De Cyber Informatie over bedreigingen (CTI), of renseignement sur les cyberbedreigingen in het Frans, is een systematisch proces van gegevensverzameling, analyse en interpretatie gegevens over cyberbedreigingen.
Het doel is om organisaties te voorzien van bruikbare informatie om te anticiperen op cyberaanvallen, deze te voorkomen en erop te reageren.
Belangrijkste principes
- Contextuele kennis :
- CTI zet ruwe gegevens (bijv. logbestanden, verdachte IP-adressen) om in gecontextualiseerde informatie: wie de aanvaller is, zijn motieven, zijn methoden.
- Voorbeeld: weten dat een groep APT (Advanced Persistent Threat) richt zich op banken met ransomware maakt het mogelijk om toegangscontroles te versterken.
- Proactief
- Aanpassen aan uw behoeften :
- Er zijn verschillende niveaus van CTI:
- Strategisch voor besluitvormers (bijv. trends in cyberbedreigingen op wereldwijde schaal).
- Operationeel voor teams SOC p (bijv. TTP - Hacker Tactics, Techniques and Procedures).
- Tactiek Technische indicatoren (bijv. malwarehandtekeningen, schadelijke IP-adressen).
- Er zijn verschillende niveaus van CTI:
Waar wordt informatie over cyberbedreigingen voor gebruikt?
- Aanvallen voorkomen :
- Identificeer kwetsbaarheden beheerd door cybercriminelen (bijv. datalekken, kwetsbaarheden Nul-dag).
- Voorbeeld: In 2023 waarschuwden CTI-teams voor de uitbuiting van de kwetsbaarheid Log4Shellwaardoor bedrijven patch hun systemen op tijd.
- Verbeterde respons bij incidenten :
- De detectie en neutralisatie van bedreigingen versnellen (bijvoorbeeld door gebruik te maken van playbooks gebaseerd op de TTP's van groepen zoals LAPSUS$ of LockBit).
- Investeringen in beveiliging optimaliseren :
- Gerichte uitgaven voor de relevante hulpmiddelen (bijv. EDR als de aanvallen gericht zijn op eindpunten).
- Naleving van regelgeving :
CTI-levenscyclus
- Planning Vereisten definiëren (bijv. bescherming van klantgegevens).
- Collectie Open bronnen (OSINT), dark web, samenwerkingsverbanden (ISAC), interne sondes.
- Analyse Gegevens vergelijken met tools zoals MITRE ATT&CK of MISP.
- Uitzending Rapporten op maat voor teams (bijv. dashboard voor de CISOtechnische waarschuwingen voor analisten).
- Feedback Beoordeel de impact van de genomen maatregelen.
Voorbeelden
- Bedreiging voor de gezondheidssector :
- In 2024 maakten hackers misbruik van kwetsbaarheden in medische software om patiëntendossiers te exfiltreren. CTI werd gebruikt om de IoC's te identificeren en de aanvallen te blokkeren.
- Phishing financieel :
- Frauduleuze e-mails die zich voordoen als banken zijn ontdekt door de verzendpatronen en overgenomen domeinen te analyseren.
- SolarWinds-aanval (2020) :Bedrijven met robuuste CTI-programma's waren in staat om snel verdachte activiteiten met betrekking tot deze geavanceerde aanval te detecteren, waardoor de schade beperkt bleef en aanvallers zich niet verder in hun netwerken konden verspreiden.
- WannaCry-aanval (2017)
Organisaties die CTI gebruiken, werden vroegtijdig gewaarschuwd dat de kwetsbaarheid werd uitgebuit en konden de noodzakelijke patches toepassen voordat de aanval plaatsvond, waardoor aanzienlijke financiële en operationele verstoringen werden voorkomen4.
CTI-hulpmiddelen en -bronnen
| Type | Voorbeelden | Gebruik |
|---|---|---|
| Open bronnen | VirusTotal, AlienVault OTX | Verzameling van IoC (schadelijke bestanden, IP's). |
| Betaalplatforms | Opgenomen toekomst, ThreatConnect | Voorspellende analyse en gedetailleerde rapporten. |
| Samenwerking | MISP (platform voor het delen van malware-informatie) | Informatie delen tussen organisaties. |
Kerncijfers
- Volgens IBMTegen 2023 zullen bedrijven die CTI gebruiken hun kosten hebben verlaagd met 65 % gemiddelde reactietijd bij incidenten.
- De CTI-markt zal naar verwachting 25,4 miljard $ tegen 2028 (Bron : Grand View Onderzoek).
Uitdagingen
- Overvloed aan informatie De relevante gegevens uit miljoenen waarschuwingen sorteren.
- Real-time updates Bedreigingen evolueren snel (bijv. ChatGPT gebruikt om malware te genereren).
