Threat intelligence is volgens ESET nu relevanter dan ooit

ESET doet al vanaf haar ontstaan, in 1992, intensief onderzoek naar nieuwe malware en aanvalstechnieken, vertelt Chief Experience Officer (CXO) Michael van der Vaart. “Op dit moment hebben we daarvoor dertien R&D-centra. Wat we vinden stoppen we terug in onze oplossingen, waarmee we ze steeds beter maken. Maar met ESET Threat Intelligence bieden we die informatie over bestaande en potentiële dreigingen ook als dienst aan. Daar is steeds meer vraag naar.”

ESET Threat Intelligence kun je in twee delen opsplitsen, vertelt hij. “Ten eerste leveren we informatie aan in de vorm van feeds, die je binnenhaalt en kunt integreren in je eigen processen. Daarnaast kun je onze expertise inkopen. Dat gaat dan over onderwerpen zoals staat-gesponsorde aanvallen op specifieke doelwitten. Je kiest er dan bijvoorbeeld voor om een bepaald aantal uren in de maand te overleggen met onze onderzoekers. Informatie over die onderwerpen kun je ook afnemen via onze rapporten APT Reports Premium. Daarbij krijg je toegang tot onze analisten. Met de ESET AI Advisor kun je met gesprekken onze Threat Intelligence verdiepen. Je krijgt inzicht in hoe statelijke actoren te werk gaan bij geavanceerde aanvallen.”

Geopolitieke spanningen

Het inkopen van expertise op persoonlijk niveau is met name bedoeld voor overheden en veiligheidsdiensten. “Het is uiteraard een meer kostbare oplossing, maar je hebt wel keuze uit drie verschillende smaken. We geven je inzicht in wat er gebeurt als er een geavanceerde aanvaller in je netwerk zit die andere belangen heeft dan iemand die een gemiddelde mkb’er aanvalt.” Door de huidige geopolitieke spanningen is de behoefte aan die vorm van threat intelligence groter dan ooit, zo geeft Van der Vaart aan. “Cyber wordt steeds meer een onderdeel van conflicten en oorlogen. Er vindt cyberspionage tussen landen plaats en er zijn desinformatiecampagnes. Onze experts kunnen heel veel over die thema’s vertellen.”

De vorm waarbij threat intelligence met feeds wordt geïntegreerd in bestaande bedrijfstechnologie, is voor een grotere doelgroep interessant. “Maar als mkb’er moet je niet de fout maken om te denken dat je met het aanschaffen van zo’n oplossing meteen beveiligd bent. Je moet het gebruiken en iets doen met de informatie. Als je nog niet zover bent, kun je beter eerst kiezen voor een goede endpointoplossing, al dan niet met EDR (Endpoint Detection and Response, red.). Je kunt er ook voor kiezen om threat intelligence in te kopen bij een MSP of MSSP die het verwerkt in zijn dienstverlening.”

“Klanten begrijpen beter wat threat intelligence inhoudt”, merkt hij. “Daardoor kunnen we het gesprek op een breder niveau voeren. Daarnaast zien we steeds meer MSP’s en MSSP’s die de toegevoegde waarde van onze informatie zien en dat toevoegen aan de bronnen die ze al gebruiken.”

110 miljoen sensoren

De informatie die ESET gebruikt voor zijn threat intelligence-oplossingen komt uit 110 miljoen sensoren die wereldwijd bij klanten zijn geïnstalleerd. De output daarvan is uniek en dus niet te krijgen via andere routes. “We zien daardoor steeds vaker dat organisaties threat intelligence van meerdere verschillende leveranciers aanschaffen, want die informatie vult elkaar aan. Je kunt onze threat intelligence bovendien ook prima los van onze endpoint-technologie aanschaffen.”

Kort geleden werd ESET als een ‘deskundige respondent’ aangeduid in een rapport van Forrester over de waarde van threat intelligence. Een belangrijke erkenning, aldus Van der Vaart. Hij geeft aan waarin ESET volgens hem onderscheidend is. “We zorgen ervoor dat de informatie die we aanbieden altijd actueel en direct toepasbaar is. Het lijkt interessant om miljoenen kwaadaardige IP-adressen aangeboden te krijgen, maar als veel van die adressen niet meer actief zijn, dan bewaar je veel dreigingsdata die geen waarde heeft.”

“Onze lokale aanwezigheid is ook heel belangrijk voor klanten”, vervolgt hij. “In Nederland werken we met tachtig mensen en hebben we een eigen SOC (Security Operations Center, red.). Ook op het gebied van threat intelligence zijn de lijnen met klanten heel kort. Daarnaast zijn we wel al bijna 35 jaar lang een wereldwijd actieve speler. Die combinatie van lokale aanwezigheid met globale kennis wordt ook door Forrester erg gewaardeerd.”

Infostealers

Eén van de ontwikkelingen die ESET de laatste tijd constateert is de groeiende dreiging van infostealers: schadelijke software die cybercriminelen op computers installeren, waarmee ze vervolgens gevoelige data verzamelen. “Voor Nederlandse gebruikers hebben we daarvoor een speciale cleantool ontwikkeld, waarmee je kunt zien of je een infostealer op je computer hebt staan.” Hij is trots op een recent succes op dat vlak. “In samenwerking met de politie hebben we vorig jaar de infostealer-bende RedLine Stealer opgerold. Onze threat intelligence speelde daar een belangrijke rol in.”

Mede door infostealers en andere ontwikkelingen, blijft ESET Threat Intelligence zich continu ontwikkelen. “We hebben het portfolio van feeds sterk uitgebreid. Zo hebben we onder andere nieuwe feeds op het gebied van Android-infostealers, cryptoscams, phishing URL’s, scam URL’s en smishing. Waar we eerst negen feeds hadden, zijn dat er nu vijftien.

Grootste van de EU

ESET is het grootste IT-security-bedrijf uit de EU. Dat het uit de EU afkomstig is, was altijd al van waarde, maar vandaag de dag meer dan ooit. Van der Vaart: “Nu de EU zich steeds meer los moet gaan weken van de VS, is onze positie extra interessant. Wij kunnen daarin op het vlak van cybersecurity echt een rol spelen. Het inkopen van dreigingsinformatie is daar een belangrijk onderdeel van.”

ESET biedt belangrijke informatie voor een deel ook gratis aan. Zoals het Threat Report dat twee keer per jaar verschijnt. “Daarin zijn de globale trends verwerkt. Daarnaast hebben we ook nog een blog, We Live Security, waarin we veel delen. Juist met alle spanningen van vandaag de dag is het heel belangrijk dat we met zijn allen, publiek en privaat, samenwerken en informatie delen.”