Soms denk ik dat voor securitybudgetten hetzelfde geldt als voor marketing: de helft wordt zinvol besteed, maar je weet nooit welke helft. De securitybudgetten worden besteed aan allerlei dozen, software en diensten die preventieve, curatieve en mitigerende maatregelen bieden. De effectiviteit van die maatregelen blijkt uit de mate van het uitblijven van incidenten en/of de wijze waarop de impact van incidenten wordt beperkt. Deze zaken zijn lastig te meten, er is geen objectiveerbare schadelast zoals bijvoorbeeld na een brand in een huis. Er is bovendien nauwelijks onafhankelijke informatie over incidenten per branche, dus een benchmark met andere organisaties is niet mogelijk. En hoe bepaal je wat de impact zou zijn geweest zonder deze maatregelen? De risk-reward ratio is heel lastig te bepalen.
Threat analytics
Threat analytics (of Threat intelligence) is zo’n maatregel waarvan je je kunt afvragen of deze de (vaak jaarlijks terugkerende) investering waard is. Deze techniek kent verschillende verschijningsvormen, waarbij het belangrijkste onderscheid ligt in of de te analyseren dreigingsinformatie binnen of buiten je netwerk wordt gegenereerd. De data die binnen of aan de rand van je netwerk wordt gegenereerd kan zinvolle informatie opleveren. Of de data die buiten je netwerk wordt verzameld relevant is, en vervolgens voor veel geld als “predictive analytics” wordt verkocht waag ik te betwijfelen.
Dit gebeurt er namelijk: partijen die externe threat analytics aanbieden hebben over de gehele wereld honey pots en aan te vallen websites staan. Deze honey pots fungeren als lokdozen voor hackers en andere kwaadwillenden. Zodra er een honey pot of website wordt aangevallen, analyseert de organisatie de aanval. De resultaten van deze analyse koppelen ze terug aan het security operations center van hun klanten, die een abonnement hebben afgesloten op hun dienstverlening. Ook speuren ze open bronnen af op het internet om te zien of hun klanten (en hun apparatuur) hierin voorkomen.
Pew Pew Maps
Overigens worden deze aanvallen door een aantal partijen ook op een wereldkaart geplot, wat er indrukwekkend uitziet – de onder hackers bekende “pew pew maps”:
Ik kan niet ontkennen dat het voor een informatiebeveiliger interessant kan zijn om te weten hoe deze aanvallen worden uitgevoerd en hoe vaak een dreiging statistisch voorkomt. Ik vraag mij echter af wat je er als Nederlandse organisatie aan hebt om te weten dat er in Brazilië een honey pot is aangevallen door een automatisch script uit Maleisië? Of dat er een website van een organisatie in India gecompromitteerd is? Of dat er in Duitsland een DDoS-aanval gaande is op een bedrijf in München? Hoe groot is de kans dat diezelfde hacker jouw netwerk aanvalt, dat jouw website op precies dezelfde manier wordt gecompromitteerd of dat de DDOS-aanval jouw organisatie problemen oplevert?
Security Operation Centers hebben meer te doen
De meeste security operation centers hebben al hun handen vol aan het doornemen van de eigen server- en firewall logs en het verwerken van andere veelal openbaar verkrijgbare dreigingsinformatie. Zij zitten helemaal niet te wachten op nog meer informatiebronnen, maar hebben juist veel meer baat bij een beperkte set goed bruikbare data. En goede filtering, want wat relevant is binnen zo’n gigantische bak gegevens is heel specifiek voor elke organisatie. Het feit dat verkopers van Threat intelligence schermen met hun “gepatenteerde algoritmes” maakt dit niet veel transparanter of zelfs relevanter. Er zijn zelfs grote organisaties die uit angst maar abonnementen op alle threat intelligence vendoren nemen die er zijn, voor het geval “je iets mist”.
Dus ook binnen de informatiebeveiliging geldt: bezint eer ge begint! Kijk kritisch naar wat je wilt beschermen, en zoek de maatregelen die daarbij passen. Met name voor kleinere organisaties is dure, commerciele threat intelligence alleen maar een vals gevoel van veiligheid. Het is ook belangrijk te bepalen wat je organisatie aan kan. Kwaliteit gaat hier boven kwantiteit: in veruit de meeste gevallen heeft een organisatie veel meer aan een beperkte set nuttige informatie, dan aan een grote set onsamenhangende informatie.
Oh, en de meeste threat intelligence is gratis of voor heel weinig te doorzoeken via Shadowserver, AbuseHub, Zoomeye, Censys, Buildwith, Pastebin etcetera. Open source intelligence dus! Gecombineerd met goede logfile analyse (Logstash of Splunk als je knaken hebt) en goede basis-security-hygiene komen de meeste organisaties een heel eind. Kan je je threat intelligence geld ergens anders aan uitgeven.