Threat intelligence eller Cyber Threath Intelligence

av | mar 30, 2021 | Cybersäkerhet

Thomas Hedströmmer - IT-säkerhetskonsult

Threat intelligence eller Cyber Threath Intelligence, det är fraser som vi hör branschen nämna väldigt ofta. Men vad innebär det egentligen och varför är det viktigt?  

Threat intelligence handlar mycket om att känna till sårbarheter, kritiska system och dess svagheter. Och det är naturligtvis så att om vi känner till våra sårbarheter, svagheter och attackytor så går det faktiskt att vara förberedd och i många fall skydda företaget mot attacker. 

För oss handlar det mycket om att göra det okända känt, och faktiskt veta vad vi ska göra när vi är under attack, eller när någon kanske redan har klickat på den där fisken i eposten. 

Det gör att jag genast tänker på vikten av att jobba proaktivt. Veta vilka system som kanske släpar efter på grund av den där applikationen som är så svår att uppgradera, eller det där systemet som är klassificerat och inte får uppdateras, åtminstone inte till en tillräcklig nivå. 

Andra delar är såklart att få överblicken och de tidiga indikatorerna på att något fuffens är på gång. Det kan t.ex. vara DNS-uppslag mot domäner som är skapade samma vecka. Jag menar vilka skapar en helt ny domän och har den i produktion dag 2? 

Andra tecken kan vara att vi helt plötsligt lägger upp en fil till en molndisk som vi aldrig brukar använda. Eller att en kollega på ekonomi helt plötsligt börjar slå i en databas som aldrig har skett tidigare. 

Här är det såklart en fördel om vi kan använda ett SIEM- system (Security Information and Event Management), men jag skulle vilja slå ett slag för det nya smarta SIEM systemet från Exabeam med UEBA, User and Entity Behavior Analytics. Systemet som alltså även förstår vad användarna och enheterna i nätet i normala fall gör och med hjälp av smarta algoritmer, och bara larmar på det som faktiskt är viktigt, till skillnad mot vanliga SIEM-system som larmar i tid och otid. Exabeam skapar dessutom en tidslinje automatiskt över det som hänt. Detta spara en massa tid för analytikerna i en SOC (Security Operations Center).  

Utan UEBA så är det ett mycket tidskrävande jobb att validera och kontextualisera alla dessa larm.  

Analytikerna måste manuellt konvertera frågeställningar och idéer till ett komplicerat så kallat sökspråk för att kunna få svar på frågor som 

  • Vilka andra har utfört liknande handling? 
  • Vilka övriga enheter har det aktuella kontot haft åtkomst till? 
  • Är detta beteende normalt eller inte för andra i organisationen i liknande roller? 
  • Vid vilken tidpunkt brukar dessa händelser normalt ske? 
  • Brukar en viss process exekveras från en temp-katalog? 

Exabeam jobbar med Statistisk analys och det är ryggraden för Exabeams beteendebaserade riskanalys. Metoden baseras på profilering av användares och enheters historiska aktiviteter.  

Profiler skapas automatiskt för varje användare och enhet i er organisation.  

Exabeam har över femhundra olika fördefinierade typer av profiler för att kunna se och monitorera varje användare eller enhet inom organisationen. 

Dessutom skapas så kallade peer-baserade profiler, liksom organisationsnivåprofiler för att kunna jämföra enskilda individers beteende med gruppers beteende. 

Så för mig och mina kollegor handlar Threath Intelligence inte bara om att känna till sina svagheter utan även att jobba proaktivt med dem. Då är det skönt med verktyg från våra leverantörer som verkligen levererar ett mervärde. Med Exabeam samlar vi enkelt in loggar från DNS, MS AD, VPN, Sårbarhetsanalyser, EDR och molnet. Det passar oss perfekt då det är där våra duktiga konsulter glänser med sin kunskap. 

Cuebid är Global Services Partner till Exabeam och erbjuder Platform Support och Professional Services.

Vill ni höra mera så tveka inte, hör av er. Det går dessutom att få en testdrive på Exabeam. 

/Thomas Hedströmmer 

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Har du koll på ditt nät?

Har du koll på ditt nät?

Hur många switchar har jag? Hur belastad är min Internetförbindelse? Vilka av mina enheter kör en viss release av programvara? Listan kan nästan göras oändlig… Att ha ett bra övervakningsverktyg är inget man skall underskatta, det kan underlätta och stötta din...

En otacksam uppgift

En otacksam uppgift

I Hollywoodfilmerna är det så enkelt. När de goda skaffar en större brandvägg skaffar de onda större superdator och med en större superdator det är ju inga problem att ta sig igenom brandväggen och att komma åt de känsliga filerna. I verkligheten börjar det nästan...

Hacking på hög nivå

Hacking på hög nivå

Tänka att kunna ha en egen hacker som kan hjälpa till att hitta säkerhetsproblem i din egen IT-miljö. Historiskt har det ju funnits ett antal olika verktyg för att själv göra detta arbete. Jag själv har använt Nessus och SANTA som har använts för att göra...

VeeamON 2021

VeeamON 2021

  Två intensiva halvdagar med otroligt utbud av sociala mötesplatser, demo, labb och givetvis sessioner! Allt spelades in och går att se i efterhand på https://www.veeam.com/veeamon  Tyvärr vann jag...

Hope for the best prepare for the worst

Hope for the best prepare for the worst

Business Continuity eller kontinuitetsplan på svenska är ju bra, har jag hört…eller? Att något fungerar kontinuerligt är ju viktigt idag, för att din verksamhet ska tuffa på oavbrutet. Klart att det skiljer sig mellan olika verksamheter, en bonde kanske inte fundera...