Hoe ziet threat intelligence er in de praktijk uit? Waarom is het belangrijk? We gaan op zoek naar antwoorden met Visma.
Threat intelligence is een van de belangrijkere zaken om als bedrijf te regelen binnen je cybersecuritybeleid. Het stelt je in staat bedreigingen te begrijpen voordat ze kritieke systemen bereiken, waardoor er tijdig doelgerichte maatregelen kunnen worden genomen. Ook kan je reageren op bijvoorbeeld datalekken. Regel je threat intelligence op een goede manier, dan blijft de kwaliteit van dienstverlening en producten voor een deel gewaarborgd.
Bij Visma is men zich bewust van die noodzaak en is het Visma Security Program opgezet. Hierin zitten diensten om de boekhoud-, accountancy-, administratie- en groothandelsystemen van de softwareleverancier veiliger te maken. Threat intelligence is één van die diensten. De IT-merken van Visma, die vaak te klein zijn om threat intelligence zelf te regelen, maken daar gebruik van en tillen zo hun security-inspanningen naar een hoger niveau.
Lees ook ons achtergrondverhaal waarin we het Visma Security Program uitleggen.
Informatie, informatie, informatie
Als we kijken naar hoe Visma het centraal regelt voor zijn dochterondernemingen, dan valt allereerst op dat om van de threat intelligence gebruik te maken er een hoop basisinformatie over een dochteronderneming nodig is. Het gaat dan om pure bedrijfsinformatie, zoals de kantoorlocaties en social media-kanalen. Anderzijds wordt hierin de wat meer IT- en applicatie-gerelateerde informatie opgenomen. In dat geval gaat het meer over IP-adressen, domeinen, cloud resources, productieomgevingen en applicatieomgevingen.
Die informatie is nodig aangezien threat intelligence een securitydiscipline is waarbij veel op het internet gescand wordt. Men kijkt bijvoorbeeld op het darkweb of daar potentieel gevaarlijke events plaatsvinden. Bij een hit gaat Visma vervolgens verder onderzoek doen. In dit onderzoek kan alle informatie die Visma heeft over de dochteronderneming helpen. Zo is namelijk te bepalen of de potentiële dreiging te linken valt aan een van de Visma-bedrijven of -gebruikers.
Risico beperken
Stel dat Visma bij deze werkzaamheden gelekte accountgegevens tegenkomt, dan willen de threat intelligence-experts bepalen van wie die gegevens zijn. “Zij kijken dan om welke gegevens het gaat en hoe lang ze al live staan. Bij credentials heeft Visma heel snel in de gaten dat het om het lekken van de gegevens gaat en mitigeren we het risico voordat het echt een probleem wordt. Maar het is soms wel een zoektocht van wie de gegevens zijn. We willen die credentials immers niet kopen, want zo houd je de criminaliteit in stand. Dus zijn we afhankelijk van andere analysemethodes”, zegt Cindy Wubben, Chief Information Security Officer bij Visma.
Wubben geeft aan dat Visma voor verschillende situaties staat bij het bepalen van wie de accountgegevens zijn. Zo was er een situatie waarin Visma op basis van gelekte persoonsinformatie, kon achterhalen welke persoon getroffen was door het lek. “Op basis van de gelekte informatie zie je best veel en ontstaat een profiel. Je kan er veel uit afleiden. Bijvoorbeeld iemand die bezig is zijn huis te verbouwen; daarvan zie je dat die naar de bouwmarkt is geweest. Je kan zien in welke regio hij woont of op basis van accounts op welke scholen de kinderen zitten. Al dat soort informatie vertelt wie het is. Zo weten we waar we actie moeten ondernemen”, schetst Wubben.
Bij het lekken van credentials kan Visma dus constateren dat een van zijn dochterondernemingen, klanten of leveranciers is getroffen. Het slachtoffer wordt dan zo snel mogelijk ingelicht, om over te gaan tot het beperken van de risico’s. Ook kan het threat intelligence-team helpen bij alle vervolgstappen, zoals het doen van aangifte. Het team beschikt immers over de relevante informatie over de gelekte credentials en weet hoe je de dreiging succesvol opvolgt.
Als het een klein Visma-bedrijf betreft, kan dat ook echt een meerwaarde zijn. Zo’n kleine partij beschikte voor de overname door moederbedrijf Visma niet over dergelijke threat intelligence.
Je wilt ook vooraf over threat intelligence beschikken
De soort threat intelligence die we in de voorgaande paragrafen behandelden, heeft met name betrekking op acteren op bedreiging achteraf. In een ideale scenario handel je als bedrijf juist proactief, dus acteren voordat een dreiging te groot wordt. Wubben legt uit dat Visma hiervoor veel meer kijkt naar wat er speelt in de wereld. “Het gaat dan niet om dreigingen die ons al schaden, maar waar we wel last van kunnen krijgen. We bekijken dan welke aanvalsmethodieken veel worden gebruikt. Naar die methodieken doen we verder onderzoek, om te bepalen hoe we ons daartegen verdedigen. Zal zo’n aanvalsmethodiek succesvol een van onze systemen kunnen aanvallen? Als dat zo is, gaan we direct noodzakelijke maatregelen treffen”, aldus Wubben.
Deze proactieve benadering maakt de systemen dus direct veiliger. Daarnaast krijgt het threat intelligence-team van Visma op deze manier zicht op trends in cybersecurity. Deze informatie verspreidt Visma in de organisatie door middel van rapportage over het dreigingslandschap. Daarin wordt ook opgenomen wat een security-expert kan doen om de nieuwe dreigingen voor te zijn.
Continu op de hoogte
De informatie die het threat intelligence-team analyseert is erg gedetailleerd. Het team vertaalt de informatie vervolgens in begrijpelijke taal via wekelijkse rapportages over het dreigingslandschap. Wubben haalt zelf het meest uit deze rapportages die het threat intelligence-team wekelijks levert. Deze rapportages houden security-experts die niet de hele dag met threat intelligence bezig zijn, op de hoogte van de laatste trends. Uiteraard worden zij al eerder persoonlijk ingelicht als een dreiging specifiek hun bedrijf in gevaar brengt.
De recente weekrapportages laten zien dat infostealers, DDoS-aanvallen en ransomware hot zijn. Wubben geeft aan dat die trend globaal is, het threat intelligence-team kijkt ook hoe belangrijk die dreigingen zijn voor Visma-bedrijven en -gebruikers. Hiervoor brengt het team in kaart welke sectoren en landen vaak doelwit zijn. De financiële dienstverlening en het onderwijs komen bijvoorbeeld regelmatig naar boven in recente weekrapportages, iets waar Visma dan op moet reageren omdat het in die sectoren actief is. Dit werkt ook andersom – de bouw en productie komen ook vaak bovendrijven, maar de software van Visma draait weinig in die industrieën. Naast deze categorisering op sector, kijkt het threat intelligence-team ook naar de landen en regio’s waar de nieuwe dreigingen en technieken veel voorkomen. Uiteraard routeren de trends vaak. De lijsten met meest aangevallen sectoren, landen en regio’s zijn bijna wekelijks anders.
Luister ook eens onze podcast waarin we met Visma spraken over het securitybeleid van de softwareleverancier.
Verdere verdieping opzoeken
Naast deze gerichte monitoring van cybersecuritydreigingen, kijkt Visma voor het proactief handelen ook naar algemene ontwikkelingen in de wereld. Dit heeft meer betrekking op gebeurtenissen die het wereldnieuws domineren. De afgelopen jaren ging het dan om bijvoorbeeld de coronapandemie en nu is de oorlog in Oekraïne een belangrijk onderwerp. Cybercriminelen kunnen zulke gebeurtenissen gebruiken om hun aanvalstactieken te verfijnen. Wubben noemt als voorbeeld een aankondiging van de Nederlandse overheid om Oekraïne te gaan ondersteunen met de levering van F-16’s. Zulke situaties hebben de potentie om meer staats-gesponsorde aanvallen op Nederland te ontketenen.
Het threat intelligence-programma van Visma beoordeelt mondiale ontwikkelingen altijd afzonderlijk. Hebben ze extra aandacht nodig vanuit threat intelligence? Als dat zo is, dan kijkt Visma welk lid uit het threat intelligence-team het best past bij de additionele monitoring voor de nieuwsgebeurtenis. Zo zit er iemand met feeling en expertise voor een onderwerp op de zaak.
Aanvullend kan ook bepaald worden om bijeenkomsten rond een nieuwsgebeurtenis of cyberdreiging op te zetten. Dit kunnen overleggen zijn met lokale Visma-experts, maar ook met experts van buitenaf. Zo wordt de threat intelligence op een zo hoog mogelijk niveau gehouden.
Streven naar veilige systemen
Het kijkje achter de schermen van cybersecurity bij Visma laat zien dat threat intelligence een meerwaarde kan zijn voor bedrijven. Door zowel reactieve als proactieve maatregelen te integreren, blijft Visma cyberdreigingen zoveel mogelijk voor. Alle monitoringsactiviteiten leiden er uiteindelijk toe dat systemen veilig blijven en de kwaliteit van de dienstverlening en producten op orde blijft.
Tip: Visma is de overnamekoning van de Benelux: ‘zetten in op duurzame groei’