ICT Trends en Ontwikkelingen

Hoe je een inbreuk op het netwerk efficiënter opspoort

Bijna elke dag verschijnt er in de media wel een nieuwe melding over een spraakmakend data- of beveiligingslek. Maar de incidenten waar we over horen, vormen slechts het topje van de ijsberg – veel incidenten kunnen langere tijd onopgemerkt blijven. Weet jij hoe je een inbreuk op je netwerk kunt detecteren?

Het is zorgwekkend dat de gemiddelde tijd om een ​​incident te detecteren – bekend als “dwell time” – nog steeds behoorlijk lang is. Volgens een rapport van FireEye bedroeg de wereldwijde gemiddelde dwell-tijd in 2017 101 dagen, variërend van 75,5 dagen in Amerika tot 175 dagen in Europa.

Het is vaak extreem moeilijk om te zeggen wanneer een systeem geïnfiltreerd is, laat staan ​​dat een passende reactie op zulke indringers goed georganiseerd is. Het is dus zeer belangrijk om proactief te handelen.

Wat is het verschil tussen een precursor en een indicator?

Er zijn in wezen twee verschillende soorten van een incident: precursors en indicators.

Precursor
Een precursor van een daadwerkelijke infiltratie geeft aan dat een incident zich in de toekomst kan voordoen. Dit is gebaseerd op openbaar beschikbare informatie, zoals leveranciersadviezen en security logs, en informatie die wordt ontvangen via bronnen van bedreigingsinformatie of detectie van verkenningsacties van aanvallers. Precursors stellen beveiligingsprofessionals in staat te anticiperen op een mogelijke aanstaande aanval en als reactie daarop om beschermingsmaatregelen aan te scherpen.

Indicator
Een indicator geeft aan dat een incident zich heeft voorgedaan of onderweg is. Indicatoren kunnen komen van waarschuwingen van beveiligingsoplossingen , waarnemingen van verdacht gedrag in logboeken of rapporten van mensen binnen of buiten de organisatie. Terwijl het voorkomen van precursors relatief zeldzaam is, kan het aantal indicatoren erg hoog zijn, wat het proces van incidentrespons inefficiënt maakt en de organisatie dus tijd en indirect ook geld kost.

Hoe te zoeken naar gemeenschappelijke indicatoren

Er zijn een paar typische gebeurtenistypen waar je op moet letten om een ​​inbraak te detecteren. Een complete lijst is vrijwel onmogelijk op te stellen  vanwege de brede en groeiende verscheidenheid aan mogelijke aanvalsmethoden, maar de volgende veel voorkomende symptomen vereisen zeker aandacht:

  • Ongebruikelijk hoge systeem-, schijf- of netwerkactiviteit, vooral wanneer de meeste toepassingen niet actief zijn.
  • Activiteit op ongebruikelijke netwerkpoorten of toepassingen die luisteren naar ongebruikelijke netwerkpoorten.
  • Aanwezigheid van onverwachte software- of systeemprocessen.
  • Configuratiewijzigingen die niet kunnen worden herleid tot een goedkeuring, zoals firewallwijzigingen, herconfiguratie van services, installatie van opstartprogramma’s of toegevoegde geplande taken.
  • Abnormale gebruikersactiviteiten, zoals inloggen op opgebruikelijke tijden, vanaf ongebruikelijke locaties of vanuit meerdere uiteenlopende locaties in een kort tijdsbestek. De meeste cloudservices hebben een “last activity” -overzicht om abnormaal gedrag te volgen.
  • Onverwachte gebruikersaccountvergrendelingen, wachtwoordwijzigingen of plotselinge veranderingen in de samenstelling van gebruikersgroepen.
  • Herhaalde systeem- of applicatiecrashes.
  • Meldingen van  oplossingen voor malwarebeschermingof meldingen dat deze suites zijn uitgeschakeld.
  • Abnormaal gedrag tijdens het browsen, zoals herhaalde pop-ups, onverwachte doorverwijzingen of wijzigingen in de browserconfiguratie.
  • Meldingen van contacten dat ze ongebruikelijke berichten hebben ontvangen die beweren van jou te komen via e-mail of sociale netwerken.
  • Een bericht van een aanvaller, bijvoorbeeld via ransomware.

Hoe een inbreuk op je netwerk te detecteren: 5 belangrijke stappen

Als één van de bovenstaande indicatoren een aanzienlijk vermoeden van een inbreuk op je netwerk oproept, zijn er enkele algemene zaken die je moet volgen bij het begin van je antwoord. Hieronder volgen vijf stappen die organisaties moeten nemen om een ​​gegevensinbreuk te detecteren, erop te reageren en schade te voorkomen of te herstellen.

  1. Maak geen wijzigingen
    De eerste regel is niets veranderen aan de verdachte systemen, omdat dit mogelijk bewijsmateriaal kan aantasten en in sommige situaties de situatie nog erger kan maken. In de praktijk betekent dit dat je niet onmiddellijk acties moet ondernemen die een grote impact hebben op het systeem.Je kunt te maken krijgen met een afweging, rekening houdend met de ernst van het incident, de intentie en de impact van de aanval en de doelstellingen van je bedrijf.

    Als het waargenomen incident bijvoorbeeld een gestage uitgaande stroom van intellectuele eigendommen betreft, is het eerste doel om deze stroom te stoppen en het bewijsmateriaal veilig te stellen.

  1. Verzamel bewijs
    Om alle details van een inbraak te krijgen, zowel voor incidentanalyse als, uiteindelijk, voor acties ná het incident, moet je het bewijs veiligstellen en forensische gegevens verzamelen.Deze gegevens kunnen logbestanden, geheugen- en schijfinformatie, netwerkstromen, malwaremonsters of een lijst met actieve processen, ingelogde gebruikers- of actieve netwerkverbindingen omvatten. Het verkrijgen van deze informatie kan soms de eerste regel tegenspreken: “verander niets op het systeem”. Dit betekent ook dat je de voordelen moet afwegen tegen mogelijke nadelen.

    Met sommige hulpmiddelen kun  je op afstand forensisch onderzoek doen, maar niet elke organisatie heeft deze mogelijkheden. Je zult waarschijnlijk ook moeten vertrouwen op de mogelijkheden van je IT-team om te helpen bij het verzamelen van het bewijsmateriaal. Als je geen centrale logboeken hebt, zorg er dan voor dat de logboeken gekopieerd worden naar een alleen-lezen locatie, weg van de verdachte computer.

  1. Log alles
    Gedurende elke fase is het belangrijk dat je een stapje terug doet en kennis neemt van elke actie. De verificatie, correlatie en draaibewegingen worden vaak stapsgewijs uitgevoerd; je kunt je notities gebruiken om ervoor te zorgen dat je niets belangrijks hebt gemist.Deze notitieboeken kunnen ook dienen als een bron om tijdlijnen aan te vullen en gebieden te vinden die verbetering behoeven. Het maken van aantekeningen is het meest waardevol wanneer het tijdens de reactie van het incident wordt gedaan, niet daarna.
  1. Valideer met Peers
    Wanneer je een basiskennis hebt van wat er gebeurt, kan het nuttig zijn om de bevindingen te verifiëren bij je collega’s. Dit kan via bronnen voor dreigingsinformatie, informatie-uitwisseling en analysecentra (ISAC’s), of de nationale CSIRT’s (Computer Security Incidents Response Teams). Met deze peerverificatiestap kun je leren wat anderen al hebben gedaan om het incident te beheersen en ervan te herstellen.
  1. Verslag intern
    Naast het regelmatig melden van waargenomen incidenten aan belanghebbenden, moet je hen ook op de hoogte brengen van de kritieke lopende incidenten die een bedrijfseffect hebben (of kunnen hebben).De rapportage kan een analyse op hoog niveau van de aanval bevatten, waaronder:
  • Of het gericht was;
  • Of het eerder is waargenomen;
  • Of branchegenoten een soortgelijke aanval waarnemen;
  • Welke schade het tot nu toe heeft veroorzaakt;
  • Welke schade het in de toekomst zou kunnen veroorzaken; en
  • De bedoeling van de aanval.

Je stakeholders zullen ook erg geïnteresseerd zijn om te horen welke acties al zijn uitgevoerd, of ze effectief waren en welke toekomstige acties je voorziet. Focus niet op de technische details; in plaats daarvan, communiceer de impact die dit heeft voor het bedrijf en de werknemers.

Maak je team bekend

Vergeet niet dat rapporten van mensen binnen de organisatie ook als indicatoren kunnen gelden. Interne rapporten kunnen zeer waardevolle informatiebronnen zijn voor het opsporen van abnormaal gedrag of ongebruikelijke situaties, naast het feit dat ze essentiële communicatie na het incident zijn.

Een belangrijke succesfactor voor deze indicator is dat je het rapportageproces zo eenvoudig mogelijk maakt voor je gebruikers. Zorg ervoor dat de contactgegevens en procedures algemeen bekend en gemakkelijk toegankelijk zijn. Neem het op in de bewustmakingscampagnes, laat het publiceren op het intranet of personeelshandboek, deel webcamafschermertjes uit met contactgegevens van het beveiligingsteam of voeg een knop ‘meld een beveiligingsincident’ toe aan de zakelijke e-mailtoepassing.

Je kunt ook waardevolle input vragen van de IT-helpdesk. Bereid een aantal procedures voor, zodat de helpdeskmedewerkers van tevoren weten welke vragen ze aan de melders moeten stellen en welke informatie ze moeten verzamelen voordat ze het incident aan je melden.

Wees vooral transparant. Als iemand een beveiligingsincident meldt, moet je deze toevoegen in je rapportage voor de voortgang en het resultaat van het onderzoek.

Dit gevoel van betrokkenheid en feedback kan ertoe leiden dat collega’s je eerder benaderen wanneer ze vermoeden dat er iets ongewoons gebeurt op hun systemen. Het zal je ook helpen bij het ontwikkelen van een sterke veiligheidscultuur binnen je organisatie – wat misschien wel de meest waardevolle verdediging is die beschikbaar is om te voorkomen dat er in de eerste plaats een inbreuk plaatsvindt.

Lees hoe je accuraat bedreigingen kunt detecteren en hoe je hierop kunt reageren met behulp van IBM Qradar SIEM.

Ga naar het artikel

Lees ook

Reacties (0)

Gelieve in te loggen

Je moet inloggen om een reactie te kunnen plaatsen.