'We zijn gehackt, ons netwerk ligt plat! Hadden we maar meer geweten, dan hadden we dit kunnen voorkomen.' Kennis is macht en de dorst naar informatie is ook groot voor ict-security. Maar zogeheten intel-rapporten zijn pas nuttig als er eerst aan andere voorwaarden is voldaan.
Tegenwoordig moeten niet alleen securityscanners, firewalls en antimalwarepakketten kennis hebben van digitale dreigingen. Ook ict-managers, security-verantwoordelijken en andere betrokkenen willen weten wat er speelt. Op de hoogte zijn (en blijven) is een haast niet te onderschatten skill voor cybersecurity, wat het thema is van Alert Online dit jaar. Je kunt deze skill ontwikkelen en bijhouden dankzij threat intelligence (TI). Dit omvat het georganiseerd analyseren, verfijnen en delen van informatie over mogelijke en ook lopende aanvallen op organisaties en gebruikers.
Nut en noodzaak, met mate
In zogeheten intel-rapporten delen security-onderzoekers en -leveranciers hun analyses en inzichten over dreigingen. Sommige van deze rapporten zijn gratis op internet te verkrijgen, andere zijn tegen betaling af te nemen in bijvoorbeeld een abonnementsvorm. Gratis is niet altijd gedetailleerd genoeg, maar sommige betaalde intel-rapporten zijn ook niet per definitie nuttig en noodzakelijk.
Kennis is macht, maar inlichtingen over dreigingen zijn niet de eerste prioriteit. Tenminste, intel-rapporten zouden niet de eerste prioriteit moeten zijn. Ze hebben immers weinig zin als je niet eerst je basics op orde hebt. Dingen zoals goed patch-management van de software die je gebruikt, plus snelle installatie van verse patches voor ontdekte kwetsbaarheden. Vergeet ook niet basale securityzaken als firewalls en gedegen logging van events in je infrastructuur.
Begin bij de basis
Het nut van kennis over nieuwe malware, lopende dreigingen en opkomende trends valt dan namelijk flink tegen. Die waardevolle kennis is voor jou waardeloos als je niet in staat bent om openstaande gaten snel te dichten, als je niet eens weet wat de patch-levels van je software zijn, als je niet weet wat er gebeurt op je netwerk. De Franse tv-zender TV5 Monde is dat laatste bijna fataal geworden met de vergaande hack van vorig jaar.
Je kunt intel-rapporten beschouwen als informatie over de nieuwste kluiskraaktechnieken terwijl je de deuren en ramen van je bedrijfspand niet eens vergrendelt en controleert. Informatie over threats is pas nuttig als er eerst aan andere voorwaarden wordt voldaan. Zorg dus eerst dat de security-basics op peil zijn.
Ga later pas kijken naar intel-rapporten. Kies dan of je gaat voor gratis versus betaald, maar meer gedetailleerd. Kies daarbij ook van welke vertrouwde securityleverancier je die informatie wilt betrekken. Informatie die dan wél waardevol voor je is.
Toch ook tikje vooraf
Nu is het niet zo dat intel-rapporten zonder de basics helemaal nutteloos zijn. Gericht gebruik van TI-rapporten kan je namelijk helpen om de benodigde security voor elkaar te krijgen. Specifieke informatie kan dienen als onderbouwing voor de business case.
Stel dat een security-officer geen directe macht heeft over de it-afdeling, die bijvoorbeeld qua patch-management te wensen overlaat. Dan kan informatie over malwarebesmetting via bekende en openstaande kwetsbaarheden helpen om de noodzaak duidelijk te maken. Zo valt budget, permissie en implementatie van securitymaatregelen voor elkaar te krijgen.
Een kwestie van skills
Daarna kun je breder zicht krijgen op dreigingen binnen en buiten je eigen ict-omgeving. De informatievoorsprong die je kunt krijgen door intel-rapporten valt dan pas echt te benutten. De mogelijkheid om bedreigingen vóór te zijn, komt dan pas in je bereik. Zorg dus eerst voor de technische randvoorwaarden qua security.
Verhoog dan die basissecurity met operationele en strategische inzichten uit dreigingsrapporten. Voor grotere organisaties valt er bovenop volwassen ict-beveiliging best veel te bouwen en te leren. Een kwestie van skills dus. Voor kleinere organisaties valt er veel meer te winnen door beter te patchen en vaker te back-uppen. Ook dat zijn trouwens securityskills.