Weblogbericht | 25-06-2021 | NCSC

Dreigingen en definities

Wat betekent cyber threat intelligence (ook wel CTI of dreigingsinformatie genoemd) eigenlijk? Cyber threat intelligence, oftewel dreigingsinformatie (in de dagelijkse praktijk gebruik ik de termen door elkaar), is verzamelde, verrijkte en geanalyseerde informatie over dreigingen in het digitale domein, die als doel heeft deze dreigingen tijdig te identificeren en de weerbaarheid van de ontvangers te verhogen.

Binnen ons team bedoelen we hiermee alle informatie en/of inlichtingen over digitale aanvallen die relevant zouden kunnen zijn voor de Nederlandse samenleving. Hiermee hebben we ook gelijk de moeilijkheid te pakken: hoewel de meeste organisaties en bedrijven goed kunnen uitleggen welk soort dreigingsinformatie er voor hun netwerken en systemen relevant is, moeten nationale CSIRT/CERT’s (Computer Emergency Response Teams) veel doelgroepen kunnen bedienen met specifieke dreigingsinformatie. Als je dan bedenkt dat iedere organisatie weer een andere informatiebehoefte heeft, is dat nogal een uitdaging.

Niveaus van dreigingsinformatie

Dreigingsinformatie over digitale aanvallen is niet eenduidig; er bestaan verschillende typen. De Britse voorlopers van het huidige NCSC-UK hebben deze typen onderverdeeld in vier niveaus: het technische, operationele, tactische en strategische niveau. Elk niveau heeft zijn eigen eigenschappen en gebruikers.

Strategisch niveau

Dit is met name informatie over ontwikkelingen in digitale veiligheid die voor een langere termijn gelden. Vaak is dit soort info bruikbaar voor een beleids- of bestuurslaag in een organisatie. Het Cybersecuritybeeld Nederland (CSBN), waar ons team aan meeschrijft, is zo’n voorbeeld van strategische informatie. Het geeft bijvoorbeeld de stijgende trend aan van de inzet van ransomware over meerdere jaren.

Tactisch niveau

Dit is informatie over dreigingen, tactieken en hulpmiddelen van digitale aanvallers (die we soms ook weleens ‘actoren’ noemen), zoals de werkwijze van aanvallers en hoe zij hun digitale hulpmiddelen ontwikkelen. Dit soort informatie is bruikbaar voor CISO’s en veiligheidsexperts. Een voorbeeld hiervan is een artikel over malware op de website van het NCSC.

Operationeel niveau

Deze informatie biedt specifieke en gedetailleerde dreigingsinformatie op zeer korte termijn, vaak expliciet gericht op een enkele organisatie of sector. De ontvanger kan deze informatie gebruiken om het eigen netwerk mee te verdedigen. Deze informatie is vaak gebaseerd op eigen onderzoek. Het NCSC krijgt daarnaast ook operationele informatie van collega-CSIRT/CERT’s, inlichtingendiensten, de politie of van beveiligingsonderzoekers. Als een dreiging acuut en concreet wordt, dan wordt de zaak binnen het NCSC vaak overgedragen naar ons incidentresponsteam en nemen we zo snel mogelijk contact op met de (mogelijk) getroffen partijen.

Technisch niveau

Technische informatie betreft bijvoorbeeld IoC’s (Indicators of Compromise), URL’s, domeinnamen, IP-adressen, bestand-hashes, YARA-rules en andere malware-eigenschappen. Dit soort informatie is meestal gericht op netwerkbeheerders, CSIRT/CERT’s en SOC’s. De feeds die wij leveren in het kader van het Nationaal Detectie Netwerk zijn een voorbeeld van technische dreigingsinformatie. Het gaat hier om herkenbare eigenschappen van malafide verkeer die organisaties vervolgens kunnen gebruiken voor detectie.

Het NCSC en dreigingsinformatie

De teams die zich binnen het NCSC bezighouden met dreigingsinformatie concentreren zich meestal op informatie van het technische, operationele en tactische niveau. De teamleden zelf zijn medewerkers met diverse achtergronden en opleidingen. Diversiteit is sowieso belangrijk in een team dat zich bezighoudt met digitale dreigingen, omdat je dit hard nodig hebt om informatie vanuit verschillende perspectieven te kunnen duiden en eventuele vooringenomenheid te vermijden. Zo bestaat ons team uit een mix van technisch specialisten en dreigingsanalisten. Deze laatste hebben meestal geen technische opleiding gehad, maar hebben een achtergrond in bijvoorbeeld integrale veiligheidskunde, inlichtingen of criminologie. Dit stelt ze in staat om digitale dreigingen ook in een breder verband of op bijvoorbeeld een geopolitiek vlak te kunnen duiden.

De vragen die bij ons team binnenkomen, variëren in abstractieniveau en aard. Een paar voorbeelden:

• Er is een activistische bijeenkomst aangekondigd tegen een specifieke sector. Vallen er hierbij ook digitale aanvallen te verwachten?
• Welk soort digitale aanvallers zijn actief in mijn sector en wat zijn hun werkwijzen?
• Mijn netwerksensor neemt een indicator waar in mijn netwerkverkeer. Word ik aangevallen?
• Vormen cyberterroristen een dreiging tegen de verkiezingen?
• Is onze organisatie een mogelijk doelwit van APT28?
• Wat doet de Trickbot-malware binnen mijn systeem en hoe herken ik het?

In al die jaren waarin ik met dreigingsinformatie te maken heb gehad is mij duidelijk geworden dat je binnen de verschillende niveaus dagelijks moet samenwerken om je zicht op dreigingen volledig te houden. Ik zou haast zeggen dat je met diepgaande, technische kennis niet veel bereikt zonder de belangrijke tactische contextinformatie en andersom. Want waarom zou je detecteren op een set technische gegevens als deze dreigingen niet gericht zijn op jouw organisatie? En wat heb je aan data als je niet weet waar het voor staat en wat het mogelijk doet. Andersom geldt precies hetzelfde: Ik kan je een uitgebreid stuk aanleveren over de werkwijze van de criminelen achter de Trickbot-malware, maar dat is niet zo heel waardevol als ik de bijbehorende technische details niet kan leveren, waarmee je het zou kunnen herkennen of voorkomen. Doordat bij het NCSC de technisch specialisten nauw samenwerken met de dreigingsanalisten, ontstaat er een veel completer beeld van de digitale dreigingen waar Nederland mee te maken krijgt. Dit volledige beeld wordt in jargon ook wel het ‘dreigingslandschap’ genoemd.

Dreigingslandschap

Op de vraag hoe je als nationale CSIRT/CERT al die verschillende organisaties het beste kunt voorzien van dreigingsinformatie ten behoeve van hun weerbaarheid, is geen eenvoudig antwoord te geven. De dreigingsanalisten en de CTI-specialisten van het NCSC proberen het dreigingslandschap in elk geval zo actueel en nauwkeurig mogelijk bij te houden, zodat ze daaruit voor elke type organisatie een relevant beeld kunnen destilleren als daar behoefte aan is. Ook worden er door analisten en specialisten informatieproducten gemaakt die zijn afgeleid van dit dreigingslandschap.

Soms worden aangesloten organisaties vanuit het NCSC gericht voorzien van dreigingsinformatie. Dat is bijvoorbeeld het geval als wij van een betrouwbare partner informatie krijgen over een malwarecampagne die tegen een specifieke sector gericht is. In andere gevallen stellen we ook producten op voor al onze doelgroepen, die een beeld geven van digitale dreigingen die zich nu in Nederland manifesteren, ongeacht op wie deze van toepassing zijn. Dit noemen we ongerichte dreigingsinformatie. Voor organisaties is dit soort informatie niet altijd ‘actionable’ (je hoeft er niet direct wat mee), maar wel ‘achtergrondschetsend’. Dat wil zeggen dat de trends en ontwikkelingen relevante context geven over dreigingen die misschien nog gaan spelen.

Alert fatigue

Soms weten organisaties niet zo goed wat hun eigen informatiebehoefte is. Het is ook niet altijd even eenvoudig om het totale overzicht te hebben van alle systemen of software die in een grote organisatie of bij ketenpartners gebruikt wordt. Vanuit het perspectief van een organisatie ligt het dan soms voor de hand om alle dreigingsinformatie op te vragen bij het NCSC of bij andere organisaties die daar zicht op hebben.

Zelf ben ik daar geen voorstander van. Liever leveren mijn team en ik dreigingsinformatie aan die specifiek gericht is op een organisatie, omdat een teveel aan dreigingsinformatie zijn eigen effect zal ondermijnen. Te veel informatie over niet-relevante dreigingen zorgt bij de verwerkers van deze informatie vaak voor ‘alert fatigue’, ook wel het ‘cry wolf-effect’ genoemd. Hier wordt mee bedoeld dat er zo vaak een vals alarm wordt afgegeven dat partijen niet meer alert zijn op dreigingen die werkelijk aandacht vereisen. Dit is de reden dat we vanuit het NCSC liefst goed zicht hebben en goede relaties opbouwen met partijen uit onze doelgroepen, zodat we – als het werkelijk telt – hen met de juiste dreigingsinformatie kunnen bedienen.

Wordt vervolgd…

Volgende week zal ik wat meer vertellen over de cyber threat intelligence-cyclus en hoe het NCSC deze cyclus doorloopt. Voor ieder type dreigingsinformatie kunnen deze stappen namelijk verschillen.

Dank voor uw aandacht!