Threat Intelligence in de praktijk. Zo pas je het toe.

Blog #8 in een serie blogs over cybersecurity en digitale beveiliging

Tip: Voor de zorg is het Zorg Detectie Netwerk (ZDN) van Z-CERT een belangrijke informatiebron. Meer over ZDN lees je verderop.

In onze vorige blog, De basis van Threat Intelligence , zetten we de kaders neer om Threat Intelligence (TI) professioneel toe te passen. We beschreven enkele belangrijke kenmerken van TI en de vier vormen van TI. We kwamen ook tot de conclusie dat je TI niet zomaar toepast. Hoe ga je Threat Intelligence in de praktijk inzetten binnen je organisatie? Hoe kom je aan informatie? Daarover gaat dit blog: Threat Intelligence in de praktijk.

Starten met Threat Intelligence

Wanneer je start met TI zijn dit de eerste stappen die je zet:

Kies de juiste bronnen
TI biedt waardevolle informatie die helpt om dreigingen vroegtijdig te identificeren. Een randvoorwaarde is dan wel dat je bronnen inzet die relevant zijn voor jouw specifieke organisatie en sector. Je hebt de keuze tussen open source bronnen en commerciële TI-bronnen die vaak meer diepgaande en realtime informatie bieden. Verderop in dit blog gaan we dieper in op de verschillende typen bronnen.
Integreer TI in bestaande security processen
Integratie van TI in de security processen vereist meer dan simpelweg TI-bronnen koppelen. Het vraagt aanpassingen in de werkwijze van het securityteam en hoe zij reageren op dreigingen. Wanneer biedt TI bijvoorbeeld voldoende zekerheid om een dreigingsindicator automatisch te blokkeren? Welke aanpassingen vereist dat van het securityteam?
Zet proactieve Threat hunting op
Threat hunting is het op basis van specifieke indicatoren proactief zoeken naar dreigingen in de IT-omgeving. Dit vraagt om een gestructureerde aanpak. Threat hunting is een continu proces dat vereist dat TI direct beschikbaar is voor realtime gebruik. Dreigingsinformatie dient als uitgangspunt voor zoekacties. Het is belangrijk dat het securityteam de threat hunting bevindingen vastlegt en de bijbehorende acties goed documenteert.

3 belangrijke uitdagingen van Threat Intelligence in de praktijk

De toegevoegde waarde van Threat Intelligence mag duidelijk zijn, toch zijn er ook uitdagingen. Dit zijn de 3 belangrijkste:

Informatie filteren en in de juiste context plaatsen
Relevante dreigingsinformatie filteren uit de grote hoeveelheden data uit verschillende bronnen is cruciaal. Maar je moet deze ook in de context van jouw organisatie plaatsen: Welke informatie is relevant voor jouw cliënten, medewerkers, procedures, systemen, data en huidige beveiligingsmaatregelen?
Benodigde expertise
Threat Intelligence vereist gespecialiseerde kennis en vaardigheden. Doorgewinterde cybersecurity professionals vinden en behouden is in de huidige arbeidsmarkt lastig. Voor veel organisaties is TI uitbesteden, bijvoorbeeld binnen een Managed Detection & Response dienst, een optie.
Integratie met bestaande systemen
Technische indicatoren zoals malafide IP-adressen verouderen snel. Het is dus van belang data realtime te verwerken. Dat stelt hoge eisen aan de gebruikte infrastructuur. Maar naadloze integratie van Threat Intelligence tooling met bestaande systemen is niet altijd van zelfsprekend, zeker in grote organisaties met een complexe IT-infrastructuur.

Het begint met bewustwording

In onze serie van 8 blogs hebben we de belangrijkste aspecten van cybersecurity voor de zorg de revue laten passeren. Ons doel met deze blogreeks is om de bewustwording rondom cybersecurity aan te wakkeren. De urgentie is binnen organisaties vaak wel aanwezig, maar er zijn nog zoveel andere zaken te regelen. Cybersecurity krijgt vaak pas echt de volledige aandacht als er ergens iets fout is gegaan en dat is meer dan een gemiste kans.

Professioneel van start met Threat Intelligence

Hoe verhoog je de cyberweerbaarheid van een organisatie? Hoe pak je dat meteen professioneel aan? Maak een afspraak voor een verhelderend en praktisch gesprek, toegespitst op uw eigen organisatie.



Weten waar u staat met uw cybersecurity?

Neem contact op en we gaan daarover graag het gesprek met u aan over cybersecurity veilig inrichten.

Johan Mulder

Commercieel Directeur

+31 (0)6 25 321 277
jmulder@ram-it.nl

Managed Detection & Response en Microsoft Defender XDR

Hoe bescherm je de moderne werkplek tegen digitale aanvallen? Met RAM-IT Managed Detection & Response (MDR) monitoren wij uw IT-omgeving 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En bij dreigingen ondernemen we proactief actie vanuit het Nederlandse Security Operations Center (SOC).

Meer weten hoe wij met MDR en Microsoft Defender XDR uw security op peil brengen en houden? Maak een afspraak voor het complete verhaal.

Alles over cybersecurity voor de moderne werkplek in de zorg

Lees al onze blogs over cybersecurity en digitale veiligheid

cybersecurity digitale beveiliging - blog #1

Blog #1 -
Zo herpakt u de controle over uw IT security

Blog #2 -
Cybersecurity begint met veilig inrichten

security monitoring voor betere cybersecurity

Blog #3 -
Het belang van security monitoring

Blog #4 -
3 Redenen voor goede security rapportage

Blog #5 - Security monitoring en opvolging uitbesteden

Security coverage voor je IT-omgeving SIEM, XDR, SOAR, MDR en SOC

Blog #6 - Security coverage

Blog #7 - De basis van Threat Intelligence

Cookie	Duur	Beschrijving
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duur	Beschrijving
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_RXM43K6F59	2 years	This cookie is installed by Google Analytics.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	10 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duur	Beschrijving
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Blog #8 – Threat Intelligence in de praktijk

Blog #8 in een serie blogs over cybersecurity en digitale beveiliging

Tip: Voor de zorg is het Zorg Detectie Netwerk (ZDN) van Z-CERT een belangrijke informatiebron. Meer over ZDN lees je verderop.

Starten met Threat Intelligence

3 belangrijke uitdagingen van Threat Intelligence in de praktijk

Het begint met bewustwording