Voor veel bedrijven staat “dreigingsinformatie” alleen voor gegevens over indicators of compromise en informatie over specifieke tools van cybercriminelen. Maar in werkelijkheid staat dreigingsinformatie voor veel diepgaandere kennis over dreigingsactoren, waaronder het volgen van hun activiteiten op het netwerk. Soms kunt u met deze informatie niet alleen een idee krijgen van de criminele methoden en tactieken, maar kunt u ook cybermisdaad voorkomen. Een goed voorbeeld is het recente geval van de centrale bank van een Latijns-Amerikaans land.
Wat er gebeurde
Bij het bestuderen van de activiteiten van cybercriminelen kwamen onze deskundigen erachter dat een groep er in was geslaagd toegang te krijgen tot het netwerk van de bank. De onderzoekers hebben onmiddellijk het slachtoffer op de hoogte gebracht, contact opgenomen met Interpol en samen een grondig onderzoek naar het incident ingesteld. Daardoor slaagden ze erin kwetsbaarheden in de bedrijfsinfrastructuur op te lossen en reële financiële verliezen te voorkomen. Helaas kunnen we de details van het incident niet delen en beschrijven hoe de aanvallers het netwerk van de bank zijn binnengedrongen.
Hoe onze experts erin slaagden de activiteiten van indringers te detecteren
Niet alle cybercriminelen zijn verantwoordelijk voor een volledige aanvalscyclus – van de eerste bestudering van het doelwit tot de laatste zet (die meestal bestaat uit het exfiltreren van gegevens of geld, of infectie met ransomware). Er zijn groepen die zich uitsluitend specialiseren in het verkrijgen van toegang tot de infrastructuur van bedrijven: nadat ze met succes het netwerk zijn binnengedrongen, proberen ze deze toegang te verkopen aan degenen die een aanval kunnen organiseren op het dark web of op hackerforums. Bovendien zijn er de zogenaamde Initial Access Brokers die toegang kopen en deze vervolgens weer doorverkopen aan andere cybercriminelen.
Bij het bestuderen van de activiteiten van totaal verschillende criminelen, ontdekten onze onderzoekers dat iemand partners zocht om de bank aan te vallen om een of andere vorm van cyberfraude uit te voeren. Ze deelden wat informatie als bewijs van toegang tot de infrastructuur van de bank, en dit hielp onze experts om het slachtoffer te identificeren en het misdrijf te voorkomen.
Hoe kan dreigingsinformatie een bedrijf helpen?
In dit geval zochten onze experts niet naar tekenen van een aanval op een bepaalde bank. Deze bank behoorde niet eens tot onze klanten. Met onze tools kunt u echter bedreigingen voor een specifieke organisatie opsporen. Ons [threat intelligence placeholder]Threat Intelligence[/threat intelligence placeholder]-portfolio omvat een Digital Footprint Intelligence-service waarmee u een dynamisch “digitaal portret” van een organisatie kunt opstellen en vervolgens gevaarlijke symptomen kunt opsporen via open bronnen op het dark web en deep web. Soms kunt u zo vrij ernstige cyberincidenten voorkomen.
Daarnaast raden we ter bescherming tegen geavanceerde aanvallen het gebruik van diensten zoals Managed Detection and Response aan. Het stelt uw cyberbeveiligingsteam in staat de hulp van externe deskundigen in te schakelen om complexe aanvallen op de bedrijfsinfrastructuur in een vroeg stadium op te sporen en te stoppen.