Threat intelligence eller Cyber Threath Intelligence, det är fraser som vi hör branschen nämna väldigt ofta. Men vad innebär det egentligen och varför är det viktigt?
Threat intelligence handlar mycket om att känna till sårbarheter, kritiska system och dess svagheter. Och det är naturligtvis så att om vi känner till våra sårbarheter, svagheter och attackytor så går det faktiskt att vara förberedd och i många fall skydda företaget mot attacker.
För oss handlar det mycket om att göra det okända känt, och faktiskt veta vad vi ska göra när vi är under attack, eller när någon kanske redan har klickat på den där fisken i eposten.
Det gör att jag genast tänker på vikten av att jobba proaktivt. Veta vilka system som kanske släpar efter på grund av den där applikationen som är så svår att uppgradera, eller det där systemet som är klassificerat och inte får uppdateras, åtminstone inte till en tillräcklig nivå.
Andra delar är såklart att få överblicken och de tidiga indikatorerna på att något fuffens är på gång. Det kan t.ex. vara DNS-uppslag mot domäner som är skapade samma vecka. Jag menar vilka skapar en helt ny domän och har den i produktion dag 2?
Andra tecken kan vara att vi helt plötsligt lägger upp en fil till en molndisk som vi aldrig brukar använda. Eller att en kollega på ekonomi helt plötsligt börjar slå i en databas som aldrig har skett tidigare.
Här är det såklart en fördel om vi kan använda ett SIEM- system (Security Information and Event Management), men jag skulle vilja slå ett slag för det nya smarta SIEM systemet från Exabeam med UEBA, User and Entity Behavior Analytics. Systemet som alltså även förstår vad användarna och enheterna i nätet i normala fall gör och med hjälp av smarta algoritmer, och bara larmar på det som faktiskt är viktigt, till skillnad mot vanliga SIEM-system som larmar i tid och otid. Exabeam skapar dessutom en tidslinje automatiskt över det som hänt. Detta spara en massa tid för analytikerna i en SOC (Security Operations Center).
Utan UEBA så är det ett mycket tidskrävande jobb att validera och kontextualisera alla dessa larm.
Analytikerna måste manuellt konvertera frågeställningar och idéer till ett komplicerat så kallat sökspråk för att kunna få svar på frågor som
- Vilka andra har utfört liknande handling?
- Vilka övriga enheter har det aktuella kontot haft åtkomst till?
- Är detta beteende normalt eller inte för andra i organisationen i liknande roller?
- Vid vilken tidpunkt brukar dessa händelser normalt ske?
- Brukar en viss process exekveras från en temp-katalog?
Exabeam jobbar med Statistisk analys och det är ryggraden för Exabeams beteendebaserade riskanalys. Metoden baseras på profilering av användares och enheters historiska aktiviteter.
Profiler skapas automatiskt för varje användare och enhet i er organisation.
Exabeam har över femhundra olika fördefinierade typer av profiler för att kunna se och monitorera varje användare eller enhet inom organisationen.
Dessutom skapas så kallade peer-baserade profiler, liksom organisationsnivåprofiler för att kunna jämföra enskilda individers beteende med gruppers beteende.
Så för mig och mina kollegor handlar Threath Intelligence inte bara om att känna till sina svagheter utan även att jobba proaktivt med dem. Då är det skönt med verktyg från våra leverantörer som verkligen levererar ett mervärde. Med Exabeam samlar vi enkelt in loggar från DNS, MS AD, VPN, Sårbarhetsanalyser, EDR och molnet. Det passar oss perfekt då det är där våra duktiga konsulter glänser med sin kunskap.
Cuebid är Global Services Partner till Exabeam och erbjuder Platform Support och Professional Services.
Vill ni höra mera så tveka inte, hör av er. Det går dessutom att få en testdrive på Exabeam.
/Thomas Hedströmmer