Het belang van dreigingsinformatie voor Managed Detection & Response

SBL Cybermonitoring is recent gouden deelnemer geworden van de Stichting Connect2trust. De dreigingsinformatie die Connect2Trust, als erkende schakelorganisatie door het Ministerie van Justitie en Veiligheid, ontvangt van o.a. het Nationaal Cyber Security Centrum en het Nederlands Security Meldpunt, wordt daardoor een integraal onderdeel van de dienstverlening van SBL Cybermonitoring. 

Wat betekent dit precies voor SBL en voor onze klanten? 

Wat is dreigingsinformatie?

Dreigingsinformatie, ook wel threat intelligence genoemd, is cruciale informatie over potentiële of actuele cyberdreigingen. Deze informatie kan bestaan uit technische gegevens zoals IoC's (Indicators of Compromise), URL's, domeinnamen, IP-adressen, bestand-hashes en andere malware-eigenschappen. Daarnaast kan het ook gaan om bredere inzichten over kwetsbaarheden, aanvalsmethoden en cybercriminele activiteiten.

Raymond Bierens, Chairman of the Board van Connect2Trust, legt uit: "Wij zijn door het ministerie erkend als schakelorganisatie. Dat betekent dat wij door de overheid erkende vertrouwde hub zijn. Dat betekent dat wij van heel wat partijen, dat is de Amerikaanse overheid, de Nederlandse overheid, een groot aantal andere overheden, maar ook van een grote aantal non-profits allemaal informatie toegestuurd krijgen over dingen die er gaan zijn in cyberland."

Waarom is dreigingsinformatie belangrijk bij cybermonitoring?

Dreigingsinformatie speelt een essentiële rol bij effectieve cybermonitoring om verschillende redenen:

• Vroegtijdige detectie: Met actuele dreigingsinformatie kunnen beveiligingssystemen sneller en nauwkeuriger potentiële bedreigingen identificeren.
• Contextueel inzicht: Het biedt context voor gedetecteerde anomalieën, waardoor beveiligingsteams beter geïnformeerde beslissingen kunnen nemen.
• Proactieve beveiliging: Organisaties kunnen preventieve maatregelen nemen tegen opkomende dreigingen voordat ze hun netwerken bereiken.
• Snelle respons: Bij een incident kan dreigingsinformatie helpen bij het snel identificeren en mitigeren van de impact.

Bierens benadrukt het belang van snelheid: "Onze doelstelling is als er een melding uitkomt van een kwetsbaarheid dan moet die binnen een uur na de bekendwording moet die opgelost kunnen zijn binnen een organisatie. We hanteerden dat uur omdat we de snelste die we tot nu toe hebben gezien in de wereld, dat was vorig jaar. In 63 minuten was een bedrijf gehackt. Dat is een beetje onze KPI."

Wat is Connect2Trust?

Connect2Trust is een stichting zonder winstoogmerk die fungeert als een erkende schakelorganisatie door het Ministerie van Justitie en Veiligheid. Ze vervullen een cruciale rol in het verzamelen, analyseren en distribueren van dreigingsinformatie aan aangesloten organisaties.

Je kan van Connect2Trust specifieke meldingen verwachten. Een voorbeeld is: “Jij hebt een Microsoft apparaat. Er is is een kwetsbaarheid gevonden, en dat betekent dat je nu het systeem moet updaten om te zorgen dat hackers hier geen misbruik van kunnen maken.” Dat is een specifieke melding op basis van de apparaten en systemen die je gebruikt. 

Er zijn ook generieke meldingen. Een voorbeeld daarvan is: “Let op, er is een nieuwe update van Windows uit, of een nieuwe update van Siemens.” Dat zijn generieke meldingen omdat organisaties zelf na moeten gaan of dat op hen van toepassing is. 

Het belang van dreigingsinformatie voor Managed Detection and Response 

Door de integratie van deze dreigingsinformatie in MDR-oplossingen zoals SBL Cybermonitoring's WatchEagle Detection & Response, kunnen organisaties profiteren van een verhoogd beveiligingsniveau. Het geautomatiseerde systeem analyseert continu het netwerkverkeer op basis van de meest recente dreigingsinformatie, wat resulteert in snellere detectie en respons op potentiële cyberdreigingen.

WatchEagle Detection & Response is verbonden met het ThreatMatcher platform van Connect2trust. Het netwerkverkeer bij de aangesloten klant wordt door WatchEagle geautomatiseerd geanalyseerd op de aanwezigheid van technische dreigingsinformatie waarop vervolgens weer detectie op plaatsvindt. Technische dreigingsinformatie betreft bijvoorbeeld IoC’s (Indicators of Compromise), URL’s, domeinnamen, IP-adressen, bestand-hashes, en andere malware-eigenschappen. Op het moment dat een mogelijke dreiging gedetecteerd wordt, dan wordt per direct de klant en eventuele externe IT beheerpartij geïnformeerd en gealarmeerd zodat er direct gereageerd kan worden.

Klanten van SBL Cyber Monitoring zijn ook deelnemer bij Connect2Trust

Door iedere klant van SBL Cybermonitoring ook kosteloos als deelnemer zilver aan te laten sluiten bij Connect2Trust, ontvangen organisaties op deze wijze ook specifieke dreigingsinformatie omtrent de toegangspunten tot hun netwerk. SBL Monitoring staat haar klanten dan, indien nodig, bij als opvolging moet worden gegeven aan deze specifieke dreigingsinformatie.