Beveiligingsteams hebben nog nooit zoveel IP-gegevens tot hun beschikking gehad. Elke dag verwerken analisten verrijkingsfeeds, geolocatiegegevens, reputatiescores, telemetrie en informatie over bedreigingen van een groeiend ecosysteem van leveranciers en platforms.
Maar ondanks deze overvloed aan informatie worden veel organisaties nog steeds geconfronteerd met een fundamentele uitdaging: door de ruis heen zien te komen om iets te begrijpen wie zit er achter een IP En welke actie moet volgen.
Een voorbeeld hiervan: uit een recent sectoronderzoek onder meer dan 200 beveiligingsprofessionals, uitgevoerd door Spur Intelligence, is gebleken dat het anonimiseren van infrastructuur – inclusief VPN’s en residentiële proxynetwerken – nu bij bijna elk beveiligingsincident voorkomt.
Tegelijkertijd toonde het onderzoek aan dat veel organisaties toegeven dat ze niet over de zichtbaarheid, context en operationele workflows beschikken die nodig zijn om effectieve beslissingen te nemen op basis van die IP-gegevens.
De bevindingen ondersteunen een bredere trend in de sector: een reactieve benadering van het beheersen van op IP gebaseerde risico’s.
De opkomst van geanonimiseerde infrastructuur
De wijdverbreide beschikbaarheid van VPN-diensten, residentiële proxynetwerken en andere anonimiseringstools heeft de manier waarop cybercriminelen opereren fundamenteel veranderd. Residentiële proxy’s leiden verkeer via internetverbindingen van consumenten, waardoor kwaadwillige activiteiten samengaan met normaal gebruikersgedrag. VPN-services bieden extra anonimiteitslagen en maken tegelijkertijd snel schakelen tussen locaties en netwerkidentiteiten mogelijk. Als gevolg hiervan worden traditionele benaderingen die uitsluitend op reputatie of statische blokkeerlijsten zijn gebaseerd, minder effectief.
Beveiligingsteams worden steeds vaker geconfronteerd met aanvallen waarbij het IP-adres zelf weinig direct inzicht geeft in de bedoelingen.
Uit het Spur-onderzoek bleek dat bijna de helft van de bedrijven aanzienlijke operationele of financiële gevolgen rapporteerde van pogingen tot accountovername en misbruik van inloggegevens via VPN’s en residentiële proxy’s. Bij deze incidenten kan een adres een woonadres lijken, eigendom zijn van een legitieme ISP en geen eerdere kwaadaardige reputatie vertonen, terwijl het nog steeds deel uitmaakt van een actieve aanvalscampagne.
Het contexttekort
Een van de belangrijkste obstakels waarmee beveiligingsoperaties vandaag de dag worden geconfronteerd, is een gebrek aan contextuele informatie om te helpen bepalen wie er daadwerkelijk achter een verbinding zit.
Het Spur-onderzoek versterkt deze observatie: bijna de helft van de respondenten zegt dat een gebrek aan context de grootste uitdaging is voor hun beveiligingsteams die IP-activiteiten analyseren.
Basis-IP-kenmerken, zoals geolocatie en netwerkeigendom, blijven nuttig, maar verklaren vaak niet de bedoeling achter de activiteit.
Beveiligingsteams hebben steeds meer behoefte aan extra contextlagen, waaronder infrastructuurclassificatie, VPN- en proxy-attributie, gedragsindicatoren, historische gebruikspatronen, apparaat- en sessiecorrelaties, en automatisering en botsignalen.
Zonder deze context zijn analisten gedwongen beslissingen te nemen op basis van onvolledige informatie. Met context kunnen ze niet alleen begrijpen waar het verkeer vandaan komt, maar ook waarom dit een verhoogd risico kan inhouden.
Reactieve beveiliging blijft de norm
Hoewel organisaties de waarde van IP-intelligentie erkennen, gebruiken velen deze nog steeds voornamelijk tijdens onderzoeken. IP-verrijking wordt vaak toegepast nadat er al waarschuwingen zijn gegenereerd, waardoor analisten historische gebeurtenissen kunnen beoordelen en incidenten kunnen onderzoeken. Hoewel deze aanpak waarde biedt, beperkt zij de strategische impact van IP-intelligentie.
Een groeiend aantal beveiligingsteams onderzoekt manieren om IP-intelligentie eerder in het besluitvormingsproces te betrekken. In plaats van IP-gegevens uitsluitend te gebruiken om incidenten te onderzoeken, willen ze dat deze de beveiligingsresultaten in realtime beïnvloeden.
Het Spur-onderzoek onderzoekt deze dichotomie, waarbij de meerderheid van de respondenten aangeeft IP-intelligentie te gebruiken voor basisgebruiksscenario’s, maar wil workflows voorspellender en op intelligentie gebaseerd zijn. Voorbeelden hiervan zijn het toepassen van IP-intelligentie voor adaptieve authenticatie, op risico gebaseerde toegangscontroles, workflows voor fraudepreventie, geautomatiseerde beleidshandhaving en het scoren van sessierisico’s.
Het doel van het proactief toepassen van IP-intelligentie is om betere beslissingen te nemen voordat incidenten escaleren.
Het over het hoofd geziene interne risico van anonimisering
Externe bedreigingen krijgen de meeste aandacht in discussies over geanonimiseerde infrastructuur, maar veel organisaties worden veel dichter bij huis geconfronteerd met een tweede uitdaging. Bring-your-own-device-beleid, consumentenapplicaties en persoonlijk VPN-gebruik hebben het aantal routes uitgebreid waarlangs geanonimiseerd verkeer bedrijfsomgevingen kan binnenkomen. Een ander voorbeeld zijn natiestatelijke actoren die zich voordoen als legitieme werknemers in afgelegen werkomgevingen met een hoge concentratie.
In veel gevallen hebben organisaties beperkt zicht op de vraag of werknemers proxydiensten, residentiële netwerken of VPN-tools gebruiken terwijl ze toegang krijgen tot bedrijfsbronnen. Dit creëert blinde vlekken die traditionele perimetergerichte beveiligingsstrategieën mogelijk niet aanpakken.
Het Spur-onderzoek bevestigt deze bezorgdheid, waarbij een verrassend hoge 61% van de respondenten aangeeft matig, licht of helemaal niet bezorgd te zijn over de potentiële blootstelling van hun interne netwerk via residentiële proxy’s op apparaten van werknemers of consumentenapps.
Naarmate zero-trust-architecturen steeds volwassener worden, moeten beveiligingsteams interne proxy-activiteiten als een potentieel risicosignaal beschouwen in plaats van aan te nemen dat vertrouwde gebruikers en vertrouwde apparaten automatisch vertrouwd netwerkgedrag impliceren.
Het kwantificeren van de effectiviteit van IP Intelligence
Veel organisaties investeren in IP-intelligentietechnologieën, maar hebben moeite om de effectiviteit ervan te kwantificeren. Historisch gezien werd succes vaak gemeten aan de hand van indicatoren zoals geblokkeerde bedreigingen of dekking van verrijking. Het is echter mogelijk dat deze statistieken de operationele waarde niet volledig weergeven.
Uit het Spur-onderzoek blijkt dat organisaties minder volwassen zijn in de manier waarop zij hun inspanningen op het gebied van IP-intelligentie meten, en dat een volle derde van de bedrijven dit helemaal niet meet.
Beveiligingsleiders concentreren zich steeds vaker op uitkomsten zoals onderzoekstijd, valse positieven en kosten. Deze statistieken sluiten beter aan bij de zakelijke impact en helpen investeringen in beveiligingsinformatie te rechtvaardigen.
Omdat de budgetten beperkt blijven, zal het aantonen van meetbare operationele verbeteringen steeds belangrijker worden.
De toekomst van IP-intelligentie
De volgende fase van IP-intelligentie zal waarschijnlijk worden bepaald door drie trends. Ten eerste zullen organisaties een rijkere context eisen in plaats van grotere hoeveelheden ruwe data. Analisten hebben attributie, gedragsinzicht en infrastructuurinformatie nodig, niet alleen maar aanvullende indicatoren.
Ten tweede zal automatisering een prioriteit worden. Beveiligingsteams willen steeds vaker dat IP-intelligentie rechtstreeks wordt geïntegreerd in de detectie-, preventie- en toegangscontroleworkflows in plaats van geïsoleerd in onderzoekstools.
Ten derde zal IE-intelligentie nauwer verbonden raken met de besluitvorming. In plaats van uitsluitend als verrijkingslaag te fungeren, zal het steeds meer gaan dienen als basis voor risicogebaseerde beveiligingscontroles.
De organisaties die daarin slagen, zullen degenen zijn die verder gaan dan alleen het identificeren van verdachte IP’s en zich richten op het verkrijgen van inzicht in de infrastructuur, het gedrag en de intentie erachter. In een omgeving waarin geanonimiseerde infrastructuur een routinematig onderdeel van cybercriminaliteit is geworden, zal het vermogen om de sprong van detectie naar beslissing te maken uiteindelijk bepalen hoe effectief beveiligingsteams kunnen reageren op moderne bedreigingen.
