Threat Intelligence voor de 99% - Deel 5: Bouw je eigen - Feeds

Welkom bij de nieuwste editie van onze doorlopende blogreeks, Threat Intelligence voor de 99% . We zijn al diep ingegaan op wat informatie over cyberbedreigingen (CTI) is, waarom het belangrijk is, wanneer u het nodig hebt en welke aanpak u moet volgen bij de implementatie ervan.

Op dit punt is het tijd om te gaan kijken naar de werkelijke elementen die een rol spelen bij het opzetten van uw eigen programma voor bedreigingsinformatie. In deze serie gaan we dieper in op deze verschillende programma-aspecten, hoe u kunt bepalen welke het beste bij uw organisatie passen en hoe u uw succes kunt meten.

We beginnen deze week met een blik op de verschillende CTI-feeds die nuttig kunnen zijn bij de opbouw van uw programma.

Tijdens deze serie ben ik steeds weer op dit centrale punt teruggekomen: CTI gaat over het nemen van gegevens en deze omzetten in actie. Dus, waar haal je de gegevens vandaan om CTI voor uw organisatie uit te voeren? In het algemeen komt het in twee vormen: rapporten en feeds.

Bij rapporten is het de uitdaging om de gepresenteerde gegevens zelf om te zetten in bruikbare informatie. Daarom vertrouwen mensen die CTI doen voor het grootste deel op feeds als onderdeel van het dataverzamelingsproces rondom intelligence. Als het gaat om feeds, zijn er twee soorten die organisaties moeten kennen: gratis en betaald.

Gratis Threat Intelligence Feeds: Overheid en non-profitorganisaties

Gratis feeds met bedreigingsinformatie zijn vaak niet altijd even doeltreffend en betrouwbaar. In het algemeen worden gratis feeds geleverd door overheidsinstanties of zijn zij afkomstig van particuliere bronnen zonder winstoogmerk.

Met overheidsbronnen kijkt u naar plaatsen zoals uw lokale CERT Urgent Response , of Infragard of het Amerikaanse ministerie van Binnenlandse Veiligheid.

Pas op: overheidsfeeds zijn vaak trager dan de betaalde commerciële feeds als het gaat om nieuwe inlichtingen.

Een inlichtingenindicator zal naar buiten komen en een commerciële feed zal waarschijnlijk binnen enkele uren worden bijgewerkt; de overheidsfeed kan een maand op zich laten wachten, tenzij hetgeen is ontdekt een bedreiging vormt voor de nationale veiligheid.

Aangezien u al het werk voor uw risicoprofiel al gedaan hebt en u begrijpt wat belangrijk is en wat niet, is het misschien niet erg dat het een maand duurt voor uw overheidstoevoer geactualiseerd is. Je moet gewoon voorbereid zijn op die realiteit.

Bovendien kunnen de regeringsfeeds soms eng gericht zijn. Hier in de VS is er het concept van 16 kritieke infrastructuren in het hele land. Overheidsfeeds kunnen u dan veel vertellen als uw organisatie bijvoorbeeld in de energiesector zit, maar misschien niet als u in de retailsector zit. Organisaties kunnen zich dus baseren op overheidsfeeds, maar het is mogelijk dat u niet de diepte en breedte van de dekking van de betaalde feeds hebt.

Veel van de feeds van non-profitorganisaties kunnen actueler zijn dan de feeds van de overheid, maar ze kunnen ook een beperkte focus hebben. Sommige zijn bijvoorbeeld meer gericht op spam dan op het opsporen van geavanceerde bedreigingen.

Met een van deze moet u een aanzienlijke investering doen (d.w.z. mensen) om de doeltreffendheid van deze feeds te controleren. U moet controleren of ze worden bijgewerkt, want soms stoppen ze gewoon. Je krijgt waar je voor betaalt, en als je er niet voor betaalt, krijg je soms niets.

Betaalde dreigingsinformatie-feeds: Feeds en Platforms

Voor betaalde commerciële CTI-feeds zijn er verschillende niveaus van opties beschikbaar, van afzonderlijke feeds die informatie verschaffen tot volwaardige platforms. Zoals u zich kunt voorstellen, kosten feeds meestal minder dan platforms, omdat de platforms verrijkings-, onderzoeks- en pivot-mogelijkheden bieden voor de informatie die u krijgt. Dat kan meer zijn dan u nodig hebt.

Verkopers verkopen je feeds gebaseerd op het aantal items dat ze constant kunnen toevoegen. Ik zou willen stellen dat je kunt meten of een feed goed is door niet alleen te kijken hoeveel het toevoegt, maar ook hoeveel het daalt. Een goed voer groeit waarschijnlijk maar met een klein percentage. Als je feeds jaar na jaar met 40% groeien, heb je een uitlaatprobleem, waarbij je te veel gegevens hebt die ofwel verouderd zijn ofwel meer dan je echt aankan.

De goede feeds zullen inzien dat gegevens een levensduur hebben. Dingen moeten aflopen, omdat bijvoorbeeld het IP dat gebruikt wordt bij bedreigingen van voorbijgaande aard is. Op een gegeven moment, zal dat dynamische IP gebruikt worden voor een ander doel. Je moet dat niet eeuwig blokkeren omdat je feeds niet erkennen dat er een informatie levenscyclus is. Dus, een van de goede meters van een goede feed is of dingen al dan niet van de achterkant rollen.

Mijn ervaring is dat de meeste betaalde feeds ongeveer 90% van dezelfde informatie bevatten bij verschillende providers. Dus bepaal nu, terwijl u uw evaluatie uitvoert, of een leverancier die extra 10% levert die specifiek is voor uw risicoprofiel of niet. Er is een punt van afnemende meeropbrengst waarop u, naarmate u twee tot drie feeds krijgt, waarschijnlijk beter af bent door dat geld te gebruiken voor detectie en preventie in plaats van voor meer informatie over bedreigingen.

Net als bij de gratis feeds kunt u deze feeds met informatie over bedreigingen waarvoor u betaalt, niet zomaar in de ijskast zetten en vergeten. U moet ze regelmatig controleren om er zeker van te zijn dat u nog steeds de bescherming krijgt die u denkt te krijgen. Er is geen centrale bank voor de kwaliteit van feeds waarnaar u kunt verwijzen. U moet dit zware karwei zelf opknappen.

Wat te doen als u eenmaal over informatie over cyberdreigingen beschikt

Dus, je hebt besloten wat de juiste feed voor jou is. Nu moet je kijken naar het concept van verrijking van de gegevens.

U hebt deze inlichtingenfabriek gecreëerd, waar u die gegevens gaat verrijken om de organisatie meer waarde te bieden. Nu moet je uitzoeken wat je nog meer met de gegevens moet doen om ze bruikbaar te maken in je omgeving. Als je die strategie doordenkt, kun je niet meer dan twee verrijkingsopdrachten uitvoeren voordat er een mens aan te pas moet komen om ervoor te zorgen dat je geen verkeerde beslissingen neemt.

Die mens moet een zekere vaardigheid bezitten om te begrijpen hoe die verrijking je beschermingsmaatregelen aan de andere kant zal beïnvloeden.

Die verrijkingsstrategie gaat samen met je feed strategie. Je hebt je feed on-boarding strategie, je verrijkingsstrategie en nu heb je een set van feeds van gegevens die nu kunnen worden geoperationaliseerd binnen je omgeving.

In de volgende editie van onze reeks zullen we kijken naar de rol van hulpmiddelen bij het bouwen van uw eigen CTI-programma .

Wilt u meer te weten komen over hoe u uw threat intelligence-programma kunt verbeteren? Bezoek ons dan op de RSA Conference in het Moscone Center in San Francisco bij stand 935 van 4 tot 8 maart.