Blog - Wat spionnen je leren over threat intel analyseren

Door Robert Metsemakers 12 feb 2021

Nationale veiligheidsdiensten lijken in hun werk bij het maken van dreigingsanalyses op security-afdelingen. Uit hun praktijkervaring kunnen securityprofessionals daarom nuttige zaken leren.

In de film ‘Fight Club’ verkondigt hoofdrolspeler Brad Pitt de eerste Fight Club-regel: “You do not talk about Fight Club.” Dit lijkt echter niet te gelden voor medewerkers van de Amerikaanse Secret Service. Bij het geven van een lezing op een securitycongres stellen ze zich steevast voor als: “Pete Puck, special agent of the Secret Service.” Vaak dragen ze duidelijk zichtbaar een Secret Service-pin op het jasje van hun donkere pak. Ook een andere Amerikaanse veiligheidsdienst toont die voor mij onverwachte openheid. Op hun website [1] publiceert de CIA (Central Intelligence Agency) veel direct toepasbare documenten over het intelligence werk in de dagelijkse praktijk, de ‘tradecraft’. Die tips en activiteiten, oorspronkelijk gericht op het verzamelen, verwerken en rapporteren van inlichtingen voor veiligheidsdiensten, zijn ook zeer bruikbaar voor securityprofessionals die werken met en aan (cyber) threat intelligence. Een interessant boek op diezelfde site is bijvoorbeeld ‘Psychology of Intelligence Analysis’ van Richards Heuer Jr. Drie opvallende zaken uit dit zeer lezenswaardige boek licht ik hieronder toe.

Geen mozaïek, maar medische diagnose
Het gaat niet om het verzamelen van zoveel mogelijk informatie en talloze metingen maar om wat je ermee doet. Het verschil in effectiviteit wordt gemaakt in hoe handig, snel en gericht je als analist de verzamelde dreigingsinformatie verwerkt tot ‘actionable advice’ voor de personen die erop moeten acteren. Bij het opstellen van een threat analyse ben je niet bezig met het leggen van een mozaïek. Het gaat er dus niet om eerst en uitputtend alle kleine stukjes te verzamelen om daarna pas de totale foto te (kunnen) zien. Bovendien heb je, anders dan bij een legpuzzel van striptekenaar Jan van Haasteren, geen deksel beschikbaar met daarop het totale eindresultaat. De informatiestukjes kunnen tot meerdere beelden leiden. Soms zijn er meerdere juiste uitkomsten tegelijk af te leiden uit dezelfde input. Bijvoorbeeld uit één verkiezing: (a) verkiezingskandidaat X heeft gefraudeerd en (b) zittende verkiezingskandidaat Y blijft (toch) niet in functie. Het maken van een threat analyse lijkt volgens Heuer meer op het stellen van een medische diagnose. Je moet niet alle, maar de juiste stukjes hebben en in de einddiagnose de bij de patiënt passende conclusie trekken. En op tijd, om de patiënt te laten overleven. Denk aan dr. House die bewust en behoorlijk eigenwijs niet alle symptomen onderzoekt, maar wel elke aflevering van de tv-serie de meest relevante eruit pikt.

Cognitieve dissonantie
Het is voor analisten moeilijk om nieuwe input te verwerken en deze te rijmen met eerder bestudeerd materiaal. Zeker als deze input in strijd lijkt met eerdere geanalyseerde informatie. “Dat kan in de praktijk wel zo zijn, maar het past niet in mijn zelf bedachte theorie”, denk je dan. De nieuwe informatie klopt niet met het ontwikkelde beeld en wordt daarom veronachtzaamd door de analist. Met soms desastreuze gevolgen. Sommige securitymedewerkers uiten als luis in de pels vaak hun
eigen mening, die vrijwel altijd afwijkt van die van de rest van het team. De verleiding voor het management is dan groot die persoon weg te pesten. Of door het trainee-contract van een superkritische millennial niet te verlengen. Hoewel het wegwerken van deze neeschudders ogenschijnlijk de positieve teamspirit verbetert, houd je op den duur alleen gedweeë jaknikkers over, die de schaapsherder(in) prima volgen – maar die de voor hen onverwachte security dreigingen per definitie missen. Bedenk: zonder
dwarsliggers kan de trein niet rijden.

Lees je rapport hardop
Geschreven en gesproken taal activeren verschillende neuronen in je brein. Het helpt soms om je tekst voor te lezen (tegen jezelf tijdens het thuiswerken) om de spinnenwebben op te ruimen en de complexiteit van de conclusie en de tekst te vereenvoudigen.

Referentie
[1] https://www.cia.gov/index.html

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB1-2021.