Cyber threat intelligence: lapmiddel of remedie voor cyberincidenten?

Highlights:

• CTI draait om inzicht in de mogelijkheden, intenties en belangen van een tegenstander met betrekking tot uw bedrijf.
• Elke stap in de aanpak van cyberincidenten kan worden ondersteund door CTI.
• CTI moet holistisch worden toegepast door zowel met tactische, operationele als strategische informatie rekening te houden.
• CTI kan worden gezien als een soort preventieve medicatie ofwel een proactieve vorm van defensie.
• Ken uzelf: CTI is een krachtige tool waarmee u zowel uzelf als uw tegenstander leert kennen.

Cyber threat intelligence (CTI) is een op analyses gebaseerde methode gecombineerd met innovatieve tools voor het opsporen en aanpakken van dreigingen. CTI draait in essentie om inzicht in de mogelijkheden, intenties en belangen van een tegenstander met betrekking tot uw bedrijf. Wat willen de aanvallers? En welk scala aan tactieken, technieken en procedures (TTP’s) gebruiken ze om dit in handen te krijgen? De uitdaging ligt echter vaak in de vraag hoe organisaties CTI kunnen aanwenden, opdat ze er ook echt baat bij hebben. Cyber threat intelligence, ofwel dreigingsinformatie, moet voor organisaties namelijk wel praktisch uitvoerbaar zijn. Is CTI de glazen bol die u vertelt waar de aanval zal plaatsvinden nog voordat er ook maar iets is gebeurd? Of is het juist een stroom aan Indicators of Compromise (IoC’s) waarmee uw beveiligingstools dreigingen kunnen opsporen die uw infrastructuur al zijn binnengedrongen?

CTI kan onderverdeeld worden in tactische, operationele en strategische informatie. Weten hoe deze verschillende categorieën en hun beoogde doelgroepen in elkaar steken, is essentieel om te begrijpen hoe CTI kan worden ingezet voor de aanpak van dreigingen en cyberincidenten (incidentrespons). Tactische dreigingsinformatie is de meest technische van de drie categorieën en is vaak leesbaar door machines. Dat zijn bijvoorbeeld de IoC’s, die gebruikt kunnen worden om ‘als kwaadaardig bekendstaande’ IP-adressen, bestandshashes en URL’s en dergelijke automatisch op te sporen. Operationele informatie kijkt vooral naar het ‘grotere plaatje’ en richt zich op het gedrag van de aanvaller en op de bedrijfsvoering als geheel. Wanneer we weten hoe digitale aanvallers in het verleden te werk zijn gegaan, kunnen we hun toekomstige gedrag beter voorspellen en hierop anticiperen. De strategische informatie tot slot is bedoeld om het leiderschap te ondersteunen bij hun besluitvorming over de richting van de organisatie. Strategische informatie helpt bij besluiten over risicobeheer, bedrijfsstrategie, de toewijzing van middelen en budgetprioritering.

Tactische en operationele informatie is vooral handig om snel op incidenten te kunnen reageren. Strategische informatie speelt juist een rol in de governance op de lange termijn en de besluitvoering over de aanpak van cyberincidenten. Het Amerikaanse National Institute of Standards and Technology (NIST) heeft de activiteiten die komen kijken bij incidentrespons onderverdeeld in vier fasen: voorbereiding, detectie & analyse, insluiting, uitroeiing & herstel, en tot slot activiteiten na afloop (zie figuur 1). Hieronder kijken we hoe CTI al deze fasen kan ondersteunen.

Stelt u zich voor dat een oude rechercheur in Amsterdam de straat op wordt gestuurd. Ze moet een dief vangen. Hopelijk waren er, voordat de dief inbrak in heel Amsterdam, voorbereidingen getroffen om ervoor te zorgen dat de agent alles had wat ze nodig had om zich zo goed mogelijk van haar taak te kwijten: een politiewagen, een werkende portofoon, de juiste training, enzovoorts. Voor de aanpak van cyberincidenten moet men doorgaans beschikken over telemetrie, tools en een getraind team om onderzoek te doen en te anticiperen op cyberincidenten nog voordat ze hebben plaatsgevonden. In deze fase komt vooral strategische en operationele CTI van pas om de voorbereiding door het incidentresponsteam de juiste richting op te sturen. Zo kunnen we uit een algehele toename van Emotet-gerelateerde incidenten opmaken dat we met name alert moeten zijn op Emotet IoC’s. Op deze manier is het incidentresponsteam ervan verzekerd dat ze in staat zijn om de nieuwste en meest geavanceerde aanvallen te pareren en dat ze hun potentiële tegenstanders al leren kennen nog voordat ze voor hun neus staan. Hetzelfde gaat op voor onze rechercheur die gebrieft was over de gebruikelijke hangplekken van onze dief en hoe deze zijn inbraken meestal organiseerde. Ze weet waar ze moet beginnen om de eerste aanwijzingen te vinden.

Vervolgens komt de detectie- en analysefase, ofwel opsporen en onderzoeken. Onze rechercheur is gedropt in Amsterdam, maar weet door de informatie uit de vorige fase gelukkig in welk stadsdeel ze haar onderzoek kan beginnen. Een groot deel van de aandacht van incidentresponsteams/onderzoekers gaat uit naar het begrijpen van hoe de aanvaller denkt. Het beroemdste model dat bij CTI wordt gebruikt om de werkwijze van een aanvaller te illustreren, is misschien wel de Cyber Kill Chain[1]. Voor het incidentresponsteam is dit een handig model om bij hun onderzoek in het achterhoofd te houden. Daarnaast biedt tactische informatie met betrekking tot de infrastructuur van de aanvaller (zoals bekende command-and-control IP-adressen of URL’s van de aanvaller) en operationele informatie (bijvoorbeeld dat deze aanvaller de voorkeur geeft aan ‘living off the land’-aanvallen in plaats van voorverpakte uitvoerbare bestanden) extra informatie om het onderzoek de juiste richting op te sturen. Dit verkort het speurwerk in een situatie waarin elke seconde telt. Met andere woorden: door de informatie die ze al had gekregen, weet de rechercheur precies wat voor gereedschap de dief voor zijn inbraken gebruikt. Ze weet ook dat hij liever via het raam dan door de deur naar binnen komt. Dus dat is de plek waar ze haar onderzoek begint en waar ze haar bewijs verzamelt om volledig te kunnen reconstrueren wat er is gebeurd en wat er is gestolen.

Nu we precies weten hoe de dief te werk gaat, kunnen we hem insluiten. De insluitings-, uitroeiings- en herstelfasen gooien de aanvaller uit uw infrastructuur, herstellen de schade en laten u weer overgaan tot de orde van de dag. Belangrijk hierbij is inzicht te krijgen in het gedrag van de aanvallers en in de manier waarop ze zullen reageren wanneer ze erachter komen dat hun aanwezigheid is opgemerkt. Doorgaans kan dit worden opgemaakt uit de operationele informatie met betrekking tot de TTP’s van de betreffende aanvallers. De rechercheur weet hoe ze de dief staande moet houden. Ze verwacht namelijk dat hij zich op een bepaalde manier zal gedragen, waardoor de kans groter is dat hij (of zijn collega’s) niet zullen terugkomen om de klus af te maken.

Tot slot hebben we nog de activiteiten na afloop. Dit zijn alle activiteiten met betrekking tot afrondende rapportages, nabesprekingen en ‘geleerde lessen’. In deze fase wordt het incident afgesloten en gekeken hoe er de volgende keer nog beter gereageerd kan worden en hoe herhaling van vergelijkbare incidenten in de toekomst kan worden voorkomen. Al het bewijsmateriaal (zoals IoC’s en voorbeelden van malware) over de TTP’s van de aanvaller, dat in de fasen ervoor en tijdens het observeren is verzameld, kan centraal worden opgeslagen om toekomstige onderzoeken te verbeteren. Daarnaast kan deze (tactische en operationele) informatie ingevoerd worden in bestaande beveiligings- en bewakingssystemen en gebruikt worden voor de ontwikkeling van ‘threat hunting’-scenario’s (het actief opsporen van cyberdreigingen) om vergelijkbare incidenten in de toekomst proactief tegen te gaan.

Het is verleidelijk om een complex onderwerp zoals de inzet van CTI in eenvoudige termen als ‘pijnstiller’ of ‘remedie’ af te doen. CTI, in zijn puur tactische vorm, zoals het gebruik van IoC’s voor het tegenhouden en opsporen van aanvallen op basis van frequent veranderende technische informatie bijvoorbeeld, kan overkomen als een lapmiddel: een tijdelijke oplossing voor een groter probleem. Maar door deze vorm van CTI te combineren met operationele en strategische informatie, ontstaat een meer holistische aanpak om incidenten te onderzoeken en de algehele impact te beperken. Is CTI de ‘remedie’ die cyberincidenten bij organisaties voor eens en voor altijd voorkomt? Niet helemaal. CTI is zo goed als de vereisten van de doelgroep en het inzicht in de eigen interne infrastructuur. Want als u niet weet wat u hebt, kunt u het ook niet verdedigen. U moet weten wat uw zwakke punten zijn en waar uw grootste schatten zich bevinden. CTI is geen glazen bol: het is een door mensen aangestuurd proces. En net als bij traditionele dreigingsinformatie zien mensen soms dingen over het hoofd.

Informatie over cyberdreigingen moet dan ook meer gezien worden als preventieve geneeskunde: een solide verzameling routines en maatregelen om de kans op een ramp te verkleinen en de impact te verminderen als de ziekte toch toeslaat. Een volwassen CTI-programma geeft u alvast een idee van wat u kunt verwachten: welke aanvallers zijn specifiek in u geïnteresseerd? Welke malware gebruiken ze graag? Wat is de favoriete kwetsbaarheid van de maand waarmee hackers willen binnenkomen? Mocht zich dan toch een incident voordoen, dan heeft u een betere informatiepositie dan u anders zou hebben gehad. Wanneer uw onderzoekers gaan uitpuzzelen hoe de inbreuk heeft plaatsgevonden, beschikken ze al over een schat aan informatie waarmee ze de aanvalsvector (en misschien zelfs de dader) sneller kunnen lokaliseren. Dit verkort de tijd waarin de aanvaller zich in uw systemen bevindt.

In de steeds hectischer wordende bewapeningswedloop tussen cyberaanvallers en verdedigers is een goede informatiepositie crucialer dan ooit. Cyber threat intelligence is de volgende stap om u ervan te verzekeren dat uw organisatie als eerste alle informatie in handen heeft, van het executive management, het incidentresponsteam en de beveiligingsmedewerkers tot de eindgebruiker aan toe. Zoals Sun Tzu het zo goed verwoordde, nog voor de komst van de computer: “Wie de vijand kent en zichzelf zal in honderd veldslagen niet in gevaar zijn. Wie de vijand niet kent maar zichzelf wel, zal soms winnen en soms verliezen. Wie de vijand niet kent en zichzelf niet, zal iedere slag in gevaar zijn.”

Erik van Dijk

Erik is cyber threat intelligence-consultant met tien jaar ervaring op het gebied van militaire inlichtingen. Hij leidt en ontwikkelt het CTI-team van de Cybersecurity Unit van Capgemini in Nederland. Erik richt zich op de kwaliteit van de informatieproducten en is gespecialiseerd in strategische informatie.

Saskia Kuschke

Saskia Kuschke is een SANS-getrainde analist op het gebied van digitaal forensisch onderzoek en incidentrespons met uitgebreide ervaring in onderzoek naar cybercriminaliteit en incidentafhandeling. Saskia maakt deel uit van Capgemini’s ATHIR (Advanced Threat Hunting and Incident Response)-team, dat incidentresponsdiensten ontwikkelt waarmee cyberbeveiligingsincidenten bij bedrijven op grote schaal kunnen worden aangepakt.

REFERENCES

1. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html