Traditionele benaderingen zijn niet langer afdoende om data en applicaties binnen datacenters en op endpointsystemen te beschermen. Cyberaanvallen worden steeds geavanceerder, naast dat ze in frequentie toenemen, terwijl infrastructuren steeds opener worden om de toegang voor eindgebruikers zo gemakkelijk mogelijk te maken. Daarom moeten organisaties werken aan het volwassener maken van hun security. Dat kan met behulp van het door securityspecialisten ontwikkelde Security Operations Maturity Model (SOMM).
Het SOMM biedt de basis voor de efficiënte en effectieve inrichting van een Security Operations Center (SOC). Zo’n SOC is in staat om tijdig en passend te reageren op bedreigingen door de inzet van een Threat Lifecycle Management Framework (TLM), dat een stapsgewijs antwoord biedt op de cyberattack-lifecycle.
Cyberaanvallers kunnen uit zijn op financieel gewin, sensatie of willen alleen veel schade toebrengen
Cyberattack-lifecycle in 5 stappen
Deze aanvalscyclus begint met het herkennen van de cyberaanvallers van kwetsbare infrastructuren. Dat kan een persoon of een organisatie zijn. Aanvallers hebben verschillende doelen. De een wordt gedreven vanuit financieel gewin of uit sensatiezucht, de ander wil schade toebrengen aan een merk of intellectueel eigendom stelen. Na een eerste verkenning bepaalt de aanvaller waar hij de systemen van het potentiële slachtoffer het gemakkelijkst binnenkomt.
Toegang verschaffen
Stap twee in de cyclus is het daadwerkelijk verschaffen van toegang via bijvoorbeeld een serversysteem of een eindgebruikerssysteem, zoals een laptop of pc.
Springplank naar andere systemen
Vervolgens doen deze devices bij stap drie dienst als een springplank naar andere systemen, waar waardevolle informatie te halen is. Om dit te bereiken, installeert de aanvaller bijvoorbeeld een remote-access trojan (RAT) zodat er structurele toegang op afstand verkregen wordt tot alle systemen.
Systematisch zoeken naar waardevolle data
Stap vier richt zich op de zogenoemde lateral movement, het systematisch zoeken naar waardevolle data zoals systeem- en useraccounts. Die bieden de aanvaller weer meer ruimte om andere, verbonden systemen te infecteren en data te stelen of te versleutelen om zo de eigenaar onder druk te zetten. Omdat de aanvaller gebruik maakt van gestolen accounts is detectie lastig.
Sabotage of vernietiging
In stap vijf heeft een aanvaller alle controle overgenomen en heeft hij een goed beeld van de gehele omgeving. Dat opent de weg naar de laatste stap waarin data daadwerkelijk wordt gemanipuleerd of gestolen of waarin kritische systemen worden gesaboteerd of vernield.
Vroegtijdige detectie van cyberaanval is van levensbelang
Threat Lifecycle Management Framework
Deze cyberattack-lifecycle laat goed zien dat vroegtijdige detectie van levensbelang is om een aanval van binnenuit of buitenaf tijdig af te slaan. Dit kan door het inzetten van een Threat Lifecycle Management Framework. Dit framework is opgebouwd uit zes fasen.
Fase 1: Het verzamelen van forensische gegevens
Voordat een dreiging kan worden gedetecteerd, moet een organisatie in staat zijn om zo’n aanval onbetwist aan te tonen. Dat vereist de juiste gegevens, waaronder beveiligingsgebeurtenissen en alarmmeldingen, logbestanden en forensische sensorgegevens. Deze laatste kunnen hiaten in de zichtbaarheid opvullen, wanneer logboeken niet beschikbaar zijn of het niveau van de forensische gegevens niet voldoende gedetailleerd is.
Fase 2: Het vaststellen van bedreigingen
Zodra er goed inzicht is, zijn bedreigingen te detecteren en kan de organisatie erop reageren. Het ontdekken van potentiële bedreigingen vindt plaats door middel van een mix van zoek- en machine learning-analyse. Zoekanalyse is nog grotendeels handmatig werk en gebeurt door dashboards te bewaken en gebruik te maken van zoekmogelijkheden. Het omvat ook het beoordelen van rapportages over gedetecteerde uitzonderingen. Machine learning is een nieuwe, zelflerende technologie die op basis van algoritmes zelfstandig steeds geavanceerdere analyses kan uitvoeren. Daardoor wordt deze technologie beschouwd als het antwoord op de twee grootste uitdagingen van securityteams: gebrek aan gekwalificeerde medewerkers en een enorme toename van securitymeldingen.
Fase 3: Het goed kwalificeren van bedreigingen
Een vastgestelde bedreiging moet snel worden gekwalificeerd om de potentiële impact op het bedrijf en de urgentie van extra onderzoeks- en reactie-inspanningen te bepalen.
Fase 4: Het nauwkeurig onderzoeken van bedreigingen
Zodra bedreigingen zijn gekwalificeerd, moeten ze volledig onderzocht worden. Dit om te bepalen of een beveiligingsincident heeft plaatsgevonden of plaatsvindt. Snelle toegang tot forensische gegevens en informatie over de dreiging is daarom van het grootste belang. Automatisering van routine-onderzoekstaken en tools die samenwerking tussen organisaties mogelijk maken, zijn in dit verband ideaal voor het optimaliseren van de gemiddelde reactietijd (MTTR).
Fase 5: Het effectief neutraliseren
Wanneer een incident gekwalificeerd en onderzocht is, zijn direct maatregelen nodig om schade te voorkomen. Voor bepaalde bedreigingen zoals ransomware of gehackte privileged useraccounts telt elke seconde. Voor een optimale gemiddelde reactietijd (MTTR) zijn gemakkelijke toegang tot incident responsprocessen en -informatie cruciaal.
Fase 6: Het herstellen van de aangetaste omgeving
Zodra het incident is geneutraliseerd en de risico’s onder controle zijn, kan een organisatie starten met volledig herstel. Deze inspanningen zijn minder tijd-kritisch en afhankelijk van de scope van het incident. Voor een effectief herstel hebben securityteams toegang nodig tot alle forensische informatie rond de onderzoeks- en incident responsprocessen. Dat omvat tevens het bijhouden van iedere wijziging tijdens de incident responsactiviteiten. Veel herstel-gerelateerde processen kunnen profiteren van automatisering, Daarnaast is het raadzaam om tijdens het herstelproces maatregelen te treffen om te voorkomen dat een bedreiging terugkeert.
Automatisering biedt vooral een antwoord op het risico van ‘meldingsmoeheid’
Verlagen van risico’s
Door een Threat Lifecycle Management-aanpak kan een organisatie zijn risico’s verlagen door snellere en effectievere detectie en respons. Daarbij wordt het automatiseren van workflows die zich richten op die detectie en respons steeds belangrijker. Automatisering biedt vooral een antwoord op het risico van ‘meldingsmoeheid’. Securityprofessionals krijgen steeds meer alerts te verwerken, waardoor de kans toeneemt dat ze niet meer scherp opletten. Met een solide TLM-aanpak zijn deze en andere risico’s te vermijden en biedt het zo een stevige basis voor een organisatie om de volwassenheid op securitygebied continu te versterken.
Rob Pronk. Rob is Regional Director Continental Europe voor LogRhyth
– Alles over cybersecurity
– Cyberdreigingen en beveiligingskansen in 2019
– Is er maatschappelijk draagvlak voor sensing?
Abonneer je nu op de gratis nieuwsbrief van Security en ontvang elke donderdagochtend relevante berichten en artikelen eenvoudig in je mailbox. Mis dit niet!