Lesson 6.pptx

# De cyber dreigingsinlichtingen levenscyclus Dit onderwerp behandelt de verschillende fasen van de levenscyclus van cyber dreigingsinlichtingen, inclusief planning, verzameling, verwerking, analyse en verspreiding. ## 1. De cyber dreigingsinlichtingen levenscyclus De cyber dreigingsinlichtingen levenscyclus is een gestructureerd proces dat organisaties helpt bij het verzamelen, verwerken, analyseren en verspreiden van informatie over cyberdreigingen om hun beveiligingsmaatregelen te verbeteren en besluitvorming te ondersteunen. ### 1.1 Planning en richting Dit is de meest kritieke fase, waarin wordt bepaald *wat* we moeten weten, *waarom* we het moeten weten en *hoe* we het kunnen verkrijgen. Het resultaat is een duidelijke set van inlichtingenvereisten, prioriteiten en taken. #### 1.1.1 Doelen van planning en richting Het hoofddoel is om inlichtingeninspanningen af te stemmen op de organisatorische prioriteiten en de behoeften van besluitvormers. * **Identificeren van Prioritaire Inlichtingenvereisten (PIRs):** Bepalen welke informatie essentieel is. * **In kaart brengen van het dreigingslandschap en de bedrijfsmiddelen:** Begrijpen wie de potentiële aanvallers zijn en wat ze willen beschermen. * **Definiëren van het focusgebied voor verzameling en bronnen:** Weten waar en hoe de benodigde informatie te verkrijgen. * **Vaststellen van feedbacklussen en succescriteria:** Zorgen voor continue verbetering en meten van de effectiviteit. #### 1.1.2 Directionele doelen Directionele doelen stellen de brede reikwijdte van het dreigingsinlichtingenprogramma vast. * **Langetermijndoelen:** Duren meestal 1 tot 2 jaar. * **Middellangetermijndoelen:** Gericht op specifieke onderwerpen, behandeld binnen weken of maanden. * **Kortetermijndoelen:** Tactisch en smaller van omvang, meestal binnen dagen behandeld. #### 1.1.3 Verwachtingsmanagement Het is essentieel om de impact van dreigingen op de organisatie te begrijpen en te communiceren aan verschillende niveaus: * **Investor, aandeelhouder, fusiepartijen:** Geruststellen over de veiligheid. * **Management:** Informeren over beveiligingszorgen voordat er vragen komen, en het motiveren van investeringen in beveiliging. * **Operationeel niveau:** Informeren over het huidige cyberdreigingslandschap en imminente dreigingen, zodat zij de eerste bron van informatie zijn bij incidenten. #### 1.1.4 Typen dreigingsinlichtingen * **Strategische inlichtingen:** Korte, duidelijke briefings en rapporten voor het C-niveau om besluitvorming te ondersteunen. * **Tactische beveiligingsinlichtingen:** Gericht op Taktieken, Technieken en Procedures (TTP's) en het Diamond Model om het Security Operations Center (SOC) te helpen bij het triage van beveiligingswaarschuwingen. * **Technische inlichtingen:** Atomische indicatoren die door geautomatiseerde processen worden gebruikt. * **Operationele dreigingsinlichtingen:** Informatie over een specifieke, op handen zijnde aanval, gericht op hoger beveiligingspersoneel en vereist onmiddellijke reactie. #### 1.1.5 Identificeren van belanghebbenden Het betrekken van alle relevante partijen is cruciaal voor een effectief inlichtingenprogramma. #### 1.1.6 Integreren van kaders voor strategische planning Frameworks zoals het Diamond Model en MITRE ATT&CK helpen bij het structureren van dreigingsinformatie en het identificeren van kennishiaten. * **Diamond Model:** Biedt structuur door te kijken naar de Adversary, Infrastructure, Capability, en Victim. Dit helpt bij het prioriteren van inlichtingenverzameling om de kennishiaten te vullen. * **MITRE ATT&CK:** Vertaalt dreigingsgedrag naar gestructureerde inlichtingenbehoeften. Door bekende TTP's van prioritaire dreigingsactoren in kaart te brengen, kunnen verzamelingshiaten worden geïdentificeerd en kan dreigingsmodellering en detectietechnologie worden ondersteund. * **Pyramid of Pain (David Bianco):** Richt de inlichtingenverzameling op hogere niveaus van de piramide (zoals TTP's in plaats van alleen indicatoren) om een duurzamere impact te creëren. #### 1.1.7 Uitkomsten van de Planning & Direction Fase Het resultaat is een gericht inlichtingenplan waarin snelle winsten (IOCs) en langetermijnbegrip (TTPs) worden gebalanceerd. Elk analist en verzamelaar weet wat te zoeken, waarom het belangrijk is en hoe het besluitvorming ondersteunt. ### 1.2 Verzameling Dit is het proces van het verzamelen van informatie om de meest belangrijke inlichtingenvereisten te adresseren. Informatie kan op verschillende manieren worden verzameld: * **Intern:** Via metadata en logs van interne netwerken en beveiligingsapparatuur. * **Commercieel:** Via abonnementen op dreigingsdataleveranciers. * **Partners:** Via gesprekken en gerichte interviews met deskundige bronnen. * **OSINT (Open-Source Intelligence):** Via openbare nieuwsbronnen, paste sites en blogs. * **Onderzoek:** Door te pivotereren, data te analyseren en te exploiteren. * **Darkweb:** Door toegang te krijgen tot gesloten bronnen. #### 1.2.1 Bronnen voor verzameling * **Human Intelligence (HUMINT):** Inlichtingen verkregen via menselijke bronnen. * **Open-Source Intelligence (OSINT):** Inlichtingen verkregen uit publiek beschikbare bronnen. * **Signals Intelligence (SIGINT):** Inlichtingen verkregen uit de interceptie van signalen. * **Technical Intelligence (TECHINT):** Inlichtingen verkregen uit signalen gegenereerd door hardware of software binnen computernetwerken (bv. loggegevens). #### 1.2.2 Verzamelingsstrategie * **Periodieke monitoring:** Regelmatige frequentie, variërend van minuten tot maanden. * **Analyse-gedreven monitoring:** Ad-hoc, gedreven door de huidige staat van de analyse. * **Event-gedreven monitoring:** Ad-hoc, gedreven door specifieke gebeurtenissen in het dreigingslandschap. #### 1.2.3 Datacollectie per type inlichtingen * **Strategische dreigingsinlichtingen:** Gericht op het ondersteunen van belangrijke strategische bedrijfsbeslissingen met betrouwbare, hoog-niveau feeds, geopolitieke analyses en technologische ontwikkelingen. * **Operationele dreigingsinlichtingen:** Cruciale informatie over inkomende aanvallen of gebeurtenissen, inclusief monitoringsoperaties en sociale mediabronnen. * **Tactische dreigingsinlichtingen:** Gericht op TTP's om de organisatie te verdedigen, met rapporten over dreigingsactoren, campagnes en incidenten. * **Technische dreigingsinlichtingen:** Malware samples en IOC-lijsten. ### 1.3 Verwerking Verwerking is de transformatie van verzamelde informatie naar een bruikbaar formaat. Dit omvat taken zoals filteren, dedupliceren, en het extraheren van indicatoren. #### 1.3.1 Belangrijkste activiteiten in de verwerkingsfase * **Kwaliteitsborging:** Het valideren van gegevensbronnen, dedupliceren van overlappende indicatoren, normaliseren van tijdstempels en markeren van onvolledige of onverifieerbare gegevens om de integriteit te waarborgen. * **Resultaat:** Een samengestelde dataset die het vertrouwen in de analyse vergroot. #### 1.3.2 Verwerkingshulpmiddelen en technieken * **Threat Intelligence Platforms (TIPs):** Zoals MISP, OpenCTI. * **Automatisering & Scripting:** Met tools zoals Python en STIX/TAXII integratie. * **Sandboxing en detonatietools:** Voor malwareverwerking. * **Data parsing en transformatie:** Met formaten zoals JSON, CSV, XML. > **Tip:** Het doel van verwerking is om analisten snel van ruwe data naar bruikbare inlichtingen te laten schakelen. ### 1.4 Analyse Analyse is een menselijk proces dat verwerkte informatie omzet in inlichtingen die beslissingen kunnen onderbouwen. Dit kan gaan over het onderzoeken van potentiële dreigingen, het blokkeren van aanvallen, het versterken van beveiligingscontroles of het rechtvaardigen van extra beveiligingsinvesteringen. #### 1.4.1 Biases en denkfouten in analyse Biases zijn geen teken van domheid, maar van inefficiëntie. Ze ontstaan wanneer analisten complexe data vereenvoudigen, wat leidt tot fouten. * **Hoe biases ontstaan:** * **Planning & Verzameling:** Ankeren, selectieve bias. * **Verwerking:** Filteren van data door aannames. * **Analyse:** Bevestigingsbias, beschikbaarheidsbias, groepsdenken. * **Verspreiding:** Framing bias. * **Feedback:** Survivorship bias. * **Veelvoorkomende analytische biases in CTI:** * **Bevestigingsbias:** Zoeken naar bewijs dat bestaande overtuigingen ondersteunt. * **Beschikbaarheidsbias:** Overmatig gewicht toekennen aan recente of levendige gebeurtenissen. * **Ankerbias:** Overmatig vertrouwen op de eerste ontvangen data. * **Groepsdenken:** Conformeren aan de mening van het team. * **Overmoedigheid:** Het overschatten van de eigen nauwkeurigheid. * **Logische denkfouten in inlichtingenbeoordelingen:** * **Post hoc fallacy:** Aannemen dat een oorzakelijk verband bestaat puur op basis van opeenvolging. * **Valse dichotomie:** Slechts twee opties presenteren. * **Beroep op autoriteit:** Iets als waar aannemen omdat een expert het zegt. * **Overhaaste generalisatie:** Conclusies trekken uit beperkte data. #### 1.4.2 Mitigatie van biases in de analyse * **Gestructureerde Analytische Technieken (SATs):** Methoden zoals Analysis of Competing Hypotheses (ACH), Red Team Analysis, Key Assumptions Check, Indicators Validation, en Deception Detection helpen bij het blootstellen en tegengaan van biases. * **Analysis of Competing Hypotheses (ACH):** Een methode om hypothesen te evalueren en biases te mitigeren, ontwikkeld door Richard Heuer Jr. Het proces omvat: 1. Opsommen van alle hypothesen. 2. Identificeren van ondersteunend en weerleggend bewijs voor elke hypothese. 3. Vergelijken van de bewijse matrix om de meest valide hypothese te bepalen. 4. Verfijnen van de matrix en prioriteren van de hypothesen. 5. Beoordelen van de afhankelijkheid van het bewijs (kritiek, betrouwbaarheid, tijdelijkheid). 6. Vormen van conclusies op basis van het bewijs, met behulp van schattingstermen zoals 'lage', 'matige' of 'hoge' betrouwbaarheid. > **Voorbeeld:** In het geval van CyberH2O, waarbij een verstoring in de watertoevoer plaatsvond, hielp ACH bij het evalueren van hypothesen, zoals een cyberaanval door een APT, criminele sabotage, of een mechanisch defect, door bewijs te verzamelen en te analyseren om tot een onderbouwde conclusie te komen. #### 1.4.3 Uitkomsten van analyse De analyse genereert inlichtingen die bruikbaar zijn voor besluitvorming. Een goed uitgevoerde analyse minimaliseert biases en maximaliseert de nauwkeurigheid door gebruik te maken van gestructureerde technieken en een kritische evaluatie van bewijs. > **Belangrijkste conclusies over biases:** Biases vertekenen de perceptie, niet de intelligentie zelf. Bewustzijn en structuur verhogen de nauwkeurigheid. Het Diamond Model en MITRE ATT&CK sturen objectiviteit. Biasmanagement is een continue discipline, en peer review en feedback sluiten de cyclus. ### 1.5 Verspreiding Dit is de fase waarin de voltooide inlichtingen worden geleverd aan de belanghebbenden die de informatie nodig hebben om beslissingen te nemen. * **Belanghebbenden:** Dit kunnen besluitvormers op strategisch niveau zijn, operationele teams (zoals SOC's), of andere afdelingen binnen de organisatie. * **Format:** De inlichtingen kunnen worden verspreid in diverse formaten, zoals rapporten, briefings, dashboards of geautomatiseerde feeds, afhankelijk van de behoefte van de ontvanger. * **Timing:** Tijdige verspreiding is cruciaal, vooral voor operationele inlichtingen met betrekking tot imminente dreigingen. ### 1.6 Feedback De feedbacklus is essentieel om de effectiviteit van de gehele levenscyclus te evalueren en te verbeteren. Ontvangers van de inlichtingen geven feedback over de relevantie, nauwkeurigheid en bruikbaarheid van de verstrekte informatie. Deze feedback wordt vervolgens gebruikt om de planning en richting van de volgende cycli te verfijnen. > **Tip:** Een robuuste feedbacklus zorgt ervoor dat het inlichtingenprogramma relevant blijft en zich continu aanpast aan de veranderende behoeften van de organisatie en het dreigingslandschap. --- # Gebruik van kaders en modellen voor strategische planning Kaders en modellen zijn essentieel voor het structureren van dreigingsinformatie en het prioriteren van verzameling, wat cruciaal is voor effectieve strategische planning binnen cyber threat intelligence (CTI). ### 2.1 De rol van kaders en modellen in strategische planning Strategische planning in CTI omvat het definiëren van wat er moet worden geweten, waarom het belangrijk is, en hoe die informatie verkregen kan worden. Dit resulteert in duidelijke intelligentievereisten, prioriteiten en taakstellingen, die de organisatie helpen om beslissingen te onderbouwen, risico's te beheersen en investeringen in beveiliging te rechtvaardigen. Kaders bieden een gestructureerde aanpak om dreigingen te analyseren en prioriteiten te stellen. #### 2.1.1 Het Diamond Model Het Diamond Model is een raamwerk dat helpt bij het structureren van de analyse van een dreiging. Het bestaat uit vier kerncomponenten: * **Adversary (Tegenstander):** Wie vormt een bedreiging voor de organisatie? Dit omvat de identiteit, motivatie en capaciteiten van de aanvaller. * **Infrastructure (Infrastructuur):** Welke tools, domeinen, IP-adressen, servers of andere middelen worden door de tegenstander gebruikt? * **Capability (Capabiliteit):** Hoe voert de tegenstander zijn aanvallen uit? Dit betreft de methoden, technieken en procedures (TTP's) die worden toegepast. * **Victim (Slachtoffer):** Wie of wat wordt er specifiek beoogd? Dit kan een individu, een organisatie, een systeem of een bepaalde activaklasse zijn. Het Diamond Model wordt in de planning gebruikt om te identificeren welke hoeken van de "diamant" goed begrepen zijn en welke kennisleemtes er bestaan. Dit helpt bij het prioriteren van intelligentieactiviteiten om deze gaten te vullen, bijvoorbeeld door gerichte verzameling op de infrastructuur van een dreigingsactor als daar weinig zicht op is. #### 2.1.2 MITRE ATT&CK Framework Het MITRE ATT&CK Framework is een uitgebreide, op gedrag gebaseerde kennisbank van cyberaanvallen, gebaseerd op echte observaties. Het organiseert dreigingsactoren op basis van hun Tactieken, Technieken en Procedures (TTP's). * **Gebruik in planning:** * Het framework kan worden gebruikt om bekende TTP's van prioritaire dreigingsactoren in kaart te brengen. * Het identificeert tactieken die nog niet in de eigen omgeving zijn waargenomen, wat duidt op verzamelings- of detectiegaten. * Het ondersteunt threat modeling en de prioriterings van detectie-engineering. * Het kan budgetbeslissingen onderbouwen wanneer er significante beveiligingslacunes worden geïdentificeerd. #### 2.1.3 Pyramid of Pain (Piramide van Pijn) Ontwikkeld door David Bianco, helpt de Pyramid of Pain bij het prioriteren van de verzameling van dreigingsinformatie door te focussen op de hogere niveaus van de piramide. Dit creëert een duurzamere impact dan het enkel verzamelen van indicatoren van compromittering (IOC's). * **Niveaus van de Piramide (van laag naar hoog):** * **Hashes:** Specifieke bestandshashes van malware. Eenvoudig te detecteren, maar ook gemakkelijk te veranderen. * **IP Addresses:** IP-adressen van command-and-control (C2) servers of aanvalsbronnen. Veranderbaar door het gebruik van proxies of VPN's. * **Domain Names:** Domeinnamen die door aanvallers worden gebruikt. Kan ook relatief eenvoudig worden vervangen. * **Vrijgegeven artefacten:** Specifieke malware-artefacten die kunnen worden geïdentificeerd. * **TTP's (Tactics, Techniques, and Procedures):** De werkwijzen en methoden die aanvallers gebruiken. Dit niveau is het moeilijkst te veranderen voor aanvallers en biedt dus de meest duurzame intelligentie. * **Toepassing:** Door de verzameling te richten op TTP's in plaats van alleen IOC's, kan een organisatie zich beter wapenen tegen terugkerende of evoluerende dreigingen. ### 2.2 Output van de Planning & Direction Fase De Planning & Direction fase culmineert in een gedefinieerd plan dat een balans vindt tussen snelle resultaten (zoals IOC's) en diepgaand begrip (zoals TTP's). Het doel is dat elke analist en collector weet wat er moet worden gezocht, waarom het belangrijk is en hoe dit bijdraagt aan besluitvorming. > **Tip:** Het integreren van kaders zoals het Diamond Model en MITRE ATT&CK helpt niet alleen bij het structureren van de analyse, maar ook bij het identificeren van kennisgaten en het prioriteren van verzamelingsinspanningen, wat essentieel is voor een gerichte en effectieve strategische planning. ### 2.3 Kennisleemtes identificeren met kaders Tijdens de planning kunnen kaders helpen bij het in kaart brengen van onzekerheden. * **Diamond Model:** Identificeert specifieke lacunes in de kennis over de tegenstander, hun infrastructuur, capaciteiten of beoogde slachtoffers. * **MITRE ATT&CK:** Wijst op ontbrekende detectiemogelijkheden of onbekende tactieken die door aanvallers worden gebruikt, wat kan leiden tot verbeteringen in beveiligingscontroles. Deze inzichten sturen de verzameling aan om de meest kritieke kennisleemtes eerst te dichten. ### 2.4 Impact van kaders op de verzamelingstrategie Kaders zoals de Pyramid of Pain stimuleren een verschuiving in de verzamelingsstrategie van het louter vergaren van IOC's naar het begrijpen van de onderliggende TTP's. Dit resulteert in een robuustere beveiligingshouding die beter bestand is tegen adaptieve aanvallers. ### 2.5 Specifieke toepassingen in strategische planning Bij het beoordelen van een specifieke dreiging, bijvoorbeeld ransomware voor nationale energieproviders, kan de toepassing van deze kaders leiden tot: * **Definiëren van Priority Intelligence Requirements (PIRs):** Vragen die specifiek zijn voor de dreiging, zoals "Welke ransomwarefamilies richten zich primair op SCADA-systemen in de energiesector?" * **Toewijzen van verzamelingstaken:** Gerichte taken om antwoorden te vinden op de PIRs, bijvoorbeeld het monitoren van specifieke dreigingsforums voor nieuwe ransomwarevarianten gericht op industriële controlesystemen. * **Ondersteunen van besluitvorming:** Inzichten uit de analyse van de dreiging, gestructureerd door de kaders, helpen bij het nemen van strategische beslissingen over investeringen in detectie, preventie en respons. --- # Analyse en mitigatie van cognitieve biases in inlichtingen Dit onderdeel van de studiehandleiding behandelt de analyse en mitigatie van cognitieve biases in inlichtingen, met de focus op hoe deze denkfouten de analyse van cyberdreigingen beïnvloeden en hoe gestructureerde analytische technieken (SAT's) kunnen helpen bij het bevorderen van objectiviteit. ## 3. Analyse en mitigatie van cognitieve biases in inlichtingen Cognitieve biases en logische denkfouten kunnen een aanzienlijke impact hebben op de analyse van cyberdreigingen. Dit onderwerp introduceert gestructureerde analytische technieken (SAT's) en frameworks die gericht zijn op het bevorderen van objectiviteit in het inlichtingenproces. ### 3.1 De impact van biases en denkfouten in inlichtingen Biases vertegenwoordigen geen intellectuele tekortkomingen, maar eerder inefficiënties in cognitieve processen die leiden tot fouten bij het vereenvoudigen van complexe data. In Cyber Threat Intelligence (CTI) kunnen biases leiden tot: * Onjuiste inschattingen van de intentie of attributie van een tegenstander. * Overmatige nadruk op recente gebeurtenissen. * Het negeren van tegenstrijdig bewijs. ### 3.2 Hoe biases ontstaan in de inlichtingenlevenscyclus Biases kunnen in verschillende fasen van de inlichtingenlevenscyclus optreden: * **Planning & Collectie:** Ankeren (anchoring) en selectiebias. * **Processing:** Het filteren van gegevens door bestaande aannames. * **Analyse:** Bevestigingsbias (confirmation bias), beschikbaarheidsbias (availability bias) en groepsdenken (groupthink). * **Disseminatie:** Framingbias. * **Feedback:** Survivorship bias. De analysefase is doorgaans het punt waar biases het meest prominent naar voren komen, vanwege de interpretatie en synthese van informatie. ### 3.3 Veelvoorkomende analytische biases in CTI Enkele veelvoorkomende biases die de analyse van cyberdreigingen beïnvloeden, zijn: * **Bevestigingsbias:** De neiging om actief te zoeken naar bewijs dat bestaande overtuigingen ondersteunt, terwijl tegenstrijdig bewijs wordt genegeerd. * **Beschikbaarheidsbias:** Het overschatten van de waarschijnlijkheid of het belang van gebeurtenissen die recent of levendig in het geheugen zijn. * **Ankeren:** De neiging om te sterk te leunen op de eerste informatie die men ontvangt, wat latere oordelen beïnvloedt. Dit kan zich manifesteren bij onderhandelingen of prijsstellingen. * **Groepsdenken:** Het streven naar consensus binnen een groep, wat kan leiden tot het onderdrukken van afwijkende meningen en kritische evaluatie. * **Overmoedigheid (Overconfidence Bias):** Het overschatten van de nauwkeurigheid van eigen oordelen en voorspellingen. ### 3.4 Logische denkfouten in inlichtingenbeoordelingen Naast cognitieve biases kunnen logische denkfouten ook leiden tot onjuiste inlichtingenbeoordelingen: * **Post hoc fallacy:** Het aannemen van causaliteit enkel op basis van een temporele volgorde (A gebeurde voor B, dus A veroorzaakte B). * **Valse dichotomie:** Het presenteren van slechts twee opties als de enige mogelijkheden, terwijl er mogelijk meer zijn. * **Beroep op autoriteit (Appeal to authority):** Het accepteren van een bewering als waar enkel omdat een vermeende expert deze heeft gedaan, zonder kritische evaluatie van het bewijs. * **Overhaaste generalisatie (Hasty generalization):** Het trekken van een brede conclusie op basis van een te beperkte of niet-representatieve steekproef. * **Sunk cost fallacy:** Het irrationeel vasthouden aan iets dat al kosten met zich mee heeft gebracht, zelfs als het niet langer de moeite waard is. * **Survivorship bias:** Het zich uitsluitend richten op de "overlevenden" of succesvolle gevallen, waardoor de mislukkingen of verdwenen entiteiten buiten beschouwing blijven. * **Hindsight bias:** De neiging om gebeurtenissen achteraf als voorspelbaarder te beschouwen dan ze in werkelijkheid waren. * **Illusie van correlatie:** Het zien van een verband tussen twee gebeurtenissen die in feite geen echt verband hebben. > **Tip:** Bewustzijn van deze biases en denkfouten is de eerste stap naar het tegengaan ervan. Het toepassen van gestructureerde methoden helpt om de objectiviteit te bewaren. ### 3.5 Mitigatie van biases en denkfouten Om de impact van biases en denkfouten te verminderen, kunnen verschillende gestructureerde analytische technieken (SAT's) en frameworks worden ingezet. Deze technieken zijn ontworpen om bestaande aannames te blootleggen en te confronteren, en om een meer objectieve evaluatie van informatie te bevorderen. #### 3.5.1 Gestructureerde Analytische Technieken (SAT's) SAT's bieden methoden en hulpmiddelen om het analytische proces te structureren en bias te verminderen. Enkele belangrijke SAT's zijn: * **Analyse van concurrerende hypothesen (Analysis of Competing Hypotheses - ACH):** Een systematische methode om meerdere hypothesen te evalueren tegenover de beschikbare bewijzen. * **Red Team Analysis:** Het inzetten van een team dat de rol van de tegenstander aanneemt om zwakke plekken en mogelijke aanvalsvectoren te identificeren. * **Key Assumptions Check:** Het expliciet identificeren en evalueren van de kritische aannames die aan een analyse ten grondslag liggen. * **Indicators Validation:** Het kritisch beoordelen van indicatoren (zoals IOC's) op hun diagnostische waarde en betrouwbaarheid. * **Deception Detection:** Technieken om mogelijke misleiding door de tegenstander te identificeren. > **Voorbeeld:** Bij het analyseren van een melding over een mogelijke cyberaanval op kritieke infrastructuur, kan het toepassen van ACH helpen om niet direct uit te gaan van de meest voor de hand liggende hypothese (bijvoorbeeld een staatssponsoring), maar ook andere plausibele scenario's (zoals technische storingen of criminele activiteiten) systematisch te onderzoeken en te toetsen aan bewijs. #### 3.5.2 Frameworks die objectiviteit ondersteunen Naast specifieke SAT's kunnen ook bredere frameworks bijdragen aan objectieve analyse: * **Diamond Model:** Dit model biedt structuur voor het analyseren van dreigingen door zich te richten op de relatie tussen de Adversary (tegenstander), Infrastructure (infrastructuur), Capability (capaciteit) en Victim (slachtoffer). Het helpt bij het identificeren van kennisgaten en het prioriteren van inlichtingenverzameling. * **MITRE ATT&CK Framework:** Dit raamwerk documenteert de tactieken, technieken en procedures (TTP's) van tegenstanders. Door bekende TTP's in kaart te brengen, kunnen analisten ontbrekende detectiemogelijkheden identificeren en de analyse van nieuwe dreigingen structureren. * **Pyramid of Pain (David Bianco):** Dit concept stelt dat het richten van inlichtingeninspanningen op hogere niveaus van de "pijnpiramide" (zoals TTP's in plaats van enkel IOC's) leidt tot een duurzamere impact, omdat deze elementen moeilijker te veranderen zijn voor tegenstanders. ### 3.6 Analyse van concurrerende hypothesen (ACH) in detail De ACH-methode, ontwikkeld door Richard Heuer Jr., is een krachtig hulpmiddel om biases te mitigeren door een gestructureerde evaluatie van meerdere concurrerende hypothesen. Het proces bestaat uit de volgende stappen: 1. **Enumerateer alle hypothesen:** Genereer een lijst van alle plausibele verklaringen voor de waargenomen gebeurtenissen. Dit omvat het zoeken naar de 5 W's (Wie, Wat, Wanneer, Waar, Waarom) en het brainstormen over alternatieven voor elk element. Een "null hypothesis" (dat er geen specifiek probleem is) kan hierbij ook relevant zijn. 2. **Vind bewijs:** Verzamel alle beschikbare informatie die een hypothese kan ondersteunen of weerleggen. Dit kan komen uit diverse bronnen zoals OSINT, dark web, logs, menselijke bronnen (HUMINT), SIGINT, etc. Het is cruciaal om onderscheid te maken tussen ondersteunend, weerleggend en niet-diagnostisch bewijs. Ook deducties en aannames moeten gedocumenteerd worden. 3. **Vergelijk het bewijs:** Analyseer de bewijzen matrix, waarbij de sterkte van ondersteunend en weerleggend bewijs voor elke hypothese wordt afgewogen. 4. **Verfijn de matrix:** Verwijder bewijs dat niet diagnostisch is voor de specifieke hypothesen. Voeg over het hoofd gezien bewijs toe. Controleer op nieuwe hypothesen die mogelijk naar voren komen. Documenteer eventueel uitgesloten bewijs. 5. **Prioriteer de hypothesen:** Rangschik de hypothesen op basis van de analyse van het bewijs. 6. **Bepaal de afhankelijkheid van het bewijs:** Identificeer welk bewijs cruciaal is voor de meest waarschijnlijke hypothesen. Evalueer de betrouwbaarheid en de duurzaamheid van dit bewijs. 7. **Formuleer conclusies:** Trek conclusies op basis van het beschikbare bewijs. Gebruik hierbij correct estimatief taalgebruik om de mate van vertrouwen uit te drukken (bijvoorbeeld laag, gemiddeld, hoog vertrouwen), aangezien exacte waarschijnlijkheden vaak niet te berekenen zijn. > **Voorbeeld:** In de context van de CyberH2O-case, waar een verstoring in de waterleiding werd toegeschreven aan een cyberaanval, leidde de toepassing van ACH tot de correcte conclusie dat een enkele telefoongesprek met de onderhoudstechnicus de situatie had kunnen ophelderen, in plaats van een complexe cyberaanval te veronderstellen op basis van misinterpretatie van logbestanden en IP-adressen. De oorspronkelijke conclusie van Russische APT-activiteit bleek onjuist na een grondige analyse met ACH. #### 3.5.3 Belang van feedback en peer review Het sluiten van de feedbacklus is essentieel voor continue verbetering. Peer review van analyses door collega's kan helpen om blinde vlekken en biases te identificeren die de oorspronkelijke analist mogelijk heeft gemist. Dit proces draagt bij aan een robuuster en objectiever inlichtingenproduct. ### 3.7 Belangrijkste leerpunten met betrekking tot biases en denkfouten * Biases vervormen de perceptie, niet de inlichtingen zelf. * Bewustzijn van biases en het toepassen van structurele methoden verhogen de nauwkeurigheid. * Frameworks zoals het Diamond Model en MITRE ATT&CK helpen bij het sturen naar objectiviteit. * Het beheren van biases is een continue discipline. * Peer review en feedbacksluitingen zijn cruciaal voor het verbeteren van de kwaliteit van inlichtingen. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Cyberdreigingsinlichtingen (CTI) | Het verzamelen, verwerken en analyseren van informatie over cyberdreigingen om besluitvorming te ondersteunen en de beveiliging van een organisatie te verbeteren. CTI helpt bij het begrijpen van bedreigingen, aanvallers en hun methoden. | | Levenscyclus van inlichtingen | Een gestructureerd proces dat de opeenvolgende fasen beschrijft die informatie doorloopt, van het initiëren van de behoefte tot het verspreiden van de voltooide inlichtingen. De fasen omvatten doorgaans planning & richting, verzameling, verwerking & exploitatie, analyse & productie, en verspreiding & feedback. | | Prioriteitsvereisten voor inlichtingen (PIRs) | Specifieke vragen of informatiebehoeften die een organisatie heeft met betrekking tot potentiële of bestaande dreigingen, die dienen als leidraad voor de inlichtingenverzameling en -analyse. PIRs zorgen ervoor dat de inspanningen zich richten op wat het belangrijkst is voor de beveiliging en besluitvorming. | | Diamond Model | Een analytisch raamwerk dat wordt gebruikt om de kenmerken van een dreiging te structureren en te begrijpen, bestaande uit vier hoekpunten: Adversary (tegenstander), Infrastructure (infrastructuur), Capability (capaciteit) en Victim (slachtoffer). Het helpt bij het identificeren van lacunes in de kennis en het prioriteren van verzameling. | | MITRE ATT&CK | Een wereldwijd toegankelijke kennisbank van aanvallersgedrag, gebaseerd op echte waarnemingen in het wild. Het biedt gestructureerde tactieken en technieken die aanvallers gebruiken, wat helpt bij het modelleren van dreigingen, het ontdekken van tegenmaatregelen en het ondersteunen van detectie-engineering. | | Pyramid of Pain (Piramide van Pijn) | Een concept dat de niveaus van informatie identificeert die aanvallers moeten beschermen, oplopend van indicatoren van compromis (IOCs) op het laagste niveau tot tactieken, technieken en procedures (TTPs) op het hoogste niveau. Het doel is om inlichtingen te richten op hogere niveaus voor een duurzamere impact. | | Verwerking | De fase in de levenscyclus van inlichtingen waarin ruwe verzamelde informatie wordt getransformeerd naar een bruikbaar formaat. Dit kan het filteren, dedupliceren, normaliseren en verrijken van gegevens omvatten, om deze voor te bereiden op analyse. | | Bias | Een systematische neiging of afwijking die de interpretatie van informatie beïnvloedt en kan leiden tot onnauwkeurige oordelen. In de context van inlichtingen kunnen biases de analyse vertroebelen en leiden tot verkeerde conclusies. | | Gestructureerde Analytische Technieken (SATs) | Een reeks methoden en procedures die zijn ontworpen om de kwaliteit van de analyse van inlichtingen te verbeteren door systematische benaderingen te gebruiken en cognitieve biases te verminderen. Voorbeelden zijn de Analyse van Concurrerende Hypothesen (ACH) en Red Team Analyse. | | Analyse van Concurrerende Hypothesen (ACH) | Een gestructureerde analytische techniek die wordt gebruikt om meerdere mogelijke verklaringen voor een gebeurtenis te evalueren en te vergelijken. Het proces omvat het identificeren van hypothesen, het verzamelen van bewijs, het beoordelen van de diagnostische waarde van elk bewijs en het bepalen van de meest waarschijnlijke hypothese. | | Indicatoren van Compromis (IOCs) | Technische artefacten die duiden op een mogelijke cyberaanval of inbreuk. Voorbeelden zijn IP-adressen, domeinnamen, hash-waarden van bestanden, en registry keys. IOCs zijn nuttig voor snelle detectie, maar bieden vaak beperkt inzicht in de intentie van de aanvaller. | | Tactieken, Technieken en Procedures (TTPs) | De gecombineerde methoden die een aanvaller gebruikt om zijn doelen te bereiken. Tactieken zijn de strategische doelen, technieken beschrijven hoe het doel wordt bereikt, en procedures zijn de specifieke implementaties van technieken. Het begrijpen van TTPs biedt dieper inzicht in het gedrag van aanvallers. |