Threat intelligence eller Cyber Threath Intelligence

av | mar 30, 2021 | Cybersäkerhet

Thomas Hedströmmer - IT-säkerhetskonsult

Threat intelligence eller Cyber Threath Intelligence, det är fraser som vi hör branschen nämna väldigt ofta. Men vad innebär det egentligen och varför är det viktigt?  

Threat intelligence handlar mycket om att känna till sårbarheter, kritiska system och dess svagheter. Och det är naturligtvis så att om vi känner till våra sårbarheter, svagheter och attackytor så går det faktiskt att vara förberedd och i många fall skydda företaget mot attacker. 

För oss handlar det mycket om att göra det okända känt, och faktiskt veta vad vi ska göra när vi är under attack, eller när någon kanske redan har klickat på den där fisken i eposten. 

Det gör att jag genast tänker på vikten av att jobba proaktivt. Veta vilka system som kanske släpar efter på grund av den där applikationen som är så svår att uppgradera, eller det där systemet som är klassificerat och inte får uppdateras, åtminstone inte till en tillräcklig nivå. 

Andra delar är såklart att få överblicken och de tidiga indikatorerna på att något fuffens är på gång. Det kan t.ex. vara DNS-uppslag mot domäner som är skapade samma vecka. Jag menar vilka skapar en helt ny domän och har den i produktion dag 2? 

Andra tecken kan vara att vi helt plötsligt lägger upp en fil till en molndisk som vi aldrig brukar använda. Eller att en kollega på ekonomi helt plötsligt börjar slå i en databas som aldrig har skett tidigare. 

Här är det såklart en fördel om vi kan använda ett SIEM- system (Security Information and Event Management), men jag skulle vilja slå ett slag för det nya smarta SIEM systemet från Exabeam med UEBA, User and Entity Behavior Analytics. Systemet som alltså även förstår vad användarna och enheterna i nätet i normala fall gör och med hjälp av smarta algoritmer, och bara larmar på det som faktiskt är viktigt, till skillnad mot vanliga SIEM-system som larmar i tid och otid. Exabeam skapar dessutom en tidslinje automatiskt över det som hänt. Detta spara en massa tid för analytikerna i en SOC (Security Operations Center).  

Utan UEBA så är det ett mycket tidskrävande jobb att validera och kontextualisera alla dessa larm.  

Analytikerna måste manuellt konvertera frågeställningar och idéer till ett komplicerat så kallat sökspråk för att kunna få svar på frågor som 

  • Vilka andra har utfört liknande handling? 
  • Vilka övriga enheter har det aktuella kontot haft åtkomst till? 
  • Är detta beteende normalt eller inte för andra i organisationen i liknande roller? 
  • Vid vilken tidpunkt brukar dessa händelser normalt ske? 
  • Brukar en viss process exekveras från en temp-katalog? 

Exabeam jobbar med Statistisk analys och det är ryggraden för Exabeams beteendebaserade riskanalys. Metoden baseras på profilering av användares och enheters historiska aktiviteter.  

Profiler skapas automatiskt för varje användare och enhet i er organisation.  

Exabeam har över femhundra olika fördefinierade typer av profiler för att kunna se och monitorera varje användare eller enhet inom organisationen. 

Dessutom skapas så kallade peer-baserade profiler, liksom organisationsnivåprofiler för att kunna jämföra enskilda individers beteende med gruppers beteende. 

Så för mig och mina kollegor handlar Threath Intelligence inte bara om att känna till sina svagheter utan även att jobba proaktivt med dem. Då är det skönt med verktyg från våra leverantörer som verkligen levererar ett mervärde. Med Exabeam samlar vi enkelt in loggar från DNS, MS AD, VPN, Sårbarhetsanalyser, EDR och molnet. Det passar oss perfekt då det är där våra duktiga konsulter glänser med sin kunskap. 

Cuebid är Global Services Partner till Exabeam och erbjuder Platform Support och Professional Services.

Vill ni höra mera så tveka inte, hör av er. Det går dessutom att få en testdrive på Exabeam. 

/Thomas Hedströmmer 

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Log4Shell – så skyddar du dig

Log4Shell – så skyddar du dig

Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell. Vad är då log4shell och varför är det en så allvarlig sårbarhet? Log4shell är namnet på själva attacken, sårbarheten ligger i ett...

Next Gen Account Manager

Next Gen Account Manager

Om Cuebid Cuebid är ett tillväxtföretag och har sedan starten 2009 växt till en väletablerad och nationell aktör inom nätverk-och säkerhetstjänster som kompletteras med 24/7 helpdesk-och supporttjänster, kompetensledande konsulter, IT utbildningar och ett starkt sälj-...

region stockholm säkrar sina tjänster

region stockholm säkrar sina tjänster

Sveriges största regionala vårdgivare säkrar sina tjänster med ökad prestanda och tillförlitlighet till lägre kostnad. Cuebid har bidragit med design och arkitektur, konsult- och specialistkompetens vid installation, konfiguration, uppgraderingar och incidenter,...

Applikationssäkerhet – vems ansvar är det?

Applikationssäkerhet – vems ansvar är det?

En gång i en grå forntid så hade man en ganska naiv syn på IT-säkerhet, men man insåg med tiden att man var tvungen att revidera den synen. Saker som brandväggar och antivirusskydd på klienter blev en normal del av IT-miljön men allteftersom de metoder som används av...

Låt den rätte komma in (eller ut)

Låt den rätte komma in (eller ut)

Min kollega och vän skrev för ett par veckor sedan om vikten att kunna återställa förlorat data och vikten av att ha planerat för återställning, design och automatisering för att kunna återställa data. Och som Fredrik nämner så är det bara en pusselbit i kampen mot...

VMworld 2021: ”We’re proud to announce…”

VMworld 2021: ”We’re proud to announce…”

Aldrig tidigare har jag vart med om så mycket nyheter under VMworld! Ett tag blev det nästan komiskt att varje talare på den inledande ”General Session” och respektive keynote sa just frasen ”We’re proud to announce…”. General Session var för övrigt var en av de bästa...