van een cybersecurity-specialist. Om een cyber fusion cell optimaal te laten functioneren, is meer dan alleen technische kennis noodzakelijk.
Het aanbod van analisten op de arbeidsmarkt is beperkt. Daarnaast kan het noodzakelijk zijn om TI in verschillende talen te vergaren. Securitybedrijven spelen hierop in door TI ondersteunende diensten te leveren, bijvoorbeeld het monitoren van het dark web, het leveren van bedrijfsspecifieke TI-rapporten en het (tijdelijk) detacheren van analisten bij hun klanten
Threat intelligence gaat dus vooral over (de juiste) mensen, zeker op strategisch niveau. Gecombineerd met kennis over de ontwikkelingen in de business en de eigen IT-systemen, maakt TI een essentieel onderdeel uit van een goede cybersecuritystrategie.
Bron: NRCLive
Event: NRCLive Cyberinsecurity 2017. Cybercriminelen die mensen hacken: wat kunnen we er tegen doen? Laat je volledig informeren door Matthijs en vele andere topsprekers op 28 september 2017 tijdens hét Cybersecurity event van NRC Live.