Toepasbare KPI’s voor inlichtingen om digitale dreigingen te doorstaan.

Security staat of valt met goede threat intel

Onderkop

door Jasper Bakker, Pexels/TREEDEO.ST

Cybersecurity heeft tegenwoordig voor goede bescherming van organisaties meer nodig dan menskracht en slimme systemen. Zowel securityprofessionals als securitysoftware hebben data nodig. Veel data? Nou, vooral goede data. Informatie over digitale dreigingen, zogeheten threat intel. Die dan wel aan wat eisen moet voldoen om echt nuttig te zijn.

Data alleen zijn niet afdoende. Sterker nog: grote hoeveelheden data kunnen zorgen voor informatie-overload. Door de bomen het bos niet meer (kunnen) zien. Dit geldt al voor gewone gegevens, maar zeker voor security-informatie. Denk aan false positives: onterechte meldingen van zaken die dus eigenlijk géén security-alarm hadden moeten zijn. Daarin kunnen de security-inspanningen van een organisatie verdrinken.

De volumes aan dagelijkse alarmmeldingen zijn overweldigend en méér dan IT-beveiligers aankunnen.

Overweldigend

Eind vorig jaar wist onderzoeksbureau 451 Research op te merken dat securityteams voor een grote en groeiende uitdaging staan. De volumes aan dagelijkse alarmmeldingen zijn overweldigend en méér dan IT-beveiligers aankunnen. Het gevolg is dat veel - mogelijk valide - meldingen blijven liggen; niet worden opgevolgd.

Tussen 2020 en 2023 is het percentage aan niet onderzochte alarmmeldingen gesprongen van 37% naar 54%, aldus 451. Die stijging is níet het gevolg van besparingen op cybersecurity. Integendeel: de uitgaven aan IT-beveiliging zijn juist toegenomen. Maar de overvloed aan alarmmeldingen is dus méér toegenomen.

Naast alarmmeldingen zijn er nog meer data voor security. Denk ook aan threat intel (ook wel cyber threat intelligence, CTI): welke digitale dreigingen, aanvalsgroepen, hackcampagnes, malwarevarianten en meer zijn er allemaal? Veel, heel veel. Om nuttig te zijn moet dreigingsinformatie niet zozeer véél zijn, maar vooral bruikbaar. En voor bruikbaarheid gelden enkele key performance indicators (KPI’s), zoals IT-onderzoeksbureau Forrester heeft gedefinieerd.

Overweging voor leverancierskeuze

451 Research stelde in een ouder onderzoeksrapport al dat securityteams integratie van threat intel nodig hebben. Deze conclusie is getrokken op basis van onderzoek onder securityprofessionals in de enterprisemarkt. Voor de keuze van een SIEM-leverancier (security information & event management) gaf bijna twee derde van de respondenten aan dat integratie en correlatie van threat intel in hun security-operaties ‘zeer belangrijk’ is.

Net iets minder dan een derde noemde dit ‘enigszins belangrijk’. Dit was enkele jaren terug al het geval: in het 451-onderzoek Voice of the Enterprise: Information Security, Vendor Evaluations 2021. Sindsdien zijn digitale dreigingen - maar ook digitale afhankelijkheid - niet bepaald geslonken.

Het selectiecriterium van integratie en correlatie stond op nummer twee in de lijst van overwegingen. Op nummer één stond kwaliteit van de securityreportages en alarmmeldingen. Daarvan vond bijna driekwart dit ‘zeer belangrijk’ en iets meer dan een kwart ‘enigszins belangrijk’. Ook dit is een factor die sinds dat 451-onderzoek is uitgevoerd alleen maar groter en belangrijker is geworden.

Meer is niet per se beter.

CART-model Forrester

Forresters CART-framework is een middel om dit te tackelen. Dit model steunt op vier kritieke eigenschappen die (goede) threat intel moet hebben. Deze kritieke security-informatie moet Compleet, Accuraat, Relevant en Tijdig zijn. CART dus. Compleet houdt in dat er een breed scala aan informatiebronnen en dreigingsvectoren wordt omvat. Accuraat komt erop neer dat de threat intel gevalideerde en geverifieerde inzichten biedt, die dan zijn gebaseerd op praktijkervaring.

Relevant betekent dat de informatie is toegespitst op de situatie van de ontvangende, intel-gebruikende organisatie. Zodat de dreigingsdata bruikbaar zijn, in plaats van voornamelijk informatief en mogelijk een overload. En tijdig houdt in dat de threat intel in een vroeg stadium al opkomende dreigingen signaleert, die snel aanduidt, zodat organisaties proactieve besluiten kunnen nemen om zich te verdedigen.

Waarde en effectiviteit meten

Forrester zet CART verder uiteen in het Best Practice-rapport ‘How To Measure The Effectiveness And Value Of Threat Intelligence’, dat eind vorig jaar is uitgekomen. Daarin wordt een belangrijke uitdaging voor cybersecurity benadrukt: dat veel security- en risicoprofessionals moeite hebben om de waarde en effectiviteit van threat intelligence te meten. Dit ‘mankement’ leidt dan tot verspilde middelen en gemiste kansen, om digitale dreigingen effectief of zelfs goed te doorstaan.

Gebruik van kwantitatieve en kwalitatieve metrics is dus van belang om de effectiviteit van threat intel aan te tonen. Een valkuil daarbij is wel de verleiding om uitsluitend te vertrouwen op verbruiksgebaseerde metrics, waarschuwt Forrester. “Meer is niet per se beter. De juiste doelwaarde voor een metric is uniek voor de cybersecurity-volwassenheid en het risicoprofiel van een organisatie."

Volwassen aanpak

Volwassenheid speelt ook een rol in het bepalen van een goede omgang met threat intel. 451 stelde eerder al dat een securitystrategie zonder threat intelligence niet geloofwaardig (of: betrouwbaar) is. Je kunt immers niet managen wat je niet weet. Voor securityteams is threat intel een fundamentele kennisbron, aldus 451. Daaruit valt immers te destilleren waar aanvallers op uit zijn: wat hun doelen en methodes zijn.

Op basis dáárvan kunnen organisaties herkennen of en hoe ze op de korrel worden genomen. Dit geeft een gerichte verdediging, wat noodzakelijk kan zijn in het licht van relatief beperkte ICT-beveiligingsmiddelen (qua menskracht, expertise en security-investeringen). Want terwijl onderzoeksbureau Gartner voorspelt dat de bestedingen aan informatiebeveiliging dit jaar toenemen (van 183,9 miljard dollar in 2024 naar 212 miljard in 2025), nemen digitale dreigingen ook fors toe - en mogelijk in veel grotere mate.

Iets over de auteur eventueel