Cyber Threat Intelligence biedt aantoonbaarmeerwaarde, maar gerelateerde vacatures zijn moeilijk te vervullen

Amsterdam, 4 april 2018 – Uit het nieuwe SANS Cyber Threat Intelligence (CTI) rapport blijkt dat CTI volwassen wordt en bedrijven merkbaar steeds meer voordelen biedt. Respondenten geven echter ook aan dat het enorm lastig is om vaardige CTI-medewerkers te vinden om deze discipline te implementeren en beheren. 

Een van de duidelijkste trends voor de afgelopen drie jaar is dat steeds meer respondenten van het SANS Cyber Threat Intelligence rapport aangeven dat CTI de preventie, detectie en incident respons bij cyberdreigingen merkbaar verbetert. In 2018 geeft 81 procent van de respondenten aan dat het gebruik van CTI voor verbeteringen heeft gezorgd, ten opzichte van 78 procent in 2017 en 64 procent in 2016.

68 procent van de respondenten zegt dat ze dit jaar CTI hebben toegepast. Nog eens 22 procent is van plan om dit in de toekomst te doen. Slechts 11 procent van alle bedrijven heeft hier geen plannen voor, een daling ten opzichte van de 15 procent van het voorgaande jaar. Dit wijst erop dat CTI van groter nut wordt, zeker voor operationele securityteams die intelligentie in hun preventie-, detectie, en responsstrategie proberen op te nemen.

“Het dreigingslandschap blijft veranderen, en het aantal geavanceerde aanvallen is groter dan ooit. Beveiligingsteams hebben alle hulp nodig die ze kunnen krijgen om dreigingen effectiever te voorkomen, detecteren en pareren“, zegt Dave Shackleford, de auteur van het onderzoeksrapport en analist en senior instructor bij SANS.

Vraag naar CTI-vaardigheden groeit

Volgens het rapport van dit jaar wordt het steeds moeilijker om vaardige medewerkers te vinden voor het bedienen van CTI-consoles. Dat is zorgwekkend omdat alles erop wijst dat CTI een belangrijke bijdrage kan leveren aan de security-strategie van organisaties. 62 procent van de respondenten noemt een tekort aan getrainde CTI-professionals en vaardigheden op dit gebied als een belangrijk struikelblok, een toename van bijna 10 procentpunten ten opzichte van 2017 (53 procent). Dit wijst erop dat naarmate het gebruik van CTI toeneemt, de vraag naar deze vaardigheden groeit. Ook wordt het een stuk moeilijker om medewerkers te vinden die ervaring hebben met het opzetten en beheren van CTI-programma’s. Op vergelijkbare wijze wijst 39 procent van de respondenten op een gebrek aan technische vaardigheden om CTI-tools met de bedrijfsomgeving te integreren.

Verbeterd overzicht en gestroomlijnde security-processen
De respondenten gaven aan dat hun CTI-programma resulteerde in verbeterd overzicht en gestroomlijnde beveiligingsprocessen binnen hun organisatie. 71 procent is tevreden met de mate van overzicht op bedreigingen en “indicators of compromise” (IoC’s). Gevraagd naar specifieke voorbeelden van verbeteringen noemde 70 procent verbeterde beveiligingsprocessen. 66 procent zei beter in staat te zijn om onbekende bedreigingen te detecteren.

De antwoorden van de respondenten voor 2018 wijzen erop dat CTI steeds vaker wordt ingezet voor security-taken: het detecteren van dreigingen (79 procent), incident respons (71 procent), het blokkeren van dreigingen (70 procent) en threat hunting (iets lager op de lijst met 62 procent). Uit de antwoorden blijkt daarnaast dat dreigingsinformatie van cruciaal belang is voor het verbeteren van firewall-regels, network access control-lijsten en reputatielijsten. Dit maakt het mogelijk om informatie uit te wisselen over bekende websites en indicatoren die verband houden met ransomware, zodat operationele teams snel kunnen zoeken naar tekenen van infecties en proactief de toegang vanaf clients binnen de organisatie kunnen blokkeren.

“Gelukkig delen veel organisaties informatie over cyberaanvallen en bestaan er tal van open source- en commerciële mogelijkheden voor het verzamelen en integreren van deze waardevolle dreigingsinformatie. Dit biedt organisaties meer mogelijkheden om hun beveiligingsprocessen te verbeteren en onbekende dreigingen te detecteren“, aldus Shackleford.

Samenvattend zegt Shackleford: “Deze resultaten benadrukken de trend dat CTI voornamelijk wordt ingezet door het Security Operations Center  SOC en wordt gekoppeld aan operationele activiteiten zoals security monitoring, threat hunting en incident respons.”

Het volledige rapport is beschikbaar op: https://www.sans.org/reading-room/whitepapers/threats/cti-security-operations-2018-cyber-threat-intelligence-survey-38285

 

###

 

Over het onderzoek
De respondenten die aan dit onderzoek deelnamen waren net als de voorgaande jaren actief in een breed scala aan sectoren. De belangrijkste vier verticale markten waren cybersecurity, financiële dienstverlening, de overheidssector en IT-wereld. De overige respondenten waren actief in diverse andere sectoren, zoals het onderwijs, de gezondheidszorg, productie-industrie en telecomwereld.

Ruwweg 27 procent van de respondenten werkte voor een organisatie met 5.000 tot 50.000 werknemers. 16 procent was actief bij organisaties met meer dan 50.000 werknemers. 44 procent van de deelnemende organisaties had 2.000 of minder werknemers in dienst.

Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als samenwerkingsverband voor onderzoek en onderwijs. SANS is de meest vertrouwde en veruit de grootste leverancier van training en certificering op het gebied van cyber security aan professionals in de publieke en private sector. De gerenommeerde SANS-instructeurs verzorgen ruim 60 cursussen tijdens meer dan 200 live cybersecurity-trainingevenementen en via het internet. GIAC, een bedrijf dat aan het SANS Institute is gelieerd, beoordeelt de kwalificaties van professionals op basis van 30 praktische technische certificeringen op het gebied van informatiebeveiliging.

SANS runt daarnaast het Internet Storm Center, een vroegtijdig waarschuwingssysteem voor het internet. De informatiebeveiligings-professionals vormen het kloppende hart van SANS. Zij vertegenwoordigen wereldwijde organisaties variërend van ondernemingen tot universiteiten die samen een bijdrage leveren aan de gemeenschap voor informatiebeveiliging. Raadpleeg voor meer informatie http://www.sans.org.