Personeel dat dreigingsinformatie verzamelt, lastig te vinden

Organisaties kunnen moeilijk aan mensen komen die dreigingsinformatie kunnen vergaren en interpreteren. Volgens het SANS Cyber Threat Intelligence rapport zijn vaardige medewerkers op het gebied van Cyber Threat Intelligence (CTI) lastig te vinden.

Rian van HeurMeer van deze auteur

Digitale dreiging — © Pixabay CC0

Pixabay CC0

Het niet kunnen vinden van het juiste personeel is een belangrijk obstakel waardoor organisaties niet goed informatie kunnen vergaren over cyberdreigingen. Bijna twee derde van de respondenten zegt dat een gebrek aan getrainde professionals een barrière is bij een succesvolle implementatie van de vaardigheid. Vorig jaar was het vinden van getraind personeel nog niet zo’n grote uitdaging, toen noemde iets meer dan de helft van de respondenten dit is als een hobbel die genomen moest worden. Het gebrek aan technische vaardigheden om CTI-tools te integreren in de bedrijfsomgeving wordt door 39 procent van de respondenten als obstakel genoemd.

Bij de meeste organisaties wordt dreigingsinformatie (door SANS Cyber Threat Intelligence, CTI genoemd) door een team vergaard en geanalyseerd. Dat gebeurt bij 42 procent van de bedrijven. Andere organisaties (12 procent) hebben een toegewijde persoon die anticipeert op cyberdreigingen. Bij een derde van de respondenten is het beoordelen van deze informatie een gedeelde verantwoordelijkheid. Volgens SANS zijn er, vergeleken bij andere jaren, weinig veranderingen in het aantal mensen dat met het analyseren van dreigingsinformatie bezig is.

Intern team

SANS raadt organisaties aan om de vaardigheid in huis te hebben. Dat heeft het merendeel ook; 43 procent heeft een team in huis, 51 procent heeft onderdelen van de rol uitbesteed en 6 procent heeft de rol volledig uitbesteed.

Respondenten geven aan dat slimme tools de preventie, detectie en incidentrespons bij cyberdreigingen merkbaar kunnen verbeteren. In 2018 geeft 81 procent van de respondenten aan dat het gebruik van deze tools voor verbeteringen heeft gezorgd, ten opzichte van 78 procent in 2017 en 64 procent in 2016. Het programma resulteerde in verbeterd overzicht en gestroomlijnde beveiligingsprocessen binnen de organisatie. 71 procent is tevreden met de mate van overzicht op bedreigingen en “indicators of compromise” (IoC’s). Gevraagd naar specifieke voorbeelden van verbeteringen noemde 70 procent verbeterde beveiligingsprocessen. 66 procent zei beter in staat te zijn om onbekende bedreigingen te detecteren.

De vergaarde dreigingsinformatie wordt het komende jaar steeds vaker ingezet voor het uitvoeren van securitytaken, zeggen de respondenten: het detecteren van dreigingen (79 procent), incidentrespons (71 procent), het blokkeren van dreigingen (70 procent) en threat hunting (iets lager op de lijst met 62 procent). Uit de antwoorden blijkt daarnaast dat dreigingsinformatie van cruciaal belang is voor het verbeteren van firewall-regels, network access control-lijsten en reputatielijsten. Dit maakt het mogelijk om informatie uit te wisselen over bekende websites en indicatoren die verband houden met ransomware, zodat operationele teams snel kunnen zoeken naar tekenen van infecties en proactief de toegang vanaf clients binnen de organisatie kunnen blokkeren.

De verwachting is dat het percentage dat dreigingsinformatie gebruikt de komende jaren nog zal groeien. 22 procent is van plan om dit in de toekomst te doen. Slechts 11 procent van alle bedrijven heeft hier geen plannen voor, een daling ten opzichte van de 15 procent van het voorgaande jaar.