Een threat actor-profiel bouwen
Cyber threat intelligence is pas nuttig als het een beslissing verandert. Een goed actor-profiel zet verspreide waarnemingen om in iets waar een verdediger deze week mee aan de slag kan, niet alleen iets om te lezen.
Structuur wint van proza
Een profiel dat als een verhaal leest, is lastig operationeel te maken. Leg het vast als gestructureerde velden:
- Aliassen en overlappende clusters
- Beoogde sectoren en regio’s
- Waargenomen technieken (gekoppeld aan ATT&CK)
- Bekende infrastructuurpatronen
Inlichtingen zonder een betrouwbaarheidsniveau zijn slechts een gerucht met goede opmaak. Zeg wat je weet, hoe goed je het weet, en hoe je ongelijk zou krijgen.
Een minimaal machine-leesbaar record
Houd de canonieke versie in een gestructureerd formaat zodat tooling het kan verwerken:
profile = {
"name": "SUSPICIOUS-PANDA",
"aliases": ["BYTE-42"],
"targets": ["finance", "logistics"],
"techniques": ["T1566.001", "T1059.001", "T1021.002"],
"confidence": "moderate",
}
print(profile["techniques"])
Betrouwbaarheidstaal
Standaardiseer de woorden zodat “waarschijnlijk” voor iedereen hetzelfde betekent:
| Term | Ruwe kans | Gebruik wanneer |
|---|---|---|
| Vrijwel zeker | 90–100% | bevestigd, hoge kwaliteit |
| Waarschijnlijk | 55–80% | consistent maar één bron |
| Mogelijk | 25–50% | plausibel, dun bewijs |
Herzie het profiel zodra er nieuwe rapportage binnenkomt. Een CTI-artefact is een levend document, en een verouderd exemplaar ondermijnt stilletjes het vertrouwen van je stakeholders.