Het is moeilijker dan ooit om onze infrastructuur, overheid en bedrijven te beschermen tegen het slachtoffer worden van goed gefinancierde, bekwame tegenstanders. Van de Log4j-kwetsbaarheid tot de SolarWinds-hack tot de Colonial Pipeline-cyberaanval, organisaties zijn kwetsbaarder voor cyberaanvallen dan ooit tevoren. In feite is 87% van de ondernemingen in 11 landen de afgelopen drie jaar het slachtoffer geworden van cyberaanvallen.
Dus wat kan uw cyberbeveiligingsteam nog meer doen? Ze worden tenslotte geconfronteerd met ongelooflijke hindernissen, van beperkte middelen en een tekort aan vaardigheden tot een gedecentraliseerde beveiligingsinfrastructuur en een aanvalsoppervlak dat zich snel in alle richtingen verspreidt.
Het is duidelijk tijd voor een nieuwe aanpak – een die u helpt de tegenstander voor te blijven door verder te gaan dan diepgaande, reactieve detectie- en responsmogelijkheden naar een proactieve beveiligingsstrategie die wordt aangedreven door dreigingsinformatie.
Proactieve verdedigingsstrategieën beginnen met het kennen van de tegenstander
Als er tegenstanders opduiken, moeten CIO’s, CISO’s, SOC-analisten en dreigingsanalisten in staat zijn om snel het risico en de potentiële impact op het bedrijf te evalueren. De CIO van een retailbank kan bijvoorbeeld lezen over een aanval op banken in hun geografische gebied en willen weten of hun bank het risico loopt te worden aangevallen.
Als het beveiligingsteam van de CIO de juiste dreigingsinformatie over de tegenstander binnen handbereik heeft en die informatie kan correleren met telemetriegegevens uit hun omgeving, kunnen ze vragen beantwoorden die helpen bij het bepalen van hun risico en welke beperkende maatregelen moeten worden genomen, waaronder:
- Hoe worden ze beïnvloed?
- Wat is nu het risico?
- Wordt de organisatie al aangevallen?
- Zijn er al indicatoren van compromis (IOC’s) voor de dreiging in de omgeving van de bank?
- Heeft de financiële gemeenschap de dreiging in het verleden gezien?
Het beantwoorden van deze vragen vereist enorme hoeveelheden wereldwijde intelligentie en gegevens. En met overbelaste en onderbezette beveiligingsteams hebben organisaties een manier nodig om alle telemetriegegevens en intelligentie te beheren om deze relevant en bruikbaar te maken. Het automatiseren van een proactieve, op de tegenstander gerichte benadering van beveiliging is tegenwoordig de enige manier om te winnen van aanvallers.
Daarom heb je detectie en reactie van tegenstanders nodig
Uitgebreide detectie- en responsoplossingen (XDR) geven uw beveiligingsteam inzicht in al uw controlepunten, verzamelen telemetriegegevens en correleren deze om detectie te versnellen, onderzoeken te stroomlijnen en analisten te helpen meer te doen met minder werk. Maar zelfs de beste XDR-oplossingen kunnen niet helpen voorspellen wat er kan gebeuren.
Wat u nodig heeft, is adversary detectie en respons (ADR). ADR biedt u tools, zoals het MITRE ATT&CK-framework voor een kaart van de potentiële aanval, samen met de wereldwijde intelligentie die nodig is om uw vijand te begrijpen, zodat u uw organisatie beter kunt verdedigen. ADR is XDR die wordt aangedreven door relevante, bruikbare informatie over bedreigingen op grote schaal.
ADR helpt u te begrijpen waar uw tegenstanders zich bevinden en op wie ze zich richten, evenals hun tactieken, technieken en procedures (TTP’s) en doelen. Met dit inzicht kunt u hun volgende stappen voorspellen en uw bedrijf proactief beschermen. Met een ADR-aanpak kunt u een op risico’s gebaseerde strategie voor cyberdefensie toepassen, waarbij u gebruikmaakt van machine learning, analyse en automatisering als enablers om u te helpen focussen op de tegenstanders die ertoe doen, en hen vervolgens te slim af te zijn.
Threat intelligence is de basis voor effectieve ADR
Threat intelligence is meer dan het kennen van een domeinnaam of IP-adres die door een aanvaller wordt gebruikt. Uw team heeft toegang nodig tot een uitgebreide opslagplaats voor dreigingsinformatie en tools die de context rond dreigingen verrijken, dreigingsinformatie automatisch correleren met telemetrische gegevens en enorme hoeveelheden gegevens omzetten in relevante, bruikbare informatie om de besluitvorming te informeren.
Zonder bedreigingsinformatie kunt u geen ADR uitvoeren. Slechte actoren delen TTP’s, ze geven informatie door die hun mede-cybercriminelen helpt, en ze werken samen om effectiever te zijn. Maar wij, goede acteurs, worden allemaal gehinderd door een aanhoudend gebrek aan delen.
Als cybergemeenschap moeten we het model van slechte actoren voor het delen van informatie overnemen. We hebben vertrouwde gemeenschappen nodig waar je kunt delen en luisteren, zodat iedereen 24×7 waakzamer kan zijn. Voor meer informatie over communities voor het delen van informatie over bedreigingen, bekijk de vertrouwde kringen van Anomali en deelcommunityportals. Bekijk de webinar “Intelligence Sharing: The Key to Stopping Breaches is Teaming Up” voor een praktijkvoorbeeld van de voordelen van het delen van dreigingsinformatie.
Informatie delen en tegenstanders voorblijven met een ADR-aanpak is de enige manier om vandaag te winnen.
Bekijk deze webinar voor meer informatie over het detecteren van tegenstanders: “Anomali Threat Day: Evolving Threat Hunting to Adversary Hunting Using Threat Intelligence, Presented by Cybersixgill.”
Karen Buffo
Chief Marketing Officer, Anomali
Karen Buffo is Chief Marketing Officer bij Anomali. Ze heeft meer dan 15 jaar ervaring in wereldwijde beveiliging, met een track record in het ontwikkelen en uitvoeren van toonaangevende marketingstrategieën, wat resulteert in waarde voor klanten, aandeelhouders en werknemers. Voorafgaand aan Anomali was Karen CMO van Symantec, een rol die Broadcom haar na de overname van het bedrijf had toegewezen. Bij Symantec definieerde en implementeerde ze haar wereldwijde marketingstrategie voor alle activiteiten om haar merk te versterken en groei voor de cyberbeveiligingsactiviteiten te stimuleren. Vóór Symantec koos Oracle haar uit om toezicht te houden op de wereldwijde communicatie voor het directiekantoor. In deze rol hield ze toezicht op de ontwikkeling, implementatie en supervisie van interne en externe communicatie met het management, samen met corporate thought leadership. Karen’s uiteenlopende achtergrond in business enablement en global marketing heeft zich uitgeleend tot een holistische kijk op bedrijven en hun unieke capaciteiten, kansen en drijfveren. Dit heeft ertoe geleid dat ze consequent duurzame waarde heeft geleverd aan de bedrijven die ze heeft gediend. Karen is een erkende keynote-spreker in de branche, mentor en bijdrager aan de cyberbeveiligingsgemeenschap. Karen heeft een bachelor in consumentenwetenschappen en bedrijfskunde van de California State University in Sacramento.
