Threat intelligence: de kennis is er, maar wordt niet gedeeld.

Threat intelligence: de kennis is er, maar wordt niet gedeeld.

27-03-2019 09:50:46

Threat intelligence: de kennis is er, maar wordt niet gedeeld.

Het niet delen van kennis over digitale aanvallen en andere problemen is een gemiste kans, vindt Wido Potters van BIT. Het zou ons leven immers er een stuk veiliger op maken.

Organisaties en partijen waarvan de diensten of producten gelieerd zijn aan het internet hebben vanzelfsprekend het meest te maken met problemen op dat internet. Zij beschikken daardoor vaak over een goudmijn aan informatie over die problemen. Helaas wordt deze kennis sporadisch gedeeld met de buitenwereld. Zonde.

Om het internet schoner en veiliger te maken, zouden organisaties deze informatie juist wel moeten delen. Op die manier versterken we de threat intelligence - de onderbouwde kennis over een bestaande of nieuwe dreiging - van internetorganisaties.

Legio voorbeelden

Het aantal organisaties dat kennis heeft van kwetsbaarheden of problemen op internet, maar die kennis niet deelt is bijzonder groot.

Politie en justitie doen dagelijks onderzoek naar phishing van online bankiergegevens. Er is bij deze organisaties bekend wat de modus operandi van criminelen is die zich bezig houden met phishing. Als hosters geïnformeerd worden over indicatoren die wijzen op phishing-sites of als er code snippets met ze gedeeld worden, kunnen die hosters voorkomen dat er phishing-sites in hun netwerk geplaatst worden of online blijven. De banken die medeslachtoffer zijn van dergelijke phishing zouden hun kennis over specifieke spamruns die voorafgaan aan phishing-pogingen kunnen delen met e-mailproviders. Dat geeft e-mailproviders de mogelijkheid om zulke spamruns in hun spamfilters te blokkeren.

Er zijn bedrijven die websites in kaart brengen. Zij verkopen deze gegevens ten behoeve van business intelligence doeleinden of om een merkrecht te beschermen. Vanwege hun uitgebreide scans van het internet zien zij ook wanneer er grootschalige defacing-aanvallen worden uitgevoerd. Hoe fijn zou het zijn als ze de hoster van een gedefacede website daarover zouden informeren.

De afgelopen jaren is er veel werk gemaakt van het beveiligen van de e-mailinfrastructuur door de inzet van technieken als SPF, DKIM en DMARC. Die laatste, DMARC, geeft eigenaren van e-maildomeinen inzicht vanuit welke IP-adressen e-mail namens hun domein is verstuurd. Er zijn bedrijven die van het opstellen van DMARC rapporten een dienst hebben gemaakt. Als die bedrijven de netwerken van waaruit onterecht e-mail wordt gestuurd daarvan op de hoogte zouden stellen, kunnen vele gehackte mailaccounts en open mailrelays aangepakt worden.

Begrijpelijk

Het is begrijpelijk dat veel organisaties hun threat intelligence niet delen. Ze zijn zich überhaupt niet bewust van het feit dat anderen iets nuttigs zouden kunnen doen met deze informatie. Het delen van dergelijke info draagt niet bij aan de primaire bedrijfsprocessen en levert ze mogelijk wél hoofdpijn op. En er zijn organisaties die huiverig zijn om kwetsbaarheden of problemen te melden. Bijna altijd gaat het om IP-adressen en de AVG vereist dat er privacy impact analyses worden gedaan, verwerkersovereenkomsten worden gesloten en privacyverklaringen worden opgesteld. Best veel werk voor iets waar niets mee verdiend wordt en die 'alleen maar' het internet een stukje schoner en veiliger maakt.

Tegelijkertijd zijn er oplossingen (in de maak) die een deel van de bezwaren van het delen van informatie uit de weg ruimen. De GDI Foundation heeft al enkele jaren ervaring opgedaan met het informeren van grote groepen internetgebruikers over kwetsbaarheden en problemen in hun infrastructuur. GDI heeft ook al eerder datasets van anderen ontvangen en daar de meldingen voor uitgestuurd.

De stichting AbuseIO werkt aan open source software om met minimale inspanningen geautomatiseerd meldingen uit te sturen. Deze software zal eind 2019 beschikbaar komen en AbuseIO staat open voor samenwerking om de software met een organisatie te implementeren.

Al met al is het dus tijd dat we als internetprofessionals de handen ineen slaan. De maatschappelijke impact van het internet groeit nog steeds, de economische belangen zijn enorm. Kwetsbaarheden en abuse op internet ondermijnen het vertrouwen in de sector en kunnen leiden tot ongewenste wet- en regelgeving. Deze problematiek moeten en kunnen we samen aanpakken. Ik denk heel graag mee hoe we hier werk van kunnen maken.



Door: Wido Potters