Blog

Threat Feeds in het AI-tijdperk

Het idee achter threat feeds is valide. Maar we zouden stellen dat het zijn beste tijd heeft gehad. En met de technologie van vandaag zijn er betere opties. Threat feeds zijn (vaak) een lijst met community-gedreven beveiligingsinformatie. Wanneer iemand een kwetsbaarheid ontdekt, plaatsen ze handmatig een melding in de threat feed. Die wordt vervolgens opgepikt en verschijnt in de feed, waar beveiligingsprofessionals bij hun respectieve bedrijven het lezen en hun eigen systemen controleren om te zien of ze vatbaar zijn voor potentieel gevaar.

Apr 28, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Het idee achter threat feeds is valide. Maar we zouden stellen dat het zijn beste tijd heeft gehad. En met de technologie van vandaag zijn er betere opties.

Threat feeds zijn (vaak) een lijst met community-gedreven beveiligingsinformatie. Wanneer iemand een kwetsbaarheid ontdekt, plaatsen ze handmatig een melding in de threat feed. Die wordt vervolgens opgepikt en verschijnt in de feed, waar beveiligingsprofessionals bij hun respectieve bedrijven het lezen en hun eigen systemen controleren om te zien of ze vatbaar zijn voor potentieel gevaar. Ze hebben een aantal voordelen: de community is vaak vrij groot, waardoor deze feeds gevuld zijn met waardevolle informatie. En preventief werken is altijd goed als het om cybersecurity gaat.

Er zitten echter een aantal flinke zwakke plekken in dit systeem.

Dit hele systeem vereist veel handmatig werk. En handmatig werk is vaak traag en foutgevoelig. Dat is een groot nadeel als het om threat feeds gaat. Een ander groot minpunt is dat deze threat feeds vaak openbaar zijn. Handig voor iedereen om informatie te verkrijgen, maar ook nadelig omdat… iedereen de informatie kan inzien, inclusief kwaadwillenden. Bovendien bevatten de rapporten vaak alleen domeinnamen, die hackers binnen enkele minuten vervangen zonder hun kwaadaardige code te hoeven herschrijven. Het is een wilde achtervolging waarbij de prooi nooit gevangen wordt, alleen een beetje gehinderd. Niet ideaal.

Dat gezegd hebbende, laten we wat dieper ingaan op hoe threat feeds precies werken.

Hoe Verzamelen Threat Feeds Hun Informatie?

Netwerkverkeersanalyse: Het monitoren van netwerkverkeer helpt bij het identificeren van verdachte patronen, malwarehandtekeningen en communicatie met bekende kwaadaardige IP-adressen.
Honeypots en lokvallen: Sommige organisaties zetten systemen op die bedoeld zijn om aangevallen te worden, zodat ze informatie kunnen verzamelen over nieuwe bedreigingen en aanvalsmethoden.
Rapporten en analyse van datalekken: Openbaar gemaakte inbreuken en beveiligingsincidenten bieden waardevolle inlichtingen over de tactieken, technieken en procedures (TTPs) die aanvallers gebruiken.
Samenwerking en informatie-uitwisseling: Organisaties delen vaak inlichtingen met elkaar en bundelen hun middelen om een breder beeld te krijgen van het cyberdreigingslandschap.
Dark web- en forummonitoring: Sommige aanbieders van dreigingsinformatie monitoren dark web-forums en -marktplaatsen waar aanvallers tools, diensten en gestolen gegevens verhandelen, om zo inzicht te krijgen in opkomende bedreigingen.
Threat hunting: Onderzoekers gebruiken externe data van derden (soms ook intern) om nieuwe Indicators of Compromise (IOCs) te ontdekken. Populaire portals van derden zijn onder andere Virustotal, Shodan en Censys.

Wat Doe Je Met Deze Informatie?

Preventieve maatregelen: Door je te abonneren op threat feeds kun je bekende kwaadaardige IP-adressen, domeinen en bestandshandtekeningen op de zwarte lijst zetten, waardoor aanvallen worden voorkomen voordat ze plaatsvinden.

Incidentrespons en forensisch onderzoek: Wanneer er een beveiligingsincident plaatsvindt, wordt dit gerapporteerd en in de threat feed geplaatst.

Dit zijn allemaal goede zaken!

De Nadelen van Threat Feeds

Zero-day kwetsbaarheden: Als je doelwit bent en gecompromitteerd raakt, helpen threat feeds je niet. Erger nog: je merkt het waarschijnlijk pas dagen later. Het heeft weinig zin om de ophaalbrug op te halen nadat de aanvallers al overgestoken zijn.
Proces- en menselijke kwetsbaarheden: We hebben het er al over gehad, maar handmatig werk en menselijke invoer zijn foutgevoelig. Zo maken social engineering-aanvallen misbruik van menselijke kwetsbaarheden om mensen te verleiden gevoelige informatie prijs te geven of toegang te verlenen tot beveiligde systemen.
Patchen en mitigatie: Het patchen van kwetsbaarheden is niet altijd eenvoudig. Vertragingen bij het uitrollen van patches, compatibiliteitsproblemen en de beschikbaarheid van patches kunnen systemen voor langere tijd blootstellen aan risico's.
Risicobeheer: Organisaties moeten kwetsbaarheden prioriteren op basis van risico, waarbij ze zich richten op het patchen van de kwetsbaarheden die de grootste bedreiging vormen voor hun kritieke bedrijfsmiddelen.
Onjuiste informatie: Omdat threat feeds open source zijn, kunnen ze vatbaar zijn voor fout-positieven. Iedereen kan misleid worden door valse informatie die er opzettelijk of per ongeluk in is geplaatst. Het is belangrijk om de informatie regelmatig te valideren, anders kan het zijn dat een ooit kwaadaardig domein nu legitiem wordt gebruikt, of andersom.

De Meer Volledige Oplossing

We hebben cside ontwikkeld als het krachtigste tegenmiddel tegen JavaScript-aanvallen. We integreren threat feed-data in onze complete oplossing, die bestaat uit een klein script dat het volgende doet:

Bronnen van scripts herschrijven om ze via de cside-proxy te routeren en browsergebaseerde detecties uit te voeren. Hierdoor bevindt cside zich in de stroom van het verzoek tussen de gebruiker en het script van derden. Dit biedt volledig inzicht in de geserveerde scripts, gedurende 100% van de sessie. Veel andere leveranciers nemen steekproeven van browsersessies, waardoor aanvallen die zijn gebouwd om slechts op een klein percentage van de gebruikers van toepassing te zijn, lange tijd onder de radar kunnen blijven.
Inline scripts en verdacht gedrag detecteren dat mogelijk alleen optreedt in de specifieke browser waarmee het script is opgehaald. Dit is onze speciale geheime saus.

We monitoren ook meer dan 60 attributen en gebruiken AI om in realtime indicatoren van kwaadaardige intenties te markeren. Onze oplossing houdt rekening met historische context, wat betekent dat veranderingen in de loop van de tijd worden beoordeeld, waardoor het gemakkelijker wordt om plotselinge overnames te herkennen. Bovendien gebruikt cside AI om de code van het script van derden te analyseren. De combinatie van onze voortdurend evoluerende detectiemechanismen betekent dat we de poging in milliseconden kunnen herkennen en deze kunnen stoppen voordat er kwaadaardige operaties plaatsvinden, of een waarschuwing kunnen geven als er gevaarlijk gedrag optreedt.

Lees hier hoe onze complete oplossing werkt in vergelijking met andere oplossingen.

Per 31 maart 2025 verplicht de PCI DSS 4.0-vereiste 6.4.3 alle websites die online betalingen verwerken om elk script op betaalpagina's te autoriseren, een inventaris bij te houden van alle scripts en de integriteit ervan te waarborgen. Door gebruik te maken van de gratis versie van cside voldoe je aan deze vereisten.

Lees meer over de PCI DSS 4.0-vereisten.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.