Het sterke verband tussen informatie over cyberdreigingen en bescherming tegen digitale risico’s

Hoewel indicators of compromise (IoC’s) en tactieken, technieken en processen van aanvallers (TTP’s) centraal blijven staan bij informatie over bedreigingen, is de behoefte aan informatie over cyberbedreigingen (CTI) de afgelopen jaren toegenomen, onder invloed van zaken als digitale transformatie, cloud computing, verspreiding van SaaS en ondersteuning van externe werknemers. In feite hebben deze veranderingen geleid tot een CTI-subcategorie die gericht is op bescherming tegen digitale risico’s. DRP wordt breed gedefinieerd als “telemetrie, analyse, processen en technologieën die worden gebruikt om risico’s in verband met digitale activa te identificeren en te beperken”.

Eerder onderzocht ik ESG-onderzoek naar CTI-programma’s van ondernemingen op basis van. CISO’s investeren hierin, maar er blijven uitdagingen. Ik heb ook gegraven in de CTI-levenscyclus. Bijna driekwart (74%) van de organisaties zegt een levenscyclus te hanteren, maar velen beschrijven knelpunten in een of meer van de levenscyclusfasen.

ESG definieert informatie over cyberbedreigingen als “op bewijs gebaseerde, bruikbare kennis over de vijandige bedoelingen van cyberaanvallers die voldoet aan een of meer vereisten”. In het verleden was deze definitie echt van toepassing op gegevens over IoC’s, reputatielijsten (bijv. lijsten van bekende slechte IP-adressen, webdomeinen of bestanden) en details over TTP’s.

Hoe digitale risicobescherming de invoering van informatie over cyberdreigingen stimuleert

Het inlichtingengedeelte van DRP is bedoeld om zaken als gebruikersreferenties, gevoelige gegevens, SSL-certificaten of mobiele toepassingen continu te bewaken, op zoek naar algemene zwakheden, hackerspraatjes of kwaadaardige activiteiten op deze gebieden. Een frauduleuze website kan bijvoorbeeld wijzen op een phishing-campagne waarbij het merk van de organisatie wordt gebruikt om gebruikers op te lichten. Hetzelfde geldt voor een schadelijke mobiele app. Gelekte referenties kunnen te koop zijn op het dark web. Slechteriken kunnen ideeën uitwisselen voor een gerichte aanval. Je krijgt het beeld.

Uit het onderzoek blijkt dat de proliferatie van digitale transformatie-initiatieven werkt als een katalysator voor threat intelligence-programma’s. Op de vraag waarom hun organisaties met een CTI-programma zijn begonnen, antwoordde 38% “als onderdeel van een bredere inspanning voor de bescherming van digitale risico’s op gebieden als merkreputatie, bescherming van leidinggevenden, monitoring van deep/dark web, enz. Uit het onderzoek blijkt ook dat 98% van de ondernemingen nu een of andere vorm van DRP heeft ingevoerd.

Belangrijkste functies voor bescherming tegen digitale risico’s

Om verder in DRP te duiken, vroeg ESG beveiligingsprofessionals om de belangrijkste DRP-functies bij hun organisaties te definiëren. Hier zijn de top zes antwoorden:

• Informatie over het exploiteren van kwetsbaarheden: Kwetsbaarhedenbeheerprogramma’s onthullen regelmatig honderden of duizenden zwakke plekken in software, maar hoe beslist u welke u als eerste moet verhelpen? Door te weten welke kwetsbaarheden de slechteriken misbruiken. DRP kan kwetsbaarheden en bekende exploits op elkaar afstemmen, wat nuttige informatie oplevert voor de prioritering van patches. Merk op dat dit ook kan worden gedaan met op risico gebaseerde tools voor kwetsbaarhedenbeheer (bijvoorbeeld Cisco/Kenna, Ivanti of Tenable).
• Takedown diensten: Het Britse National Cyber Security Center definieert takedown-diensten als volgt: “Takedown-diensten hebben tot doel het rendement voor aanvallers te verminderen door sites te verwijderen en elke aanvalsinfrastructuur te blokkeren om de schade die deze aanvallen kunnen veroorzaken te beperken.” Wanneer frauduleuze phishingsites of mobiele toepassingen worden ontdekt, zijn takedown-diensten de kortste weg naar risicobeperking.
• Controle op gelekte gegevens: Of het nu gaat om een aanval van binnenuit, nalatigheid van werknemers of slordig gedrag, datalekken komen maar al te vaak voor. DRP spoort gelekte gegevens op voordat ze tot bedrijfsschade kunnen leiden.
• Controle op schadelijke mobiele toepassingen: Zogenaamde “grayware” kan apparaten van gebruikers beschadigen of de reputatie van een organisatie bezoedelen. DRP wil deze vinden en verpletteren in legitieme en onderwereld app stores.
• Merkbescherming: Merkbescherming beschermt de intellectuele eigendom (IP) van bedrijven en hun bijbehorende merken tegen vervalsers, auteursrechtpiraten, octrooi-inbreuken, enz. Deze kunnen in verband worden gebracht met phishing-sites of zelfs onechte fysieke goederen. DRP scant het internet op bedriegers, vervalsingen en oplichting.
• Attack surface management (ASM): ASM is de voortdurende ontdekking, bewaking, analyse en remediëring van alle middelen op het aanvalsoppervlak. In sommige gevallen is ASM opgenomen als onderdeel van DRP-diensten.

DRP kan ook dark web monitoring omvatten voor roddels over een organisatie en potentiële gerichte aanvalsplanning. Deze informatie kan organisaties helpen hun schilden op te trekken. In plaats van zelf een DRP-programma op te zetten, maken veel organisaties gebruik van DRP-dienstverleners zoals CrowdStrike, Cybersixgill, Digital Shadows (Reliaquest), Intsights (Rapid 7), Mandiant, Proofpoint en ZeroFox.

Ongeacht de vorm moet DRP deel uitmaken van een volwassen informatieprogramma over cyberdreigingen. Voordat deze twee gebieden worden samengevoegd, moeten CISO’s DRP benaderen met een levenscyclusbenadering voor bedreigingsinformatie. Succesvolle DRP-programma’s worden aangestuurd door het opstellen van duidelijke prioritaire inlichtingenvereisten (PIR’s), krachtige analyses, aangepaste inlichtingenrapporten en voortdurende feedback.