Het lijkt een pittige opgave om een structuur voor bedreigingsanalyses op te bouwen. Er is een overdaad aan beschikbare modellen, en er zijn allerlei benaderingen voor bronnen, methoden en analytische kunde. Maar het is lastig om na te gaan wat er eigenlijk precies aansluit op de behoeften en middelen van uw eigen organisatie. Om het wat makkelijker te maken en een aanpak op maat te krijgen, is het de moeite waard om een andere benadering te overwegen, die wat pragmatischer is. Hiermee kunnen organisaties in eenvoudige taal inzicht krijgen in het landschap van bedreigingen.
Deze blogpost is de eerste in een serie, waarin we een gestroomlijnde benadering voorstellen om een basisprogramma op te zetten voor de analyse van bedreigingen. Hiermee brengt u in kaart 1) wat u moet beschermen, 2) wie deze gegevens in handen zou willen krijgen, en 3) hoe u informatie over mogelijke bedreigingen kun verzamelen met een structuur die daadwerkelijk nut heeft voor uw organisatie. Deze blogposts vormen aan aanvulling op onze eerdere post overPriority Intelligence Requirements (PIR's), omdat de eerste twee posts in deze serie kunnen helpen om PIR's voor te bereiden en op te stellen. In deze eerste post bekijken we waar de partijen achter verschillende cyberbedreigingen op uit kunnen zijn.
Waar moet u beginnen?
De eerste stap om bedreigingen in kaart te brengen is een inventaris. Ga na wat u hebt, en wat u veilig moet houden. Bekijk dit van twee kanten: welke assets zijn er belangrijk voor u, en welke assets kunnen er interessant zijn voor kwaadwillenden? Als u dit eenvoudig en kort kunt samenvatten, vormt dat de basis voor een goede bedreigingsanalyse.
Welke assets zijn cruciaal voor uw organisatie?
Voor de eerste vraag kijkt u naar uw eigen activiteiten. Welke assets zorgen ervoor dat uw bedrijf kan draaien? En welke assets beschouwt u als een integraal onderdeel van uw bedrijf? Denk hierbij bijvoorbeeld aan intellectuele eigendommen, of gegevens van uw afdeling Onderzoek & Ontwikkeling.
- Operationele assets: dit omvat sowieso de basisgegevens over uw boekhouding en financiën, maar ook de kritieke technologie en software die onmisbaar is voor uw bedrijfsactiviteiten, met de bijbehorende potentiële kwetsbaarheden.Overweeg ook industriële besturingssystemen of IoT-apparatuur, die u moet monitoren op mogelijke bedreigingen.Daarnaast maken ook klantgegevens onderdeel uit van uw operationele assets.
- Overige assets: deze categorie omvat alles wat uw bedrijf uniek maakt. Heeft u specifieke intellectuele eigendommen? Onderzoeksgegevens of andere unieke en gevoelige data?Welke data, toegang en processen van uw bedrijf zijn waardevol voor u?
Wat is er belangrijk voor uw tegenstanders?
In stap twee van dit proces verplaatst u zich in uw tegenstander. Wat heeft uw bedrijf te bieden aan cybercriminelen of kwaadwillende natiestaten? Vaak zal dit overlappen met de assets die belangrijk zijn voor u, en geld ligt het meest voor de hand. Ransomware-groepen en andere cybercriminelen zijn vaak financieel gemotiveerd.Uw intellectuele eigendommen kunnen interessant zijn voor bepaalde natiestaten. China heeft bijvoorbeeld veel interesse in gegevens over energietechnologie. Een andere overweging is wie uw klanten zijn, en met welke andere bedrijven u verbonden bent. Dit punt werd onlangs nog benadrukt in een waarschuwing van de Amerikaanse overheid rondom bedreigingen voor essentiële infrastructuur. Hackers kunnen kleine en middelgrote bedrijven aanvallen, omdat deze kleinere spelers zakenrelaties onderhouden met grotere entiteiten, die essentiële infrastructuur onderhouden.
Wat is de volgende stap?
De inventaris van belangrijke assets is stap één om een programma voor bedreigingsanalyses op te zetten.In de volgende blogpost van deze serie gaan we na welke partijen er interesse kunnen hebben in uw bedrijf, op basis van de inventaris die u hebt opgesteld. Zo kunt u deze groepen en hun aanpak gericht volgen.Als u weet waar uw bedreigingen vandaan kunnen komen, kunt u uw verdediging aanpassen aan de meest waarschijnlijke aanvalsmethoden en uw budget voor cyberbeveiliging optimaal benutten.
