Cyber Threat Intelligence (CTI) dient al lange tijd als de hoeksteen van de moderne digitale verdediging, maar een baanbrekende longitudinale studie heeft onthuld dat twee decennia aan rapportage hebben geleid tot een gefragmenteerd landschap dat eerder wordt gedefinieerd door vendor-silo's dan door een verenigde wereldwijde strategie. Onderzoekers Mauro Conti, Manuel Suarez-Roman, en Francesco Marciori voerden onlangs een grootschalige geautomatiseerde analyse uit van 13.308 open-source CTI-rapporten, waarbij ze ontdekten dat de sector lijdt aan een aanzienlijk "echokamer-effect". Deze versnippering betekent dat, hoewel het volume aan inlichtingen is geëxplodeerd, ons collectieve begrip van de langetermijndynamiek tussen dreigingsactoren en slachtoffers vertroebeld blijft door inconsistente rapportagestandaarden en structurele biases die inherent zijn aan het ecosysteem van beveiligingsleveranciers.
De noodzaak voor dit onderzoek komt voort uit de toenemende complexiteit van digitale geopolitiek en de enorme hoeveelheid ongestructureerde data die door beveiligingsbedrijven wordt gegenereerd. Historisch gezien is Cyber Threat Intelligence (CTI) gepubliceerd in uiteenlopende formaten, variërend van blogposts tot technische whitepapers, waardoor het voor menselijke analisten bijna onmogelijk is om twee decennia aan trends handmatig te synthetiseren. Om deze kloof te dichten, ontwikkelde het onderzoeksteam een high-precision pipeline die gebruikmaakt van Large Language Models (LLMs) om data te verwerken en te structureren, waarbij kritieke entiteiten zoals toegeschreven dreigingsactoren, motivaties en technische indicatoren worden geëxtraheerd. Deze geautomatiseerde aanpak maakte de eerste uitgebreide meta-analyse van de output van de sector mogelijk, waarbij werd gekwantificeerd hoe inlichtingen daadwerkelijk worden geproduceerd en gedeeld.
Hoe beïnvloedt vendorspecificiteit de CTI-analyse?
Vendorspecificiteit in CTI-analyse beperkt bredere inzichten door rapporten te koppelen aan de producten of diensten van specifieke leveranciers, wat mogelijk echokamers creëert en bedreigingen voor de gehele toeleveringsketen over het hoofd ziet. Deze gespecialiseerde focus resulteert vaak in regionale blinde vlekken, waarbij het geografische hoofdkantoor of het primaire klantenbestand van een leverancier bepaalt welke dreigingen zij monitoren en rapporteren. Bijgevolg kunnen organisaties die vertrouwen op een enkele bron van inlichtingen een vertekend beeld krijgen van het wereldwijde dreigingslandschap, wat leidt tot gefragmenteerde risicobeoordelingen die geen rekening houden met onderling verbonden kwetsbaarheden in het digitale ecosysteem.
De studie stelde vast dat rapportage-biases diep geworteld zijn in de commerciële belangen en de technische zichtbaarheid van individuele beveiligingsbedrijven. Leveranciers vertonen een duidelijke sectorale bias, waarbij prioriteit wordt gegeven aan industrieën zoals de financiële sector of de overheid op basis van hun specifieke marktbereik. Bijvoorbeeld, een leverancier met een sterke aanwezigheid in Noord-Amerika kan diepgaande inzichten bieden in door de staat gesponsorde hacking vanuit Oost-Azië, terwijl hij nagenoeg blind blijft voor opkomende dreigingen in Zuid-Amerika of Afrika. Deze specialisatie creëert een "silo-effect", waarbij de inlichtingen diepgaand maar beperkt zijn, wat een holistisch begrip belemmert van hoe dreigingsactoren zich in de loop van de tijd verplaatsen tussen verschillende sectoren en regio's.
Bovendien bemoeilijkt deze specificiteit het vermogen van professionals om de volledigheid van hun inlichtingen te beoordelen. Omdat rapporten vaak op maat worden gemaakt om de waarde van een specifiek beveiligingshulpmiddel of een dienst aan te tonen, kunnen de verstrekte metadata en technische indicatoren (IoCs) selectief zijn. Mauro Conti en zijn collega's betogen dat dit gebrek aan standaardisatie het moeilijk maakt om gegevens tussen verschillende aanbieders te kruisverwijzen. Zonder een uniform kader blijft het CTI-ecosysteem een verzameling individuele momentopnamen in plaats van een continue, high-definition video van wereldwijde cyberactiviteit.
Welke rol speelt automatisering bij het analyseren van 20 jaar CTI?
Automatisering maakt de verwerking en analyse mogelijk van enorme datasets die 20 jaar aan CTI beslaan, door het bieden van real-time waarschuwingen, risicoscores en dreigingscorrelatie tussen leveranciers. Door gebruik te maken van Large Language Models (LLMs) kunnen onderzoekers duizenden ongestructureerde documenten transformeren naar een gestructureerde database van motivaties van dreigingsactoren en slachtofferprofielen. Deze AI-gestuurde aanpak is essentieel voor het ontmaskeren van historische biases en het identificeren van langetermijnpatronen die onzichtbaar zijn voor handmatige analyse, waardoor decennia aan ruwe data effectief worden omgezet in bruikbare inzichten.
De op LLM gebaseerde pipeline van het onderzoeksteam was specifiek ontworpen om om te gaan met de taalkundige nuances van technische rapportage uit verschillende tijdperken. Gedurende de bestudeerde periode van twintig jaar is de terminologie die wordt gebruikt om Tactics, Techniques, and Procedures (TTPs) te beschrijven aanzienlijk geëvolueerd. Automatisering stelde de onderzoekers in staat om deze termen te normaliseren, waardoor een "backdoor" uit 2005 nauwkeurig kon worden vergeleken met een modern mechanisme voor persistente dreigingen. Dit niveau van granulaire extractie is cruciaal voor het begrijpen van de evolutie van informatiedichtheid, aangezien rapporten zijn verschoven van korte anekdotische samenvattingen naar gegevensrijke documenten gevuld met duizenden indicators of compromise.
Naast eenvoudige data-extractie faciliteert automatisering een marginale dekkingsanalyse die de waarde kwantificeert van het toevoegen van nieuwe inlichtingenbronnen. De studie maakte gebruik van machine learning om te bepalen op welk punt een extra leveranciersrapport stopt met het leveren van nieuwe informatie en slechts bekende gegevens begint te herhalen. Deze kwantitatieve benadering is van vitaal belang voor security operations centers (SOC's) die de kosten van meerdere inlichtingenfeeds moeten afwegen tegen de werkelijke inlichtingenwinst die ze opleveren. De bevindingen van de onderzoekers suggereren dat automatisering de enige levensvatbare manier is om situationeel bewustzijn te behouden in een omgeving met steeds meer informatieruis.
De evolutie van informatiedichtheid en dreigingsmotieven
Over de laatste twee decennia heeft de aard van Cyber Threat Intelligence (CTI)-rapportage een dramatische transformatie ondergaan in zowel volume als technische diepgang. De studie belicht verschillende belangrijke trends in hoe data aan het publiek wordt gepresenteerd:
- Toegenomen technische details: Moderne rapporten bevatten een veel hogere dichtheid aan Indicators of Compromise (IoCs) en TTP's vergeleken met rapporten uit het begin van de jaren 2000.
- Het volgen van motivaties: Onderzoekers identificeerden een duidelijke correlatie tussen specifieke dreigingsactoren en hun primaire motivaties, zoals spionage, financieel gewin of hacktivisme.
- Strategische verschuiving: Er is de laatste jaren een groeiende nadruk op door de staat gesponsorde hacking, waarbij rapporten meer gericht zijn op digitale geopolitiek en implicaties voor de nationale veiligheid.
- Datastandaardisatie: Hoewel de dichtheid is toegenomen, blijft het gebrek aan consistente rapportagestandaarden de interoperabiliteit van deze gegevens binnen de sector hinderen.
Waarom is er overlap in rapportages over cyberdreigingen?
Overlap in rapportages over cyberdreigingen ontstaat doordat leveranciers inlichtingen delen om individuele databeperkingen te overwinnen en concurrentievoordeel te behalen via clustering en gemeenschapsstructuren. Deze redundantie weerspiegelt vaak een commoditisering van CTI, waarbij meerdere bedrijven over dezelfde spraakmakende incidenten rapporteren om hun vermeende relevantie in de markt te behouden. Hoewel dit delen de collectieve kennis kan vergroten, creëert het ook "echo's" waarbij dezelfde vertekende of onvolledige gegevens in tientallen bronnen worden herhaald, wat een vals gevoel van consensus geeft.
De marginale dekkingsanalyse van het onderzoek toonde aan dat de overlap in inlichtingen verrassend hoog is onder de kernaanbieders. Wanneer een belangrijke door de staat gesponsorde campagne wordt gedetecteerd, publiceert bijna elke grote leverancier een rapport, vaak gebaseerd op dezelfde onderliggende telemetrie of openbare IoC's. Dit leidt tot een situatie van afnemende meeropbrengsten voor verdedigers; na de eerste paar rapporten bieden volgende inlichtingen vaak weinig tot geen "marginale" waarde in termen van nieuwe technische inzichten. Deze redundantie kan zelfs nadelig zijn, omdat het tijd van analisten opslokt zonder een dieper begrip van de dreiging te bieden.
Deze overlap wijst ook op een structurele bias in de sector waarbij "zichtbare" dreigingen — die gemakkelijk te detecteren zijn of al trending zijn — het leeuwendeel van de aandacht krijgen. Ondertussen kunnen subtielere, langdurige cyberspionagecampagnes gericht op nichesectoren volledig ongerapporteerd blijven omdat ze niet passen in de rapportagesjablonen of commerciële prioriteiten van de grote leveranciers. Mauro Conti en zijn team benadrukken dat deze concentratie van inspanning op een paar prominente actoren aanzienlijke delen van de wereldwijde digitale infrastructuur kwetsbaar laat voor minder "populaire" maar even gevaarlijke dreigingen.
Toekomstige richtingen voor wereldwijde beveiligingszichtbaarheid
Om voorbij de echokamer te komen, suggereren de onderzoekers verschillende kritieke verschuivingen in de manier waarop Cyber Threat Intelligence (CTI) wordt geproduceerd en geconsumeerd. Eerst en vooral is er de standaardisatie van rapportage. Zonder een gemeenschappelijke taal en gestructureerd formaat zal de versnippering van het ecosysteem alleen maar verergeren naarmate het datavolume groeit. Het implementeren van geautomatiseerde, real-time uitwisselingsprotocollen die gericht zijn op unieke inzichten in plaats van redundante waarnemingen, zou kunnen helpen om de huidige informatiekloven te dichten.
Bovendien moet de rol van AI en automatisering verschuiven van eenvoudige data-extractie naar bias-detectie. Toekomstige CTI-platforms zouden gebruikers moeten kunnen waarschuwen wanneer hun inlichtingenbronnen een vertekend beeld van het landschap geven op basis van geografische of sectorale biases. Door deze high-precision LLM-pipelines te integreren in standaard verdedigingsworkflows, kunnen organisaties de volledigheid van hun data beter beoordelen en zoeken naar diverse bronnen die werkelijke marginale waarde bieden. Uiteindelijk is het doel om digitale geopolitiek te transformeren van een verzameling leverancierspecifieke narratieven naar een transparante, wereldwijde wetenschap van cyberverdediging.
Comments
No comments yet. Be the first!