Onderzoek SANS: ‘Cyber Threat Intelligence biedt meerwaarde, maar vacatures moeilijk in te vullen’

Uit het nieuwe SANS Cyber Threat Intelligence (CTI) rapport blijkt dat CTI volwassen wordt en bedrijven merkbaar steeds meer voordelen biedt. Respondenten geven echter ook aan dat het enorm lastig is om vaardige CTI-medewerkers te vinden om deze discipline te implementeren en beheren.

Een van de duidelijkste trends voor de afgelopen drie jaar is dat steeds meer respondenten van het SANS Cyber Threat Intelligence rapport aangeven dat CTI de preventie, detectie en incident respons bij cyberdreigingen merkbaar verbetert. In 2018 geeft 81 procent van de respondenten aan dat het gebruik van CTI voor verbeteringen heeft gezorgd, ten opzichte van 78 procent in 2017 en 64 procent in 2016.

68 procent van de respondenten zegt dat ze dit jaar CTI hebben toegepast. Nog eens 22 procent is van plan om dit in de toekomst te doen. Slechts 11 procent van alle bedrijven heeft hier geen plannen voor, een daling ten opzichte van de 15 procent van het voorgaande jaar. Dit wijst erop dat CTI van groter nut wordt, zeker voor operationele securityteams die intelligentie in hun preventie-, detectie, en responsstrategie proberen op te nemen.

“Het dreigingslandschap blijft veranderen, en het aantal geavanceerde aanvallen is groter dan ooit. Beveiligingsteams hebben alle hulp nodig die ze kunnen krijgen om dreigingen effectiever te voorkomen, detecteren en pareren”, zegt Dave Shackleford, de auteur van het onderzoeksrapport en analist en senior instructor bij SANS.

Vraag naar CTI-vaardigheden groeit

Volgens het rapport van dit jaar wordt het steeds moeilijker om vaardige medewerkers te vinden voor het bedienen van CTI-consoles. Dat is zorgwekkend omdat alles erop wijst dat CTI een belangrijke bijdrage kan leveren aan de security-strategie van organisaties. 62 procent van de respondenten noemt een tekort aan getrainde CTI-professionals en vaardigheden op dit gebied als een belangrijk struikelblok, een toename van bijna 10 procentpunten ten opzichte van 2017 (53 procent). Dit wijst erop dat naarmate het gebruik van CTI toeneemt, de vraag naar deze vaardigheden groeit. Ook wordt het een stuk moeilijker om medewerkers te vinden die ervaring hebben met het opzetten en beheren van CTI-programma’s. Op vergelijkbare wijze wijst 39 procent van de respondenten op een gebrek aan technische vaardigheden om CTI-tools met de bedrijfsomgeving te integreren.

Verbeterd overzicht en gestroomlijnde security-processen

De respondenten gaven aan dat hun CTI-programma resulteerde in verbeterd overzicht en gestroomlijnde beveiligingsprocessen binnen hun organisatie. 71 procent is tevreden met de mate van overzicht op bedreigingen en “indicators of compromise” (IoC’s). Gevraagd naar specifieke voorbeelden van verbeteringen noemde 70 procent verbeterde beveiligingsprocessen. 66 procent zei beter in staat te zijn om onbekende bedreigingen te detecteren.

De antwoorden van de respondenten voor 2018 wijzen erop dat CTI steeds vaker wordt ingezet voor security-taken: het detecteren van dreigingen (79 procent), incident respons (71 procent), het blokkeren van dreigingen (70 procent) en threat hunting (iets lager op de lijst met 62 procent). Uit de antwoorden blijkt daarnaast dat dreigingsinformatie van cruciaal belang is voor het verbeteren van firewall-regels, network access control-lijsten en reputatielijsten. Dit maakt het mogelijk om informatie uit te wisselen over bekende websites en indicatoren die verband houden met ransomware, zodat operationele teams snel kunnen zoeken naar tekenen van infecties en proactief de toegang vanaf clients binnen de organisatie kunnen blokkeren.

“Gelukkig delen veel organisaties informatie over cyberaanvallen en bestaan er tal van open source- en commerciële mogelijkheden voor het verzamelen en integreren van deze waardevolle dreigingsinformatie. Dit biedt organisaties meer mogelijkheden om hun beveiligingsprocessen te verbeteren en onbekende dreigingen te detecteren”, aldus Shackleford.

Samenvattend zegt Shackleford: “Deze resultaten benadrukken de trend dat CTI voornamelijk wordt ingezet door het Security Operations Center  SOC en wordt gekoppeld aan operationele activiteiten zoals security monitoring, threat hunting en incident respons.”