Cybercriminaliteit is in het criminele circuit populairder dan ooit. Er valt snel veel geld mee te verdienen. En DDoS-aanvallen, accountgegevens en phishing-panels zijn eenvoudig te koop op onder andere het dark web. De snelle toename van deze vorm van criminaliteit en het toenemend aantal slachtoffers hebben bedrijven en organisaties wakkergeschud: in 2021 wordt wereldwijd 150 miljard dollar geïnvesteerd in applicatiebeveiliging, identity & accessmanagement en andere cybersecuritymaatregelen (bron: Gartner).
tekst Chris de Meijer
De investeringen zijn een enorme stap vooruit. Maar criminelen blijven inventief en op zoek naar nieuwe technieken op het gebied van cybercriminaliteit. Hoe zorgen we voor een proactieve aanpak van cybercriminaliteit zodat we cybercriminelen een stap voorblijven? Dat valt te realiseren door, naast monitoring en incident response, een proactieve aanpak toe te passen genaamd Cyber Threat Hunting.
> LEES OOK: Cybercentrum stelt lijst op van kwetsbare apps door ernstig lek
Strategisch niveau
Waar de meeste cybersecurity-activiteiten zich momenteel op het operationele en tactische niveau afspelen, is een strategische blik op cybersecurity onmisbaar. Door uit te zoomen vanuit een klein incident en deze als een datapunt te beschouwen, kunnen grotere trends, verdachte afwijkingen en toekomstige relevante dreigingen in kaart worden gebracht. Op deze manier kun je op jacht gaan naar verborgen patronen, relaties en uiteindelijk cyberdreigingen.
Specifieke inlichtingenbehoefte
Bij Cyber Threat Hunting wordt data gecombineerd afkomstig uit interne en externe bronnen, zowel gestructureerde als ongestructureerde data. De gegevens kunnen afkomstig zijn van bijvoorbeeld netwerkmonitoringtools (zoals WireShark), SOC/SIEM-applicaties, digitaal-forensische data, maar ook van Open Source Intelligence (OSINT). OSINT produceert gegevens op basis van openbaar beschikbare informatie. De data worden gedurende een bepaalde tijdsperiode verzameld, geanalyseerd, gerapporteerd en verspreid onder een passend publiek met het oog op een specifieke inlichtingenbehoefte. Door deze data samen te voegen, te visualiseren, te analyseren en te rapporteren, kan context worden geboden aan incidenten. En worden verborgen verbanden ontdekt en trends in beeld gebracht. Deze nieuwe methode kan toegepast worden om toekomstige aanvallen te voorspellen en hier inzicht in te krijgen. En daarmee de cybercrimineel de pas af te snijden. Cyber Threat Hunting versterkt de cybersecuritystrategie van een organisatie van binnenuit.
Voorbeeld
Middels het onderstaande voorbeeld wordt toegelicht hoe het proactief monitoren van open bronnen zoals het dark web, een organisatie kan helpen bij het voorkomen van een cyberincident.
Bij een van uw leveranciers is een datalek geweest. Het datalek is opgemerkt door (cyber)criminelen en persoonsgegevens zijn buitgemaakt. De inkoopafdeling van uw bedrijf heeft bij deze leverancier een online account waar het bedrijfsmailadres en een wachtwoord zijn achtergelaten. De buitgemaakte inloggegevens worden vervolgens door de cybercriminelen te koop aangeboden op het dark web. Eenmaal verkocht kan deze informatie door de kwaadwillende kopers gebruikt worden om in uw bedrijfssystemen in te loggen. De kans dat het buitgemaakte wachtwoord op meerdere plekken wordt gebruikt, is namelijk groot. Mocht de hack inderdaad succesvol zijn, dan kan de cybercrimineel ongestoord waardevolle informatie vergaren. Zo kunnen securitygegevens, bedrijfsprocessen en data worden buitgemaakt met alle gevolgen van dien.
Dark web
In een situatie zoals hierboven omschreven kan een incident elders dus op den duur de continuïteit van de eigen organisatie in gevaar brengen. Door proactief handelsplaatsen (zoals het dark web) van criminelen te monitoren, had opgemerkt kunnen worden dat persoonsgegevens in het netwerk van het eigen bedrijf waren buitgemaakt en te koop aangeboden. Dit is dus een mogelijke bedreiging voor de organisatie. Ook het monitoren van eigen data (zoals mailadressen) had kunnen helpen de dreiging te signaleren.
Voor vergaren, analyseren en rapporteren zijn data-oplossingen die het zoekproces vereenvoudigen
Cyber Threat Hunting biedt organisaties een uitgelezen kans om uit grote hoeveelheden datasets zogenaamde indicators of compromise te filteren. Het is echter een onmogelijke klus voor corporate onderzoekers, cybersecurityspecialisten en analisten om dit handmatig uit te voeren. Gelukkig zijn er voor het vergaren, analyseren en rapporteren data-oplossingen die dit proces vereenvoudigen.
Naast informatie afkomstig van eigen netwerkmonitoringtools en SOC/SIEM-installaties, is het van toegevoegde waarde om data te verrijken met informatie afkomstig van externe open bronnen. OSINT (Open Source Intelligence) en SOCMINT (Social Media Intelligence) zijn dan ook een belangrijke toevoeging geworden voor informatie- en datavergaring, evenals open source threat feeds.
Juistheid en betrouwbaarheid discutabel
Maar voor het vergaren van bruikbare informatie voor cybersecurity volstaat helaas een simpele zoekterm in een zoekmachine niet. Dit komt doordat niet alle informatie zichtbaar is in een zoekmachine, doordat de juistheid en betrouwbaarheid van data discutabel kunnen zijn. En doordat gegevens op het internet dynamisch en vluchtig zijn. Daarbij wordt er binnen Threat Intel vaak gebruikt gemaakt van licenties of API’s. Gelukkig zijn er in de markt verschillende tools aanwezig die kunnen helpen om op een anonieme en veilige manier data te vinden, te verzamelen en snel te duiden. Met inachtneming van de wet- en regelgeving (zoals GDPR) en afbreukrisico’s. Vaak wordt er gekeken naar actoren, de modus operandi en de daarbij behorende IP-adressen, domeinen of signatures. Niettemin is het ook mogelijk om de andere kant hiervan te belichten, door te kijken naar de eigen data, zoals in het voorbeeld is geschetst.
> LEES OOK: “Het is Koude Oorlog op cybergebied”
Dark web en telegram
Het is mogelijk om met behulp van gespecialiseerde technologie gelekte databases te doorzoeken op informatie die gerelateerd is aan het eigen bedrijf en zo op veiligere wijze het dark web en populaire apps bij criminelen (onder andere Telegram) uit te kammen in de zoektocht naar waardevolle gegevens en mogelijke dreigingen. Deze tools zijn speciaal ontworpen om afbreukrisico’s te beperken en de veiligheid van de eigen organisatie te garanderen. Zowel Telegram als het dark web zijn plekken waar criminelen openlijk (maar wel anoniem) handel drijven in bijvoorbeeld gestolen data en verboden middelen. Naast de rol als marktplaats worden er op Telegram ook regelmatig oproepen geplaatst om criminele activiteiten uit te voeren.
Cyber Threat Hunting
Cyber Threat Hunting is de jacht op cyberdreigingen. Het is een activiteit op het gebied van cyberverdediging, oftewel het proces van proactief en iteratief zoeken in netwerken om geavanceerde bedreigingen te detecteren en te isoleren die bestaande beveiligingsoplossingen omzeilen.
Visualisatie en analyse
Is eenmaal een hoeveelheid data verzameld, afkomstig uit zowel interne als externe bronnen, dan valt het niet mee deze informatie om te zetten naar bruikbare informatie. Om de grote hoeveelheid gegevens uit verschillende databronnen beter te kunnen interpreteren, helpt het de verzamelde data te structureren, samen te brengen en vervolgens te visualiseren. Ons brein verwerkt namelijk beelden zo’n 60.000 keer sneller dan tekst (onderzoek van MIT). Met behulp van datavisualisaties middels relatieschema’s, heat maps en tijdlijnen voor visuele interpretatie worden trends zichtbaar, springen verdachte afwijkingen in het oog en zijn toekomstige dreigingen te signaleren.
Ook voor deze stap in Cyber Threat Hunting, zijn verschillende tools beschikbaar in de markt. Deze tools bieden vaak add-ons zodat data afkomstig van open bronnen, SOC/SIEM-applicaties en forensische extracties van bijvoorbeeld een bedrijfslaptop, kunnen worden samengebracht. Hierdoor krijgen cybersecurity-experts, analisten en onderzoekers in een oogopslag inzicht in relationele netwerken. En wordt het risico op het missen van afwijkende patronen en verborgen connecties geminimaliseerd. De analysetools kunnen bijvoorbeeld worden ingezet om IP-adressen te identificeren waar vandaan scans komen en om mogelijke malicious domains bezocht door medewerkers, te signaleren en te blacklisten. Bovendien kunnen de data omgevormd worden tot een tijdlijn, zodat trends gedurende een bepaalde tijdsperiode zichtbaar worden.
> LEES OOK: Al ruim 6.000 bedrijven gebruikten de Risicoklassenindeling Digitale Veiligheid
Rapporteren
Tot slot is het belangrijk om de bevindingen snel en op juiste wijze te rapporteren. Hierbij is het van belang te zorgen dat de bevindingen eenduidig te interpreteren zijn en onderbouwd worden met de belangrijkste visualisaties. Op basis hiervan kunnen security-teams en management snel handelen.
Datalekken, hacks, breaches en andere cyberdreigingen zijn nooit helemaal te voorkomen.
Toch kan een proactieve aanpak met Cyber Threat Hunting het verschil maken. Het geeft inzicht in de omgeving van het bedrijf, zorgt ervoor dat het hele netwerk in kaart wordt gebracht, maakt het monitoren van cyberdreigingen bij de bron mogelijk en brengt kwetsbaarheden in de eigen security-omgeving in beeld.
Chris de Meijer is onderzoeker en OSINT-specialist bij DataExpert
– Data & analytics: businessvraagstuk voor het veiligheidsdomein
– Bedrijven nemen steeds meer cybersecuritymaatregelen
– Op weg naar een volwassen cybersecurity
Volg Security Management op LinkedIn