Threat Intelligence (TI) is een geavanceerd security monitoring systeem waarmee we continu bedreigingen en aanvallen kunnen volgen, zodat we er beter op kunnen reageren, maar nog belangrijker, erop kunnen anticiperen.
Er zijn verschillende soorten Threat Intelligence. Elk type is aangepast aan de volwassenheid van het beveiligingssysteem van het bedrijf en de bijbehorende (menselijke en technologische) middelen.
Er zijn vier hoofdlijnen: de strategische, tactische, operationele en technische benadering.
Tactical Threat Intelligence wordt geassocieerd met "Tactics, Techniques and Procedures", soms ook bekend als "Tools, Techniques, Procedures." TTP blijft de modus operandi van cyberaanvallers: ze karakteriseren de acties van een tegenstander en zijn manier van doen.
Tactical Threat Intelligence biedt informatie over het gedrag, de gewoontes, middelen en technieken van aanvallers, inclusief malware-analyse, antivirus workarounds en tools die worden gebruikt om Denial of Service aanvallen uit te voeren, beter bekend als DDoS (Distributed Denial of Service-aanvallen) .
Tactical Threat Intelligence stelt ons dus in staat de modus operandi van de aanvallers te begrijpen. Het gebruik ervan helpt bij het ontwikkelen van proactieve beveiligingsapparatuur en snelle besluitvorming tijdens en na detectie van de inbreuk.
Threat Intelligence omvat het verwerken van een grote hoeveelheid informatie, die meestal in de vorm van ruwe data binnenkomt en in grote hoeveelheden beschikbaar is.
Deze gegevens bevatten compromitterende indicatoren zoals IP's, URL's en hash lists. Deze informatie maakt het mogelijk om een lopende aanval te identificeren en gemakkelijker te blokkeren.
Het is echter essentieel om te weten dat ze een zeer korte levensduur hebben. Het is inderdaad eenvoudig voor een aanvaller om een IP-adres te wijzigen of een MD5 checksum aan te passen. Daarom wordt deze Threat Intelligence het vaakst ingezet door Security Operation Centers (SOC's) teams die toezicht houden op bedrijfsinformatiesystemen en deze beschermen.
Daarom is het voor betrouwbare Tactical Threat Intelligence beter om deze gegevens zo snel mogelijk te integreren, idealiter "real-time" en dus op geautomatiseerd.
Dit type Threat Intelligence is bedoeld om aanvallen te identificeren door informatie zo dicht mogelijk bij de aanvaller te verzamelen. Het bevat de feitelijke lijst van aanvallen en maakt het mogelijk om voor te bereiden op degenen die al zijn geïdentificeerd.
Deze Threat Intelligence wordt doorgaans ingezet door de security manager of de incident response manager. Het wordt minder vaak gebruikt in bedrijven en is relevanter voor overheidsorganisaties.
De verzamelde informatie is voornamelijk afkomstig van fora en het dark web, die moeilijker toegankelijk zijn. Ook wisselen veel van deze gemeenschappen niet uit in het Engels, wat de zaken nog ingewikkelder maakt.
Strategic Threat Intelligence biedt voornamelijk toegang tot niet-technische analyse en informatie op hoog niveau voor besluitvormers. Het faciliteert betere anticipatie op de verdedigingsstrategieën die moeten worden gevolgd in lijn met de evolutie van de risico's.
Het kan bijvoorbeeld de financiële impact van kwaadwillende activiteiten kwantificeren of anticiperen op de sterke trends van een periode in termen van aanvallen. Het geldt voor alle sectoren, zowel bij het bedrijfsleven als bij de overheid.
Threat Intelligence biedt een echt voordeel als het op de juiste manier wordt gebruikt, omdat security nu een onderscheidende factor is in alle sectoren. Momenteel is de markt voornamelijk gericht op technische en tactische Threat Intelligence, wat de detectiemogelijkheden verbetert.
Bron:
Threat Intelligence: Collecting, Analyzing, Evaluating - MWR