Een Cyber Threat Intelligence-programma maken
Wat is een Cyber Threat Intelligence-programma?
Cyber Threat Intelligence-programma combineert duizenden Threat Intelligence-feeds tot één feed, in plaats van ze afzonderlijk te bekijken, om een consistente karakterisering en categorisering van cyberbedreigingen mogelijk te maken, en trends of veranderingen in de activiteiten van cybertegenstanders te identificeren. Het programma beschrijft op consistente wijze activiteiten op het gebied van cyberbedreigingen op een manier die het mogelijk maakt informatie efficiënt te delen en bedreigingen te analyseren. Het helpt het team dat informatie over bedreigingen verzamelt door de feed met interne telemetrie te vergelijken en waarschuwingen aan te maken.
Een functie voor informatie over bedreigingen creëren die meetbare waarde oplevert
Hoe implementeert u informatie over cyberbedreigingen?
Als relevante informatie over cyberdreigingen eenmaal uit bedreigingsgegevens is gehaald, ondergaat deze informatie een proces van grondige analyse en gestructureerde verwerking met de benodigde technologieën en technieken, gevolgd door het delen ervan met de vereiste belanghebbenden om de beveiligingscontroles aan te scherpen en toekomstige cyberaanvallen te voorkomen.
Bedrijfsdoelstellingen voor cyberintelligentieprogramma’s
Aanpassing van de bedrijfsdoelstellingen bij het opzetten van het programma voor informatie over bedreigingen vormt de routekaart voor informatie over bedreigingen. De gegevens, bedrijfsmiddelen en bedrijfsprocessen die moeten worden beschermd, moeten goed worden gedefinieerd, samen met de impactanalyse van het verlies van deze middelen. Het helpt om te schetsen welk type dreigingsinformatie nodig is en wie er allemaal bij betrokken moeten worden.
Rol van dreigingsanalist in de levenscyclus van dreigingsinformatie
Cyberintelligentie-analisten, ook bekend als “cyberdreigingsanalisten”, zijn informatiebeveiligingsprofessionals die hun vaardigheden en achtergrondkennis gebruiken om de dreigingsgegevens te verzamelen en analyseren om inlichtingen in de vorm van rapporten te creëren en met de respectieve afdeling te delen. Voor het opzetten van een programma voor informatie over bedreigingen is een gecertificeerde cyberinlichtingenanalist vereist.
Strategie en mogelijkheden voor informatie over bedreigingen
De strategie voor informatie over bedreigingen omvat een gedegen planning met de toepassing van hulpmiddelen, technieken en methodologieën, gevolgd door een evaluatie om de doeltreffendheid van het plan te controleren. Bij het opstellen van de strategie moet men ook rekening houden met de mogelijkheden op het gebied van bedreigingsinformatie en het programma dienovereenkomstig structureren, met inbegrip van de ondersteuning van verschillende afdelingen.
Cyberdreigingen en geavanceerde aanhoudende bedreigingen (APT’s)
Inzicht in cyberdreigingen en geavanceerde aanhoudende bedreigingen is het meest cruciale aspect van het programma voor bedreigingsinformatie.
Wat zijn geavanceerde aanhoudende bedreigingen (APT’s)?
Een geavanceerde aanhoudende bedreiging is een aanval waarbij een onbevoegde gebruiker toegang krijgt tot een netwerksysteem en daar lange tijd blijft zonder te worden gedetecteerd. Advanced persistent threats zijn zeer bedreigend voor organisaties, omdat aanvallers continu toegang hebben tot de gegevens van het bedrijf. Advanced persistent threats verlopen in fasen, waarbij ze het netwerk hacken, zich verstoppen om toegang te krijgen tot zoveel mogelijk informatie, een aanval plannen, de informatiesystemen van de organisatie bestuderen, zoeken naar gemakkelijke toegang tot gevoelige gegevens, en die gegevens exfiltreren.
Cyber Threat Intelligence Frameworks
Cyber threat intelligence framework creëert intelligentie om te reageren op cyberaanvallen door het beheren, detecteren en waarschuwen van beveiligingsprofessionals voor potentiële bedreigingen. Het biedt een actieplan om de aanvallen te beperken door de meest recente informatie over bedreigingsbronnen te verzamelen en dreigingsmodellen te maken.
Inzicht in Cyber Kill Chain & IOC’s
De cyber kill chain is een reeks stappen die de stadia van een cyberaanval traceert, van de vroege verkenningsfasen tot de exfiltratie van gegevens. De kill chain helpt ons bij het begrijpen en bestrijden van ransomware, beveiligingsinbreuken en geavanceerde aanhoudende aanvallen (APT’s)
De cyber kill chain identificeert de fasen van een cyberaanval van vroege verkenning tot het doel van gegevens exfiltratie en wordt gebruikt als een hulpmiddel om de beveiliging van een organisatie te verbeteren.
Indicators of Compromise (IOC’s) zijn de bewijzen zoals URL’s, IP-adressen, systeemlogboeken en malwarebestanden die kunnen worden gebruikt om toekomstige inbraakpogingen te detecteren met behulp van inbraakdetectiesystemen (IDS) en antivirussoftware.
Organization’s Current Threat Landscape
Dit omvat het identificeren van kritieke bedreigingen voor een organisatie, het beoordelen van de huidige beveiligingshouding van de organisatie, de structuur van het beveiligingsteam en de competenties. Inzicht in de huidige beveiligingsinfrastructuur en -activiteiten van de organisatie helpt beveiligingsprofessionals bij het beoordelen van risico’s voor geïdentificeerde bedreigingen.
Analyse van vereisten
Analyse van vereisten heeft alles te maken met het in kaart brengen van de ideale doelstatus van de organisatie, het vaststellen van behoeften en vereisten voor cyberintelligentie, het definiëren van vereisten en categorieën, het afstemmen van de vereisten van bedrijfseenheden, belanghebbenden en derden, het prioriteren van inlichtingenvereisten, de reikwijdte van het inlichtingenprogramma over cyberdreigingen, regels voor betrokkenheid, geheimhoudingsovereenkomsten en gemeenschappelijke risico’s voor het inlichtingenprogramma over cyberdreigingen.
Versterken van de steun van het management
Opstellen en documenteren van het projectplan in overeenstemming met het beleid om het programma op te starten en de strategieën te bestrijken om de steun van het management te waarborgen en gedetailleerd aan te geven wat het resultaat en het doel van het programma zijn en hoe de bedrijfsdoelstellingen op elkaar zijn afgestemd.
Building a Threat Intelligence Team
Het samenstellen van een team van cyber threat intelligence-analisten en het definiëren van hun rollen en verantwoordelijkheden op basis van hun kerncompetenties en vaardigheden. Een strategie voor het aantrekken van talent opstellen en de vereiste vaardigheden, kwalificaties en professionele certificeringen vaststellen, en het team voor informatie over bedreigingen positioneren.
Review van het programma voor informatie over bedreigingen
De structuur van het programma voor informatie over bedreigingen herzien om succes en mislukking vast te stellen. De bevindingen tijdens de evaluatie helpen het huidige programma te verbeteren en de vereiste updates uit te voeren.
Gegevensverzameling over bedreigingen & Verwerking
Cyber Threat Intelligence Data Collection and Acquisition
Het verzamelen van relevante bedreigingsgegevens voor analyse en verwerking is een belangrijke stap voor het maken van informatie over cyberbedreigingen. De gegevens worden verzameld uit verschillende bronnen met behulp van vooraf gedefinieerde TTP (Tactics, Techniques and Procedures). Weinig gegevensbronnen zijn intern, zoals netwerklogboeken, cyberincidenten uit het verleden en beveiligingslandschappen. De externe bron omvat bedreigingsfeeds, gemeenschappen, forums, open web en dark web.