Threat Intelligence Best Practices voor Lean IT Organisaties - Deel 1

Noot van de redactie: Voor professionals op het gebied van cyberbeveiliging gaat het bij bedreigingsinformatie ( ) niet alleen om het reageren op indicatoren van compromittering ( ) nadat deze een organisatie al hebben getroffen.

In een recent gesprek met Black Hat-redacteur Terry Sweeney voor hun Executive Interview Series legde Josh Douglas, VP Threat Intelligence bij Mimecast, uit hoe echte bedreigingsinformatie een holistische, geïntegreerde aanpak vereist die verschuivingen in de organisatiecultuur omvat naast technologische verbeteringen.

Wat volgt is een bewerkt transcript van een deel van de discussie. U kunt de hele discussie hier bekijken .

V: Beveiligingsprofessionals vertrouwen zo veel op bedreigingsinformatie en traditionele indicatoren van compromittering om gebruikers en gegevens veilig te houden. Laten we het eens hebben over enkele beperkingen en uitdagingen, vooral voor slanke IT-organisaties.

A: Wanneer we het hebben over threat intelligence , hebben we het volgens mij over compromisindicatoren. Dat is eigenlijk informatie over bedreigingen na een inbraak. Ofwel moet je gecompromitteerd zijn, ofwel ben je bezig gecompromitteerd te worden. Ten eerste geeft dit de lean-IT niet echt een voorsprong op de curve. Ten tweede geeft het meer ruis te zien, wat volgens mij het grootste probleem is voor IT, omdat ze tijd moeten besteden aan het doornemen van die gegevens, het analyseren ervan en het reageren erop. Wat je meestal vindt, is dat het merendeel van die gegevens niet relevant is voor de organisatie of dat ze te onschuldig zijn om er iets mee te kunnen doen.

V: Het klinkt alsof middelen een uitdaging zijn, wat voor de meeste organisaties geldt, of het nu gaat om extra personeel, de aanschaf van technologie of grotere kapitaalbudgetten, allemaal om te verdedigen en te beschermen. Zouden meer geld en grotere kapitaalbudgetten dit probleem niet moeten oplossen?

A: Ik zou wel willen, maar als je kijkt naar de gemeenschap van vandaag, dan hebben mensen het over beperkte middelen en dat gaat verder dan de aspecten van het inhuren van personeel. Want zelfs als ik al het geld van de wereld zou hebben, zou ik misschien niet in staat zijn om het probleem in zijn geheel op te lossen, wat betekent dat ik er met een andere bril naar moet kijken. Als ik morgen tienduizenden mensen op dit probleem zou kunnen zetten, zouden we het misschien kunnen oplossen. Maar uiteindelijk heeft de lean IT niet dat soort financiering in de eerste plaats, anders zouden ze een groot team hebben.

V: Toch is de trend dat de hoeveelheid malware en het aantal dagelijkse aanvallen onverbiddelijk blijven toenemen. Wat doen slimme organisaties om dit aan te pakken?

A: Ze zoeken meestal een dienstverlener die al die indicatoren van compromissen al gebruikt, zodat zij dat niet hoeven te doen. Het tweede aspect is dat ze een meer holistische strategie ontwikkelen om de broekriem aan te halen en een aantal van de tactische zaken die ze eerst moeten doen, aan te pakken. Maar organisaties die wat strategischer van aard zijn, beginnen ook te begrijpen wat hun risico is in vergelijking met hun concurrenten en wat het verschil is tussen informatie over bedreigingen van binnenuit en van buitenaf.

V: Maar toch, focussen op inbraken en potentiële malware heeft zijn eigen beperkingen. Als klanten proberen een meta view te krijgen, wat voor soort dingen moeten ze dan aan de mix toevoegen?

A: In mijn vorige leven, toen ik een CISO was, rapporteerde ik aan de raad van bestuur over vier dingen - compliance, oftewel de dingen die ik moest doen; de inzet die ik van het bedrijf nodig had; complexiteit, oftewel de dingen die ik niet in de hand heb, zoals inbreuken, aanvallen, enzovoort; en eigenlijk het vierde ding was cultuur. Slimme bedrijven beginnen na te denken over het feit dat cultuur over de hele linie een grote rol speelt, wat betekent dat ze naar hun hele gemeenschap moeten kijken.

V: U hebt gesproken over een strategie die klanten aanmoedigt om hun IT-investering te operationaliseren. Hoe ziet dat er praktisch en strategisch gezien uit?

A: Praktisch betekent dat u de normale dingen doet, zoals een goede hygiëne. Heb ik mijn gereedschap op de juiste manier aangezet? Heb ik mijn tools op de juiste manier aangezet? Gebruik ik die beveiligingsfuncties? Heb ik gecommuniceerd met mijn klanten? Dat zijn het soort dingen die ze moeten weten over beveiliging.

Strategisch is echter teruggaan naar de kern van het probleem. Dus als ik denk aan een malware-aanval, is de oorzaak van het probleem niet noodzakelijkerwijs dat ik niet over de beste detectiemechanismen beschik, want dat kan. Zelfs als we kijken naar phishing-aanvallen vandaag de dag, komen sommige door de deur zonder enige vorm van malware en gaan ze uitsluitend op sociale aspecten van de menselijke anatomie af, wat betekent dat ik de bredere aspecten van beveiliging moet uitbreiden naar de hele gemeenschap.

Ik moet ervoor zorgen dat ze een bewustwordingstraining hebben gehad, enz. Ik moet er misschien zelfs voor zorgen dat ze die complexiteiten begrijpen, bijvoorbeeld als ze hun gebruikersnaam of wachtwoord van het werk op een persoonlijke account zetten, of dat nu Facebook, LinkedIn, enz. is, kan dat direct terugkomen en het bedrijf schaden.