Threat Intelligence voor de 99 procent - deel 7: het aan elkaar naaien

Welkom bij de nieuwste editie van onze doorlopende blogreeks, Threat Intelligence voor de 99%. In de laatste twee afleveringen van onze serie hebben we gekeken naar CTI's (Cyber Threat Intelligence) feeds en tools en besproken hoe u de juiste tools voor uw organisatie kunt identificeren en implementeren.

Deze week gaan we dieper in op de vraag hoe we alle onderdelen van een allesomvattend en effectief CTI-programma in elkaar kunnen zetten. Zoals we in deze serie al vaak hebben gezegd, is dit proces niet voor doetjes en vergt het vaardigheid en doorzettingsvermogen. Maar als u het goed aanpakt, kan uw organisatie er veel profijt van hebben.

Informatie over cyberdreigingen integreren in uw uitrusting

Op dit punt hebt u het proces doorlopen om te bepalen welke feeds en tools u nodig hebt voor uw CTI-programma. U hebt een aantal gegevens, u hebt het manipulatieproces doorlopen en nu wilt u datgene doen wat u in het begin van het proces heeft aangezet: die gegevens gebruiken en omzetten in actie voor uw organisatie.

Eerste actie: Voer deze informatie in uw uitrusting via uw integraties. U wilt deze informatie naar uw firewall, inbraakdetectiesysteem, bestandsintegriteitsbeheer, webproxy en andere systemen sturen. Het goede nieuws is dat uw apparatuur waarschijnlijk al mechanismen heeft om deze informatie te consumeren. Als dat niet het geval is, hebt u waarschijnlijk problemen die dieper gaan dan we in deze serie kunnen behandelen.

Tweede actie: Integreer deze informatie met uw security information and event management (SIEM) systemen en reactieprocessen. Er is een groot debat gaande over de vraag of u met SIEM moet beginnen of niet. SIEM kan u vertellen of slechte dingen door uw perimeter zijn gekomen, zowel in het heden als in het verleden. Het kan zijn dat u al besmet bent of dat er op dit moment slechte dingen door uw systeem lopen.

Op dit punt hebt u intelligentie geïntroduceerd in uw preventie-, detectie- en reactie-omgeving. U beschikt nu over intelligentie om actie te ondernemen.

CTI-governance en -rapportage

Nu u actie hebt ondernomen, is er nog een essentieel onderdeel voor blijvend succes: u hebt een sterk informatiebeheersingsbeleid nodig en een procedure waarmee u ervoor zorgt dat uw programma doet wat het voor u moet doen. Dit moet het volgende omvatten:

• Controleer uw feeds en zorg ervoor dat ze niet muf zijn
• Controleren of uw hulpmiddelen doeltreffend zijn en ervoor zorgen dat ze bijgewerkt zijn en werken
• Ik controleer je verrijkingsproces, dus dat is ook in orde.

Dit soort dingen doen is niet goedkoop. Je hebt het over minstens zes cijfers. En om dat soort uitgaven te rechtvaardigen, moet je een uitvoerende rapportage terugsturen naar de organisatie. Anders krijg je veel vragen over waarom je zoveel uitgeeft aan dit.

Mijn advies is om niet meer dan één tot drie meeteenheden te gebruiken om te bewijzen dat je programma werkt. De meeteenheid die ik vaak heb gebruikt, kan worden omschreven als "tijd van feed tot actie". Dit is een meting van de tijdspanne tussen het moment dat een indicator in je feed komt en het moment dat die data verandert in bruikbare informatie voor je bedrijf. Het is een geweldige manier om de doeltreffendheid van uw programma aan te tonen. Het toont aan dat het proces werkt om uw omgeving te beschermen.

Je kunt meten hoeveel slechte dingen je hebt geblokkeerd, maar voor mij heeft dat niet veel waarde. Alleen al omdat je een IP adres hebt, ben je er zeker van dat je de hele tijd aangevallen wordt. Het is een FUD (angst, onzekerheid, twijfel)-tactiek om alleen maar te laten zien hoe vaak je aanvallen hebt tegengehouden. Ik zou liever zien dat de uitvoerende macht rapporteert over tijd tot waarde, niet over FUD.

Informatie over bedreigingen delen met de wereld

Nu u dit hele proces van het verwerven van informatie over bedreigingen en hulpprogramma's, het verzamelen van uw gegevens, het doorvoeren van de versnelling en het terugrapporteren aan uw organisatie hebt doorlopen, begint u zich misschien een beetje onbaatzuchtig te voelen. Ik zou willen voorstellen om wat u vindt met de wereld te delen.

Als u op dit punt in uw reis bent, en u doet aan echte informatie over cyberdreigingen, moet u delen. Het internet is een enge, gevaarlijke plek. De enige manier waarop we het kunnen beschermen is als groep. Het is het kudde-immuniteitsconcept: hoe meer mensen tegen een probleem zijn ingeënt, des te kleiner is de kans dat het zich verspreidt.

De inlichtingenindustrie kwam met de concepten Structure Threat Information eXpression (STIX) en Trusted Automated eXchange of Indicator Information (TAXII) om een standaardnomenclatuur en -taxonomie te bieden voor het voeden van deze informatie. Wanneer u wat u hebt gevonden met uw peer groups wilt delen, zult u die informatie hoogstwaarschijnlijk in de STIX- en TAXII-feeds produceren.

Het is absoluut noodzakelijk uw juridische team te raadplegen voordat u deze informatie loslaat. U kunt deze informatie niet zomaar op het web zetten zonder rekening te houden met factoren als toeschrijving, aansprakelijkheid en dekking door de overheid. Zorg ervoor dat u geen intellectueel eigendom verspreidt dat uniek is voor u en dat u over een goed informatiebeheer beschikt, zodat u de gegevens correct zuivert en u er geen klantgegevens in stopt.

Begrijp ook de aard van de relatie die u hebt als het gaat om het delen van CTI. Mijn ervaring is dat het delen met de Amerikaanse overheid meestal eenrichtingsverkeer is. Meestal gaat er wel iets naar binnen, maar komt er niets terug. U bent beter af in een model waarbij een kleinere groep van gelijken deelt, omdat de kans groter is dat zij u nuttige informatie verstrekken dan de overheid.

Nu al deze taken zijn uitgevoerd, hebt u uw CTI-programma opgebouwd. Kudos!

De volgende editie van onze reeks zal de laatste zijn waarin we u de belangrijkste takeaways geven over het opbouwen van uw CTI-programma.

Wilt u meer te weten komen over hoe u uw threat intelligence-programma kunt verbeteren? Bezoek ons dan op de RSA Conference in het Moscone Center in San Francisco bij stand 935 van 4 tot 8 maart.