Achtergrondartikel


Infoblox biedt actionable threat intelligence

‘We weten wat good en wat bad is’

Na een ‘breach’ moet het incident-responseteam enkele belangrijke vragen beantwoorden. Wat is er gebeurd? En wat gaan we nu doen? Volgens Claudia Johnson, Cyber Resilience Collaborator bij Infoblox, zijn die cruciale vragen in het huidige, gefragmenteerde securitylandschap echter steeds lastiger te beantwoorden. Met DDI en IID biedt Infoblox de ‘lijm’ die nodig is.

Claudia Johnson was begin november in Utrecht om tijdens de beurs Infosecurity.nl een ‘sprookje’ over ecosystemen te vertellen, zo suggereerde de titel van haar toespraak. Tijdens een interview met SecurityVandaag bleek echter dat haar verhaal de dagelijkse realiteit weerspiegelt.

Op de eerste plaats ziet Johnson een ‘security-ecosysteem’ dat bestaat uit de security-oplossingen van vele leveranciers. “Dan gaat het om next-generation firewalls en antivirus tot de bescherming van endpoints en Security Incident en Event Management (SIEM). Al die oplossingen van die verschillende leveranciers werken soms wel met elkaar, en soms ook niet. En lang niet alle apparaten zijn eenvoudig te beheren en vergen veel expertise.”

“Het gevolg is dat in de Security Operations Centers soms honderden alarmen binnenkomen, en dat de securityprofessionals vaak niet goed weten waar ze op moeten letten”, vervolgt Johnson. “De belangrijke meldingen die extra aandacht verdienen, moeten automatisch boven komen drijven. Dat gebeurt nu vaak niet.” Ook SIEM helpt hier volgens Johnson onvoldoende bij. “SIEM is al vele jaren geleden ontworpen en nooit voor de grote hoeveelheden alarmen die een SOC nu te verwerken krijgt.”

Ecosysteem lijmen
Door de grote hoeveelheden alarmen blijven incidenten soms maandenlang onopgemerkt. Na een inbraak is het vervolgens lastig om te achterhalen wat er precies is gebeurd. “Ook de vraag ‘wat gaan we nu doen?’ is dan moeilijk te beantwoorden”, stelt Johnson.

In de visie van Infoblox is het daarom tijd om wat ‘lijm’ toe te voegen aan het security-ecosysteem. Dat doe je volgens Johnson en Martin van Son, Account Executive bij Infoblox, op de eerste plaats door security-oplossingen te selecteren die met elkaar kunnen communiceren. “Een volgende stap is om onze klassieke DDI-producten te integreren met de getroffen securitymaatregelen”, aldus Van Son.

Met DDI doelt Van Son op de producten die Infoblox sinds jaar en dag biedt voor het inrichten van een solide infrastructuur voor DNS en DHCP en een gedegen IP Address Management (IPAM). “Bijvoorbeeld IPAM biedt tegenwoordig een schat aan informatie”, aldus Van Son. “Het maakt inzichtelijk wie waar op het netwerk is geweest en wat een persoon daar heeft gedaan. Dit is belangrijke informatie voor bijvoorbeeld het forensisch onderzoek na een digitale inbraak.”

Threat intelligence
Met DDI biedt Infoblox de zogenaamde ‘contextuele netwerkdata’. Begin dit jaar voegde Infoblox hier met de overname van IID ‘threat intelligence’ aan toe. Door deze intelligentie beschikbaar te stellen aan een SOC weten de securityprofessionals beter waar ze op moeten letten.

IID verzamelt uit duizenden bronnen de securitydata over zaken als botnets of spammende hosts. Die bronnen kunnen bijvoorbeeld overheidsinstanties, internetinfrastructuurproviders of de leveranciers van beveiligingsoplossingen zijn. Een onderzoeksteam verifieert vervolgens de data en brengt ze samen in een ‘Machine-Readable Threat Intelligence’ (MRTI)-feed die door klanten van Infoblox is uit te lezen met standaarden en platformen zoals PX-Grid, STIX en TAXII.

Basis voor acties
DDI en IID samen bieden wat Johnson en Van Son noemen de ‘actionable network intelligence’. “Met IID weten we wat ‘good’ en wat ‘bad’ is”, aldus Van Son. Johnson: “Als we bijvoorbeeld met onze packet capture-tool een uur lang de logs van de DNS-server afvangen, dan zien we al heel snel zaken voorbij komen waarvan we op basis van de threat intelligence weten dat het ‘bad stuff’ is. Dan weet je bijvoorbeeld dat je systemen deel uitmaken van een botnet.”

In dat geval draait het volgens Johnson nog maar om één vraag. “Wat gaan we nu doen?” Van Son: “Als we bij een Infoblox-klant iets verdachts zien, kunnen we het blokkeren en markeren en de informatie voor nadere inspectie naar een SIEM-systeem sturen.” Maar daar houdt het volgens Van Son niet bij op. “Met de actionable network intelligence kun je bijvoorbeeld ook gericht je systemen beschermen.”

Integratie
Nog geen jaar na de overname van IID is Infoblox al vergevorderd met de integratie van de threat intelligence in het bestaande portfolio. Threat intelligence is niet alleen ‘stand-alone’ beschikbaar, maar is integraal onderdeel van de DDI-oplossingen van Infoblox onder de naam ‘ActiveTrust’.


Lees meer over