Zo zet je Security Intelligence efficiënt in
Een geavanceerde aanval wordt vaak pas weken later opgemerkt, volgens het Ponemon Institute gemiddeld zelfs pas na een half jaar. Grote kans dat de dieven er dan al met de kroonjuwelen vandoor zijn.
De security-industrie is dan ook constant op zoek naar nieuwe manieren om de detectietijd te verkorten. De meeste bedrijven maken inmiddels wel gebruik van logmanagement en zoeken naar ongeregeldheden in de logfiles die bijvoorbeeld firewalls en inbraakdetectiesystemen uitspugen. Het probleem met logmanagement is dat lang niet alle dreigingen uit de ruwe loginformatie zijn te halen en je eigenlijk al te laat bent als je een inbraak op het spoor bent. De inbraak heeft dan al plaatsgevonden.
Logmanagement werd vervolgens uitgebreid met geautomatiseerde loganalyses en evolueerde richting securitymonitoring. Zo analyseert bijvoorbeeld een Security Operations Center (SOC) met behulp van Security Incident and Event Management (SIEM) realtime de security-alerts. Een redelijk nieuwe tak van sport is Security Analytics. Deze monitoringvariant maakt gebruik van historische data om hierin patronen te ontdekken en terug te kunnen kijken wat er precies is gebeurd.
Van reactief naar proactief
Security Analytics en SIEM – al dan niet uitgevoerd door een eigen SOC of een SOC van een securitypartner – helpen om de detectietijd te verkorten. Als je bijvoorbeeld door het analyseren van de historische data een goed inzicht hebt in de gangbare patronen, dan valt een afwijkend patroon sneller op. Probleem blijft echter dat je reageert op zaken die al zijn gebeurd, terwijl je in de ideale wereld de detectiemaatregelen afstemt op wat nog gaat gebeuren.
Met Security Intelligence hoopt de security-industrie de stap te maken van reactieve naar proactieve aanpak. Door externe ‘threat feeds’ te koppelen aan het SOC moet een beter inzicht ontstaan in de actuele dreigingen in de boze buitenwereld die zich ook kunnen richten op de eigen bedrijf.
De feeds bieden bijvoorbeeld informatie over de IP-adressen en URL’s die verantwoordelijk zijn voor de verspreiding van malware en spam en die in verband zijn te brengen met botnets. Ook zaken als TOR-nodes en anonieme proxy’s komen in het vizier. Een organisatie kan verdachte IP-reeksen vervolgens blokkeren of ze snel eruit filteren als ze voorkomen in het verkeer richting het internet.
Voorbereiding cruciaal
Security Intelligence is een veelbelovende aanpak waar nu veel securitypartijen op duiken. Ook bedrijven en overheden hebben inmiddels de platformen zoals TAXII en ‘talen’ zoals STIX ontdekt om snel intelligentie te delen. Open-Source Intelligence (OSINT)-tools stellen beveiligingsonderzoekers en veiligheidsdiensten in staat om de activiteiten van cybercriminelen te achterhalen en volgen.
Wie echter zomaar met Security Intelligence aan de slag gaat – zonder bijvoorbeeld de kwaliteit van de feeds te checken en zonder na te gaan welke informatie relevant is – komt bedrogen uit. De inzet van Security Intelligence zal dan veel geld kosten en nauwelijks bijdragen aan een betere beveiliging.
Wie aan de slag gaat met Security Intelligence doet er goed aan om in ieder geval deze stappen te doorlopen:
- Formuleer de kwaliteitsaspecten van Security Intelligence. Welke eisen worden bijvoorbeeld gesteld aan de betrouwbaarheid van een bron, aan de ‘tijdigheid’ en relevantie van de informatie en aan de integratie met de SIEM-tooling?
- Bepaal welke interne en externe bronnen samen de meest relevante Security Intelligence bieden.
- Evalueer voor elke gewenste bron de betrouwbaarheid van de leverancier van de informatie.
- Integreer de geselecteerde bronnen in de weerbaarheidsmaatregelen en in het Security Operations Center.
Specialisme
Als de relevantie van Security Intelligence voor een bedrijf toeneemt, zullen ook de kosten voor de inzet stijgen. Het is belangrijk om daar een balans in te vinden. In veel gevallen is het aan te bevelen om het verzamelen en analyseren van de intelligence over te laten aan een gespecialiseerde partij die de intelligentie voor meerdere klanten kan inzetten en zo de kosten kan delen.