Cyber threat intelligence is een verzameling van informatie en kennis over dreigingen en dreigingsactoren, die word gebruikt om organisaties te helpen hun beveiliging te verbeteren. Daarnaast helpt cyber threat intelligence bij het beter managen van risico’s.
Wat is cyber threat intelligence?
Threat intelligence, ook wel cyber threat intelligence, is een essentieel onderdeel van een modern cybersecurity programma. Er wordt hierbij verwezen naar het proces van het verzamelen, analyseren en delen van informatie over dreigingen om bedrijven te helpen hun beveiliging te verbeteren. Een belangrijk onderdeel van threat intelligence is het gebruik van threat intelligence platformen. Dit zijn hulpmiddelen voor het automatiseren en stroomlijnen van het verzamelen, analyseren en verspreiden van dreigingsinformatie.
Een threat intelligence platform kan vele soorten informatie integreren van verschillende bronnen. Maar het opzetten van een Threat Intelligence programma kan vaak ook al op een kleiner budget. Denk hierbij aan een RSS feed, een emailprogramma en bronnen om nieuwsberichten centraal te verzamelen. Het is belangrijk om klein te durven beginnen en te bepalen waarom je een CTI programma zou willen starten.
De threat intelligence tools:
Yeti
Yeti staat voor Your Everyday Threat Intelligence en is een open-source threat intelligence-platform dat ontworpen is om informatie over dreigingen te verzamelen, verrijken en delen. Met Yeti kunnen gebruikers verschillende soorten informatie over dreigingen verzamelen, zoals kwaadaardige bestanden, verdachte URL’s en IP-adressen.
MISP
MISP staat voor Malware Information Sharing Platform. Het is een open source platform voor threat intelligence, het helpt organisaties om informatie over cybersecurity dreigingen te delen en een beter beeld te krijgen van het dreigingslandschap. Met MISP is het delen en analyseren van dreigingsgegevens makkelijker.
OpenCTI
Net als Yeti is OpenCTI een platform voor het opnemen en samenvoegen van gegevens om de kennis van een organisatie over dreigingen te vergroten. Deze tool is ontworpen om het beheer en de analyse van cyebrsecurity-dreigingen te vergemakkelijken. Naast het handmatig invoeren van dreigingsgegevens biedt OpenCTI verbindingen om automatisch dreigingsgegevens en informatie uit populaire bronnen van dreigingsinformatie op te nemen.
Harpoon
Harpoon is ontworpen om gebruikers te helpen bij het verzamelen, analyseren en delen van informatie over cyberdreigingen. Hierdoor kunnen gebruikers dreigingsgegevens verzamelen en analyseren. De gegevens die verzameld kunnen worden zijn bijvoorbeeld: malware samples, IP-adressen, domeinnamen en e-mailadressen.
Wil je starten met een sterk CTI programma op een klein budget? Kijk dan eens naar deze presentatie van de RSA Conferentie 2023 In 30 minuten tijd leer je hoe je met minder dan 100 dollar kan starten met een CTI programma die ook nog eens effectief is.
Waarom is cybersecurity threat intelligence belangrijk voor jouw organsiatie?
Alles in Cybersecurity draait om risicomanagement en het maken van betere keuzes. Cyber Threat Intelligence kan precies dat voor jou organisatie betekenen en helpen om betere keuzes te maken. Begin daarom altijd eerst met het bepalen welk risico je wilt afdekken. Wil je je beter voorbereiden op aanvallen van statelijke actoren of geavanceerde cybercrime? Zorg dan dat je openbare en gesloten rapportages van beveiligingsbedrijven opneemt in je programma.
Laat je niet ontmoedigen door het feit dat een CTI programma veel geld kost. Dat kan zeker het geval zijn, maar met kleine stappen valt er een hoop winst te behalen. Ook de nieuwe ISO normering vraagt tegenwoordig om Threat Intelligence onderdeel te maken van je programma, kortom, hoe het is in de toekomst niet meer de vraag of, maar hoe je threat intelligence gaat gebruiken om jouw organisatie te beschermen.
Gratis tools vanuit de presentatie van de RSA Conferentie voor een sterk CTI programma:
1. Het opsporen van aangetaste referenties
Tools: Google & pastebin alerts
2. Grote bedrijven hebben continu beveiliging nodig, maar kleinere bedrijven kunnen gebruik maken van periodieke controles. Dit geldt voor lookalike domeinen die geregistreerd zijn.
Tools: CZDS, GREP Tools
3. Het tellen van typo- en homotypen voor alle LIVE-domeinen met een A-, Quad- A- en/of MX-record.
Tool: DNStwist
4. Hulpmiddelen voor het zoeken op het dark- en standaardweb
Standaard web tools: IACA Dark Web Tools, ahmia.fi, onionsearchengine.com, Darksearch.io, Tor2Web.
Dark Web tools: Candle, NotEvil, Haystack, Torch, Recon & DuckDuckGo (de .onion, niet de andere).
5. EASM en controleren op kwetsbaarheden
Tools: Censys, BinaryEdge, Taken together, VulMon, CVETrends, Talos, ZDI, CISA KEV en Twitter Alerts
6. Voorkomen van social-media imitatie en fraude door het zoeken naar accounts die die ongebruikt blijven liggen voor criminelen
Tools: namechk.com, namecheckr.com, checkuser.org, namecheck.com, knowem.com, checkusernames.com
7. Het tellen van de subdomein, onthullen van blootgestelde niet-prod systemen, ongepatchte sites en ‘’shadow IT’’.
Tools: FQDN telling, WHOISMXL, DNSDumpster en Pentest-Tools
8. Het opslaan, doorzoeken en beheren van IOC-informatie
Tools: Infragard, threatminer.org, AlienVault OTX, Botvrij.eu en Github CyberMonitor
(RSA Conferentie, 2023)