Wat is informatie-uitwisseling in cyberbeveiliging?

Zoals de naam al aangeeft, is informatie-uitwisseling het delen van informatie met anderen. Stel dat u een klein bedrijf heeft en dat dit bedrijf plotseling het slachtoffer wordt van een cyberdreiging. Wat zou u doen? U beschikt niet over de middelen en computerbeveiliging en langzaam maar zeker raakt uw systeeminfrastructuur in handen van cybercriminelen.

Kleine ondernemingen hebben geen andere keuze dan op zoek te gaan naar platforms waar informatie wordt gedeeld die relevant is voor het probleem waarmee ze worden geconfronteerd. Gelukkig zijn er gemeenschappen voor het delen van informatie die waardevolle informatie delen over hoe je je kunt verdedigen tegen cyberdreigingen, waardoor organisaties snel strategieën kunnen leren en implementeren.

In de wereld van vandaag is dit van cruciaal belang. In dit artikel gaan we begrijpen wat informatie-uitwisseling is, wat de beste praktijken zijn, wat de voordelen zijn en wat de uitdagingen zijn.

Inzicht in het delen van informatie in cyberbeveiliging

Wat is het delen van informatie?

Informatie delen is wanneer belanghebbenden cruciale informatie over cyberaanvallen en kwetsbaarheden met elkaar delen om cybersecuritymaatregelen te plannen, te verwerken en te ontwikkelen. Dat komt omdat één organisatie alleen niet alle cyberaanvallen kan identificeren en beperken. Het is echter belangrijk om op te merken dat dit veilig, betrouwbaar en schaalbaar moet zijn, aangezien het de belangrijkste basis vormt waarop alle belanghebbenden en cyberbeveiligingsgemeenschappen vertrouwen.

Deze cyberbeveiligingsgemeenschappen en belanghebbenden gebruiken de kennis die door andere ervaren personen is verzameld om een beter inzicht te krijgen in cyberdreigingen. Hun doel is eenvoudig: essentiële informatie over verschillende cyberaanvallen delen en elkaars beveiligingsinfrastructuur versterken.

Voorbeelden van informatie-uitwisseling in cyberbeveiliging

Om te begrijpen hoe informatie-uitwisseling werkt, kijken we naar een voorbeeld van informatie-uitwisseling tussen het Information Sharing and Analysis Center (ISAC), de overheid en haar leden.

Voordat we echter dieper ingaan op informatie-uitwisseling in cyberbeveiliging, gaan we eerst kijken wat ISAC's precies zijn. ISAC's werden in 1998 voor het eerst geïntroduceerd in de Verenigde Staten. Ze hielden zich bezig met kwetsbaarheden in kritieke infrastructuur en hielpen organisaties te beschermen tegen cyberdreigingen door belangrijke informatie binnen een sector te delen.

Onder dezelfde tak werden de Information Sharing and Analysis Organizations (ISAO's) opgericht door voormalig president Barack Obama. Nu we een idee hebben van wat ISAC's en ISAO's zijn, gaan we eens kijken naar een voorbeeld.

Stel dat de overheid verdachte activiteiten ontdekt in het cybersysteem van een ISAC-lid, dan zal zij het lid instrueren om de nodige maatregelen te nemen vanuit een ISAC-operatiecentrum om de informatie aan andere leden door te geven. In een ander geval zou een ISAC-lid ongebruikelijke activiteiten in zijn systemen ontdekken en onmiddellijk het operatiecentrum informeren. Het centrum zou het lid aanraden contact op te nemen met de overheid voor ondersteuning. Zodra dit gebeurt, deelt de overheid haar informatie over het incident met andere leden.

Hoewel ISAC's zich inzetten voor het aanbieden van veilige, eerlijke en waardevolle mechanismen voor het delen van informatie, zijn de deelnamepercentages teleurstellend omdat de twijfels en risico's rond het delen van informatie zwaarder wegen dan de voordelen ervan.

Zoals eerder vermeld, stelt ISAO organisaties in staat om gevoelige gegevens over cyberaanvallen, bedreigingen, risico's en incidenten veilig te analyseren en te delen. Terwijl ISAC's alleen informatie kunnen delen met hun leden binnen de kritieke infrastructuursector, kunnen ISAO's informatie delen met andere sectoren.

In tegenstelling tot ISAC's is de communicatie van ISAO's aanpasbaar, omdat ze flexibele benaderingen bieden voor verschillende soorten en categorieën organisaties, zoals kleine bedrijven in verschillende sectoren, zoals advocatenkantoren, adviesbureaus, accountantskantoren en bedrijven die klanten in verschillende divisies ondersteunen, om er maar een paar te noemen.

De informatie die door ISAC's en ISAO's wordt gedeeld, is cruciaal, realtime en contextgedreven. Dankzij deze krachtige samenwerking worden gegevens vaak en snel gedeeld, waardoor organisaties zich kunnen beschermen tegen cyberdreigingen. Hoewel de structuur van ISAO's beter aansluit bij andere sectoren en de voorkeuren van haar leden, zijn zowel ISAC's als ISAO's van mening dat veiligheid belangrijk is.

ISAC's en ISAO's benadrukken de noodzaak van samenwerking en het delen van informatie om de beveiliging van een organisatie te verbeteren door het uitwisselen en ontvangen van informatie over bedreigingen met mensen die dezelfde doelstellingen hebben: het beschermen van hun systeeminfrastructuur. Bovendien kan het individuen en gemeenschappen helpen om strategieën te implementeren die cyberdreigingen en -aanvallen kunnen beperken.

Voordelen van het delen van informatie

Het delen van informatie biedt een efficiënte reactie op nieuwe bedreigingen. Het delen van informatie kan het risico op cyberaanvallen verminderen, cyberbeveiligingsarbiters helpen om een optimale verdediging te verkrijgen en organisaties in staat stellen om in harmonie samen te werken om de veiligheid op zowel individueel als nationaal niveau te handhaven.

Bovendien kan het worden onderverdeeld in verschillende categorieën, afhankelijk van het soort informatie dat wordt vrijgegeven.

1. Verminderde schade: Het kan organisaties helpen om beveiligingsinbreuken sneller op te sporen en de schade als gevolg van kwetsbaarheden in de cyberbeveiliging te beperken.
2. Minder cyberbeveiligingsincidenten: Het kan de collectieve reactie op nieuwe bedreigingen verbeteren, waardoor de kans kleiner wordt dat tegenstanders informatie van organisaties verzamelen en deze informatie gebruiken om aanvallen op andere instanties uit te voeren, waardoor een domino-effect op een systeem, industrie of sector wordt voorkomen.
3. Effectieve reactie op cyberdreigingen: Het zorgt ervoor dat alle organisaties zich bewust zijn van de vele dreigingen in het digitale landschap en een beter begrip hebben van hoe cybercriminelen te werk gaan, hun trucs, methoden en procedures, en hoe ze zich kunnen verdedigen tegen deze voortdurend veranderende dreigingen.
4. Vereenvoudiging van procedures: Het kan helpen om de administratieve procedure te stroomlijnen en de verwerking van informatie te versnellen, zodat belanghebbenden in het systeem voor informatie-uitwisseling snel kunnen reageren wanneer ze worden geconfronteerd met cyberaanvallen.
5. Lagere kosten: Het kan dubbele kosten en inspanningen voorkomen, of zelfs organisaties in staat stellen zich tegen cyberaanvallen te verdedigen door oplossingen te ontwikkelen zonder dat alle benodigde middelen hoeven te worden verzameld. Het is belangrijk op te merken dat het delen van informatie alleen zinvol is als het netwerk waarbinnen de informatie wordt gedeeld voldoende groot is.

Uiteindelijk kunnen prominente organisaties meer profiteren van het delen van informatie dan organisaties die minder kans lopen om te worden misbruikt of aangevallen.

Uitdagingen bij het delen van informatie

Zowel grote als kleine bedrijven, en zowel publieke als private organisaties, staan voor uitdagingen bij het bepalen hoe ze informatie kunnen delen zonder risico's te lopen of kritieke cyberinformatie prijs te geven, waardoor de algehele veiligheid in gevaar komt. Bovendien worstelen de publieke en private sector met specifieke richtlijnen om informatie op een relevante manier met elkaar te delen en ruis te voorkomen.

Deze uitdagingen omvatten:

1. Er zijn veel aansprakelijkheids- en nalevingskwesties verbonden aan het delen van informatie met andere partijen, met name concurrenten of overheidsinstanties buiten de regelgevende instanties.
2. De informatie zou verschillen vanwege het grote aantal industrieën en sectoren met verschillende segmenten.
3. Een enorme uitdaging is het gebrek aan vertrouwen en communicatie tussen mensen die informatie delen. Mensen vertrouwen alleen professionals, verifieerbare experts en belanghebbenden die een goede balans hebben tussen het delen en ontvangen van informatie.
4. Er zijn juridische en privacykwesties rondom het delen van informatie.
5. Organisaties en belanghebbenden zijn niet in staat om zaken te omarmen die voor hen nieuw of onbekend lijken, zoals het delen van informatie. Bovendien kan incompetente technologie of een gebrek aan technische kennis leiden tot een mislukte poging tot het delen van informatie, omdat dit moeilijk of inefficiënt is.

Best practices voor het delen van informatie

Organisaties moeten een uniforme aanpak volgen die verder gaat dan hun eigen beveiligingsmaatregelen om zich effectief te verdedigen tegen complexe en aanhoudende bedreigingen. Het delen van informatie is een van de krachtigste strategieën om de cyberbeveiliging te verbeteren door gebruik te maken van de kennis en het inzicht van de cyberbeveiligingsgemeenschap.

Laten we eens kijken naar enkele best practices voor efficiënte informatie-uitwisseling, waardoor organisaties kunnen beschikken over een sterk, veilig en betrouwbaar beveiligingssysteem om cyberdreigingen te voorkomen.

1. Stroomlijn het proces van informatie-uitwisseling: Om het proces van informatie-uitwisseling te optimaliseren en te stroomlijnen, moeten organisaties geavanceerde tools en technologie gebruiken waarmee informatie veilig en efficiënt met andere organisaties kan worden gedeeld. Door gebruik te maken van geautomatiseerde processen kan informatie uit verschillende bronnen worden verzameld, waarna deze wordt verrijkt en genormaliseerd voordat de meest relevante informatie wordt verspreid onder vertrouwde belanghebbenden. Dit vermindert de kans op aanvallen door cybercriminelen.
2. Veilige samenwerking: Het is essentieel dat organisaties strenge toegangscontroles implementeren om ervoor te zorgen dat gevoelige informatie alleen wordt uitgewisseld met geautoriseerde personen of bedrijven. Dit helpt misbruik van gegevens te voorkomen en de vertrouwelijkheid te waarborgen.
3. Regels voor het delen van informatie: Daarnaast is het belangrijk om regels te hebben om te voorkomen dat informatie wordt verspreid die negatieve gevolgen kan hebben als deze op onjuiste wijze wordt gedeeld, niet alleen voor organisaties, maar ook voor hun klanten en partners. De regels moeten betrekking hebben op de betrouwbaarheid van de ontvanger, de gevoeligheid van de gedeelde gegevens en de mogelijke gevolgen van het delen of achterhouden van verschillende soorten informatie.
4. Reikwijdte van het delen van informatie: Organisaties moeten consistent zijn met hun middelen en doelstellingen. Hun belangrijkste doel moet zijn om de meest waardevolle informatie aan andere organisaties en belanghebbenden aan te bieden. Bij het afbakenen van de reikwijdte moet worden vastgesteld welke soorten informatie een belanghebbende toestaat, onder welke voorwaarden het delen van de informatie is toegestaan en met wie zij de informatie kunnen en moeten delen.
5. Collectieve kennis: Organisaties kunnen samenwerken met betrouwbare collega's, industriële partners en geverifieerde gemeenschappen voor het delen van informatie om maatregelen te nemen die hun dreigingsinformatie en strategieën te ontwikkelen, waardoor ze de vele trucs en technieken van cybercriminelen kunnen omzeilen.
6. Indicatoren actief verrijken: Organisaties kunnen het nut en de efficiëntie van dreigingsinformatie vergroten door metadata te genereren voor elke indicator die ze produceren. Metadata geven context over waarom de indicator wordt gebruikt, hoe deze moet worden geïnterpreteerd en hoe deze verband houdt met andere indicatoren. Er moeten procedures zijn voor het publiceren en bijwerken van indicatoren en bijbehorende metadata, en voor het intrekken van onjuiste informatie of informatie die onbedoeld is gedeeld.
7. Netwerken voor het delen van informatie: Netwerken voor het delen van informatie bieden organisaties een veilige ruimte om inzichten te delen, samen te werken en cyberdreigingen gezamenlijk te bestrijden. Het is echter belangrijk om specifieke richtlijnen na te leven, zoals het vaststellen van duidelijke doelstellingen, het bevorderen van wederzijds vertrouwen en het actief deelnemen aan en samenwerken om sterke relaties en krachtige netwerken voor het delen van informatie te ontwikkelen.

De rol van informatie-uitwisseling in cyberbeveiliging

Informatie-uitwisseling in cyberbeveiliging is essentieel wanneer een organisatie te maken krijgt met cyberdreigingen, vooral wanneer deze specifiek op die organisatie zijn gericht. Dergelijke dreigingen kunnen worden beperkt door collectieve actie, zoals het delen van informatie. De gedeelde informatie kan vervolgens andere organisaties waarschuwen, waardoor zij zich kunnen voorbereiden en verdedigen tegen deze nieuwe methoden en steeds veranderende aanvallen van cybercriminelen.

Informatie-uitwisseling in een samenwerkingsomgeving

Vertrouwen speelt een belangrijke rol bij het delen van informatie, omdat dit vaak begint met ongeplande samenwerking, vooral tijdens rampen waarbij verschillende sectoren en concurrenten een gemeenschappelijk doel hebben.

Ad-hoc-samenwerkingen bouwen in de loop van de tijd vertrouwen op en organisaties hebben de zekerheid dat de partijen zullen werken zoals verwacht, in die zin dat ze de schade zullen minimaliseren en de veiligheid zullen maximaliseren. Hoewel dit een uitdaging is, moeten organisaties ernaar streven deze ad-hocsamenwerkingen in stand te houden, zodat ze kaders kunnen ontwikkelen om niet alleen vertrouwen op te bouwen, maar ook actief samen te werken en het risico van cyberdreigingen te verminderen, rekening houdend met het 'wat', 'wanneer', 'waarom' en 'hoe' van het delen van informatie.

Bovendien moeten organisaties procedures opstellen die het mogelijk maken om snel informatie over bedreigingen te delen en tegelijkertijd te voldoen aan hun verantwoordelijkheden voor de bescherming van gevoelige informatie. Bovendien kunnen ze verwarring verminderen en de ondersteuning voor het delen van informatie binnen een organisatie en tussen de verschillende partijen vergroten.

De procedures van een organisatie moeten rekening houden met en verschillende componenten omvatten, zoals:

1. Herken bedreigingsinformatie die gemakkelijk kan worden gedeeld met vertrouwde deelnemers.
2. Bescherm bedreigingsinformatie die vertrouwelijke gegevens kan bevatten.
3. Stel een plan op voor het aanpakken van het lekken van gevoelige informatie.
4. Automatiseer waar mogelijk de verwerking en het delen van informatie over bedreigingen.
5. Leg uit hoe aanduidingen voor informatieverwerking worden gebruikt, gecontroleerd en opgelegd.
6. Sta indien nodig het delen van niet-toegeschreven informatie toe.
7. Volg zowel interne als externe bronnen van informatie over bedreigingen.

Het kan organisaties helpen om cyberbeveiligingsrisico's beter te beheren door de samenwerking te verbeteren. Deze procedures maken niet alleen effectieve informatie-uitwisseling met belangrijke belanghebbenden mogelijk, maar ook samenwerking met geautoriseerde externe gemeenschappen.

Informatie-uitwisseling en detectie van malware

Informatie-uitwisseling is belangrijk om het gebied van cyberbeveiliging voor iedereen uit te breiden. Het isoleren en voorkomen van cyberaanvallen vereist een sterke samenwerking met andere organisaties. Door cruciale informatie over bedreigingen, aanvallen en kwetsbaarheden snel te delen, kunnen de omvang en reikwijdte van cyberincidenten aanzienlijk worden verminderd. Met de juiste procedures, strategieën en netwerken kan het delen van informatie de procedures voor incidentrespons stroomlijnen en de impact van opkomende cyberdreigingen voorkomen of beperken.

Het kan de snelheid en nauwkeurigheid van malwaredetectie verbeteren, omdat het meer context en bewijs biedt voor het vaststellen en valideren van kwaadaardige samples in verschillende netwerken. Het kan ook de samenwerking en coördinatie tussen verschillende beveiligingsactoren verbeteren, omdat het het delen van kennis en best practices voor malware-analyse mogelijk maakt.

Om malware-detectie te verbeteren, zijn de meest bruikbare methoden voor het delen van informatie over bedreigingen: lid worden van ISAC's, deelnemen aan door de overheid beheerde programma's die het delen van gegevens mogelijk maken, en formele overeenkomsten sluiten met betrouwbare partijen om informatie over bedreigingen veilig te delen.

Platforms voor het delen van informatie: verbetering van de cyberbeveiliging

Platforms voor het delen van informatie zijn algemeen beschikbaar voor het publiek en voor verschillende industrieën en sectoren, zoals overheidsinstanties, onderwijsinstellingen, zorgverleners en wetshandhavingsinstanties, om er maar een paar te noemen. Het is moeilijk om handmatig enorme hoeveelheden informatie over bedreigingen door te nemen en deze te vergelijken en te analyseren om inlichtingen te genereren. Moderne platforms voor het delen van informatie stellen beveiligingsteams echter in staat om deze uitdagingen efficiënt aan te pakken door verschillende processen te automatiseren, zoals het verzamelen, normaliseren, correleren, verrijken, analyseren en verspreiden van informatie over bedreigingen.

De nieuwe platforms maken het mogelijk om informatie over bedreigingen naadloos te delen of te ontvangen van organisaties, ISAC- en ISAO-leden, belanghebbenden, dochterondernemingen en regelgevende instanties. Een hoogwaardig platform voor het delen van informatie maakt zowel analyse als verspreiding mogelijk van trucs, methoden en processen, bedreigingsactoren, hun methodologieën en gebeurtenissen, om maar een paar voorbeelden te noemen.

Al deze informatie wordt in realtime uitgewisseld in een formaat dat machines kunnen lezen via Trusted Automated Exchange of Indicator Information (TAXII) en Structured Threat Information eXpression (STIX). Hoewel zowel TAXII als STIX geen software of platforms zijn – het eerste is een applicatielaagprotocol en het tweede een programmeertaal – zijn het bouwstenen en standaarden die informatie verteerbaar en deelbaar maken.

Platforms voor het delen van informatie bestaan over het algemeen uit de volgende categorieën:

1. Informatie-uitwisselings- en analysecentra (ISAC's)
2. Platforms voor dreigingsinformatie (TIP's)
3. Online communities en forums zoals Stack Exchange en Reddit
4. Waarschuwingssystemen van overheden
5. Feeds van particuliere cyberbeveiligingsbedrijven
6. Samenwerkingsnetwerken binnen de sector

Daarnaast zijn er platforms zoals Malware Information Sharing Platform (MISP), een gratis open-source software waarmee informatie over cyberbeveiligingsindicatoren en bedreigingen kan worden gedeeld, en Threatvine Hub, dat is ontworpen voor veilige sectoroverschrijdende informatie-uitwisseling om cyberbeveiligingsincidenten veilig af te handelen, wat het efficiënt en voordelig maakt.

Conclusie

Informatie delen betekent een één-op-één uitwisseling van informatie tussen een verzender en een ontvanger. Er zijn veel organisaties die het grotere geheel niet kunnen overzien en die niet over de middelen beschikken om hun beveiliging veilig en beschermd te maken tegen cyberdreigingen en -aanvallen.

Met behulp van informatie-uitwisseling kunnen afzonderlijke entiteiten of organisaties echter essentiële en diverse informatie over verschillende cyberdreigingen delen en samen strategieën ontwikkelen om lokale en regionale dreigingen en actoren te verstoren. Uiteindelijk gaat het erom iedereen te helpen hun platforms in het hele ecosysteem te beveiligen.

FAQs