Threat Intelligence voor de 99 procent - Deel 6: Bouw je eigen - Tools

Welkom bij de nieuwste editie van onze doorlopende blogreeks, Threat Intelligence voor de 99%. De vorige keer hebben we gekeken naar de soorten cyber threat intelligence (CTI)-feeds waarmee u rekening moet houden bij het samenstellen van een programma voor informatie over bedreigingen.

Deze keer kijken we naar het soort threat intelligence-tools dat u in de gaten moet houden bij het ontwikkelen van CTI-mogelijkheden. Net als bij de categorieën feeds die u moet overwegen, zijn er gratis tools en betaalde tools en wij geven u hier de informatie die u nodig hebt om een weloverwogen beslissing te nemen over de beste koers voor uw organisatie.

Tools voor gegevensverrijking: Maak je klaar om te coderen

Tools voor gegevensverrijking - zowel betaalde als open-source tools - zijn van cruciaal belang om gegevens over informatie over cyberdreigingen om te zetten in actie. Maar om deze tools te kunnen gebruiken, moet u weten hoe u moet coderen. Dit kan lastig zijn voor veel beveiligingsorganisaties die hun oorsprong vinden in netwerkengineering of risico en niet in coderen.

Inzicht in databaseconcepten is ook een belangrijke vaardigheid die nodig is voor het gebruik van verrijkingshulpmiddelen, omdat u datastructuren moet ontwerpen die zinvol genoeg zijn om actie te ondernemen op de informatie over bedreigingen die u ontvangt.

In deel 3 van deze serie hebben we de mate waarin uw organisatie klaar is voor de implementatie van een CTI-programma vergeleken met "groot genoeg zijn om een ritje te maken". Als u niet beschikt over die eerder genoemde vaardigheden, zult u worstelen met het nemen van de gegevens, ze in de juiste formaten te zetten, te verrijken in de fabriek en vervolgens daadwerkelijk in staat zijn om het te duwen in actie. Die fundamenten zijn van cruciaal belang.

Vereisten voor open source CTI-instrumenten

Met open source tools voor CTI moet je bereid zijn meer te coderen dan met betaalde tools, omdat het de neiging heeft naar engineering te neigen als discipline. Een deel van de waarde van betaalde tools is dat ze een deel van het zware werk voor hun klanten doen. Er is wel wat codering nodig, maar niet zoveel als bij open source.

Een gegevensopslag is ook noodzakelijk voor het gebruik van open source tools voor informatie over cyberbedreigingen. Het is namelijk van essentieel belang dat u een plaats hebt om de informatie die u verzamelt voor verrijking op te slaan, plus de mogelijkheid om deze te manipuleren. Er is een methodologie nodig om te begrijpen hoe u gegevens door de fasen heen kunt bewegen en er zijn enkele basisdisciplines van gegevensbeheer en informatiegovernance.

Zonder deze noodzakelijke voorzieningen wordt het moeilijk om de processen rond een CTI-programma in de loop van de tijd te herhalen. Een deel van de reden waarom u tooling implementeert, is om een herhaalbaar proces te creëren dat in de loop van de tijd kan worden aangetoond.

Betaalde instrumenten voor informatie over cyberbedreigingen: Wat u moet weten

Bij betaalde CTI-tools zit er een grote lift op de prijs. In de vorige editie bespraken we betaalde feeds die platforms omvatten en die platforms hebben de tools die je kunt gebruiken voor CTI. Deze platforms omvatten een infrastructuur met workflows, verrijkingsplugs en API's. En, je wilt er zeker van zijn dat je vraagt naar professionele diensten om je te helpen met de implementatie voor deze betaalde tools. Dat krijg je niet met open source.

Voorzichtig met betaalde tools: hoe opener het ecosysteem voor de tools, hoe beter je af bent. Vastzitten in een gesloten ecosysteem is niet de beste aanpak. Je wil iets met API's die een veelvoud aan feeds van verschillende verkopers in verschillende formaten kan aanvaarden.

Bij sommige van de betaalde tools voor informatie over cyberdreigingen is het nodig om gegevens van tevoren te manipuleren om de feed te kunnen gebruiken. Hoe minder u daarvoor hoeft te doen, hoe beter het betaalde platform. Het moet kant-en-klaar zijn, dat is waar u voor betaalt.

Nog een waarschuwing: de markt voor betaalde tools voor informatie over cyberbedreigingen kende ongeveer vijf jaar geleden een vlaag van activiteit, en nu is het een consoliderende markt. U zult een goed leveranciersbeheer moeten voeren wanneer u opties hiervoor overweegt. Wat is de levensvatbaarheid van de leverancier? In welke financieringsronde zitten ze? Wat is hun exit-strategie? Het laatste wat u wilt is dat u na een implementatie met de gebakken peren zit.

Ten slotte moet u zich afvragen waar deze tools voor informatie over bedreigingen zullen worden gebruikt. Gaat u ze in uw eigen omgeving plaatsen? Gaat u ze op Amazon zetten? Als u kijkt naar cloudlevering voor tools, moet u er rekening mee houden dat dit over het algemeen zeer gegevensintensieve tools zijn, dus wees voorzichtig met cloudworkloads in deze ruimten, want dit kan u veel geld kosten.

In de volgende aflevering van onze serie bekijken we hoe u de verschillende onderdelen die u hebt verworven aan elkaar rijgt om een echt CTI-programma op te bouwen.

Wilt u meer te weten komen over hoe u uw threat intelligence-programma kunt verbeteren? Bezoek ons dan op de RSA Conference in het Moscone Center in San Francisco bij stand 935 van 4 tot 8 maart.