Met threat intelligence op zoek naar motieven van hackers

Na de ransomeware-aanvallen WannaCry en Petya zijn bedrijven en organisaties druk met het nog effectiever inrichten van hun cybersecurity-systeem. De volgende stap hierbij is het gebruik van threat intelligence (TI). Er wordt dan vooral gekeken naar wie de hackers zijn en hoe zij te werk gaan, maar het 'waarom', oftewel de strategische TI, vergeten bedrijven nog te veel.

Net als voor cybersecurity geldt voor TI dat het lastig is om simpel te zeggen wat het is en wat bedrijven ervoor moeten regelen. TI kun je omschrijven als ‘geanalyseerde informatie over het doel, de capaciteiten en de mogelijkheden die een menselijke tegenstander heeft’. Dus waar zijn de hackers op uit en hoe gaan ze te werk? Als je die informatie hebt, kun je je beveiliging daarop inrichten.

Motieven en drijfveren van aanvallers

Bij TI onderscheiden we drie niveaus: operationeel, tactisch en strategisch. Tactische TI bestaat doorgaans uit de technische indicatoren die door hackers worden gebruikt (‘hoe’). Operationele TI geeft inzicht in de verschillende campagnes en de tactiek, technieken en procedures die aanvallers gebruiken (‘wie’). Strategische TI vertelt iets over de motieven en drijfveren van aanvallers (‘waarom’).

Strategische TI ook belangrijk

Bedrijven richten zich momenteel vooral op operationele en tactische TI, vooral omdat de noodzaak voor deze informatie duidelijk is. Maar strategische TI is minstens zo belangrijk. Kennis over de motieven van hackers en het waarom zij zich op een specifieke organisatie of industrie richten, vormt een essentieel onderdeel in de digitale bescherming. Ik geef twee voorbeelden waaruit duidelijk wordt waarom:

  • Een Nederlandse bierbrouwer neemt in een ander land een lokale bierbrouwerij over. Deze lokale bierbrouwerij is de nationale trots van het land. Een activistische hackersgroep is zeer gekant tegen de verkoop van ‘nationale belangen’ en richt zijn pijlen op de Nederlandse bierbrouwerij. Als de Nederlandse brouwerij dit vooraf had geweten en ook nog op de hoogte was geweest van de tactiek, de technieken en de procedures van deze hackersgroep, had zij adequate maatregelen op het gebied van cybersecurity kunnen treffen.
  • Een Nederlandse multinational neemt deel aan een grote aanbesteding. In deze aanbesteding concurreert het bedrijf met onder andere een grote multinational uit een ander Europees land. In veel landen om ons heen stelt de wet dat het de taak van de nationale inlichtingendienst is om de nationale economie te bevorderen. De Nederlandse multinational is nu dus doelwit geworden van de inlichtingendienst van een ander land. Dit verandert het dreigingsprofiel aanzienlijk.

Beveiliging adequaat aanpassen

Door de kennis over de eigen organisatie te combineren met kennis over TI kan een bedrijf zijn beveiliging adequaat aanpassen. Met andere woorden: als je weet waarmee de business zich bezighoudt en waarop hij zich richt, kun je kijken of bepaalde specifieke dreigingen relevant worden. Op basis daarvan kun je maatregelen treffen.

Gebruik van cyber fusion cells

Hiervoor zijn wel capabele medewerkers nodig die deze correlatie kunnen maken. Grote banken bouwen momenteel zogenoemde cyber fusion cells. Hierin worden verschillende informatiebronnen met elkaar gecombineerd en, al dan niet met behulp van kunstmatige intelligentie, gecorreleerd. Denk hierbij aan interne technische informatie (operationele IT), kennis over de business, het monitoren van open en gesloten bronnen (bijvoorbeeld het dark web) en kennis over de eigen IT-systemen en –architectuur. Vanuit de cel krijgen vervolgens de afdelingen binnen een organisatie toepasbare TI aangeleverd (actionable intelligence). 

Grote hoeveelheden data analyseren

Om een cyber fusion cell optimaal te laten functioneren, is meer dan alleen technische kennis noodzakelijk. Vooral medewerkers met een (inlichtingen)analyse-achtergrond zijn essentieel. Zij zijn namelijk gewend om grote hoeveelheden data te analyseren en in staat strategische TI-rapporten te verwerken en te schrijven. Dit is een ander profiel dan het profiel van een cybersecurity-specialist.

TI-ondersteunende diensten

Het aanbod van analisten op de arbeidsmarkt is beperkt. Daarnaast kan het noodzakelijk zijn om TI in verschillende talen te vergaren. Securitybedrijven spelen hierop in door TI-ondersteunende diensten te leveren, bijvoorbeeld het monitoren van het dark web, het leveren van bedrijfsspecifieke TI-rapporten en het (tijdelijk) detacheren van analisten bij hun klanten.

Essentieel onderdeel

Threat intelligence gaat dus vooral over (de juiste) mensen, zeker op strategisch niveau. Gecombineerd met kennis over de ontwikkelingen in de business en de eigen IT-systemen, maakt TI een essentieel onderdeel uit van een goede cybersecuritystrategie.

Matthijs van der Wel is bij PwC director forensic technology solutions. Hij is een van de sprekers tijdens het cybersecurity-conferentie van NRC Live op 28 september in Den Haag. Deze blog is eerder gepubliceerd op de website van NRC Live.

Contact

Matthijs van der Wel
Director
Tel: +31 (0)88 792 31 19
E-mailadres

Volg ons