De Secureworks Counter Threat Unit (CTU) is begonnen met het bijhouden van profielen van cybercriminele groepen. De profielen bevatten een samenvatting van de groepen, hun doelen, andere aliassen waaronder ze bekend kunnen zijn en de malware die ze gebruiken. Zowel criminele als door de overheid gesponsorde dreigingsgroepen zijn hierin opgenomen. Secureworks heeft veel kennis over deze groepen. Dit helpt het bedrijf bepalen welke klanten risico lopen op welke dreigingsgroep en de bijbehorende activiteiten te identificeren. De informatie kan een doelwit of slachtoffer ook helpen antwoord te geven op de vragen ‘wie’, ‘hoe’ en ‘waarom’. Deze inzichten kunnen leiden tot investeringen in beveiliging, training en controles. Als een organisatie wordt aangevallen, kunnen ze ook de focus, snelheid en omvang van de respons bepalen.
Don Smith, Senior Director van het CTU-team, geeft aan: “De beslissing kwam voort uit de wens om een gemeenschappelijke taal te ontwikkelen voor het bespreken van deze groepen. We krijgen vaak verzoeken om een verenigde ‘Steen van Rosetta’ te ontwikkelen die onze dreigingsgroepen met die van anderen vergelijkt. Er is door anderen al veel werk verricht op dat gebied binnen de sector, maar we wilden hun werk aanvullen en ook een dynamische bijdrage leveren met onze analyses. Zoals liefhebbers van ‘master data management’ weten, zijn documenten problematisch. Documenten uit één enkele gegevensbron zijn al verouderd zodra ze zijn aangemaakt. Om dit probleem aan te pakken, zal de website voortdurend synchroniseren met ons Threat Intelligence Management System om de meest actuele informatie weer te geven.”
Steen van Rosetta
“In feite werken we wel aan ‘een’ Steen van Rosetta, maar niet ‘de’ Steen van Rosetta. De meeste cybersecurity-bedrijven hebben hun eigen idee over hoe activiteiten zich clusteren in verschillende dreigingsgroepen. De identiteit van organisaties, maar ook de marktfocus, informatieverzameling, bronnen en telemetrie beïnvloeden de manier waarop zij activiteiten typeren. Standpunten van verschillende organisaties overlappen elkaar zelden volledig en zijn het soms zelfs fundamenteel met elkaar oneens. Dat is prima en natuurlijk logisch. De manier waarop organisaties bedreigingsactiviteit proberen te begrijpen, maakt het niet minder valide. De cybersecurity-sector wordt gedomineerd door professionals die vastberaden zijn om het juiste te doen. Weinig van hen zullen bewust onjuiste informatie publiceren.”
Secureworks monitort de netwerken van meer dan vierduizend klanten die actief zijn in vele sectoren. Hieronder vallen tal van non-gouvernementele organisaties (NGO’s) en financiële dienstverleners, energiebedrijven en productiebedrijven. De incident responsteams van Secureworks hebben in 2019 op meer dan duizend incidenten gereageerd. Het CTU-onderzoeksteam bundelt al deze gegevens en combineert ze met traditioneel onderzoek en andere gegevensbronnen om inzicht in het dreigingslandschap te creëren en te behouden.
