23 oktober 2016

Threat intelligence: leer je vijand kennen

Organisaties hebben verschillende instrumenten in de strijd tegen cybercriminaliteit. Threat intelligence is er daar één van. Deze tak van cyberbeveiliging draait om het voorspellen van aanvallen. Wat houdt threat intelligence precies in?

Simpel gezegd is threat intelligence alle relevante kennis die een organisatie helpt om (nieuwe) cyberdreigingen te identificeren. Wie heeft het op mij gemunt? Wat zijn hun intenties? En welke aanvalstechnieken hanteren ze? Deze inzichten stellen bedrijven in staat om te anticiperen op actuele dreigingen en bekende aanvallen te detecteren. Als je weet hoe je vijanden te werk gaan, kun je ook gerichte securitymaatregelen nemen.

CISO Jaya Baloo organiseerde onlangs een zeer interessante kennissessie over threat intelligence, in het kader van de bewustwordingscampagne Alert Online waarvan KPN hoofdpartner is. Diverse experts deelden hun visie op threat intelligence. De keynote van de dag werd verzorgd door Christian Doerr, Assistant Professor Cyber Security aan de TU Delft. Hij vertelde hoe threat intelligence kan bijdragen aan een optimale verdediging.

Van reactief naar proactief

Een cyberaanval verloopt via de Martin Lockheed-killchain. Deze aanvalsketen begint met een aantal voorbereidende stappen, zoals de verkenningsfase, het ontwikkelen van een wapen en het ‘bezorgen’ ervan. Daarna pas proberen hackers het systeem te besmetten of netwerk binnen te dringen. Het manco van beveiligingstools als virusscanners en firewalls is dat ze reactief van aard zijn. Ze worden pas ingezet aan het einde van de keten.

Met Threat intelligence kunnen organisaties proactief, dus veel eerder inspelen op concrete dreigingen. Dat verkleint de (financiële) impact van een cyberaanval. Maar threat intelligence moet wel gekoppeld worden aan effectieve monitoring, bijvoorbeeld Security Information & Event Monitoring (SIEM). Ook andere ‘basics’ als een goed patchbeleid, defensieve maatregelen en incident-response zijn cruciaal.

Als die basis op orde is, kan threat intelligence een waardevolle aanvulling zijn. De keynote over dit onderwerp is een prima startpunt. Ook de twee andere recente kennissessies, over IoT-security en quantumcomputing, zijn zeker het terugkijken waard.

Gerelateerde artikelen