Een nieuw rapport van F-Secure stelt vast dat bijna 80 procent van de incident respons onderzoeken begint nadat de beveiligingsperimeter van een bedrijf is overschreden. En dat is niet alles, maar zo’n 13 procent van de onderzoeken wordt uitgevoerd als gevolg van ‘valse alarmen’, waarbij bedrijven tijd en geld investeren in de poging om de aanval te stoppen in plaats van IT-problemen op te lossen.
De uitdaging van het detecteren van beveiligingsincidenten is een bekend probleem. F-Secure Chief Security Officer Erka Koivunen merkte in een blogartikel op dat studies heel andere schattingen geven over hoe lang het duurt voordat bedrijven overtredingen detecteren en dat verschillende bekende overtredingen gedurende meer dan een jaar onopgemerkt zijn gebleven. En in veel gevallen leren bedrijven over inbreuken van derden in plaats van hun eigen detectiemogelijkheden.
Maar dé vraag is hoe bedrijven de uitdaging aan kunnen gaan? Incident detectie vereist namelijk gespecialiseerd personeel, hulpmiddelen en processen, die de cyberbeveiligingsmiddelen van een organisatie aanzienlijk kunnen belasten. Gezien deze potentiële kosten, is het geen verrassing dat het een pijnpunt is dat bedrijven graag uit de weg gaan.
Maar het steeds evoluerende bedreigingslandschap in combinatie met toegenomen publieke en regelgevende controle (GDPR bijvoorbeeld) van bedrijven die niet bereidheid zijn om te reageren op incidenten, betekent dat bedrijf het detecteren van incidenten niet kunnen negeren.
Hieronder een aantal van de uitdagingingen die bedrijven tegenkomen als het gaat om incident detectie:
Het bewijs van een schending zit in de gegevens, dus verzamel verstandig
Het detecteren van beveiligingsincidenten is meer dan een raadspel. Je hebt bewijs nodig waaruit blijkt dat er iets mis is. En je wilt niet wachten tot je er in de krant over leest of een bericht krijgt van een aanvaller die je gegijzelde gegevens vasthoudt in ruil voor losgeld.
Logs zijn een waardevolle bron van bewijs en worden op grote schaal gebruikt in IR-onderzoeken. Je wilt dus een systematische aanpak volgen voor het verzamelen en bewaken van logs vanuit jouw hele organisatie. Je wilt ook ander bewijsmateriaal verzamelen. Wat dat precies is, is afhankelijk is van jouw organisatie, infrastructuur, bedreigingsmodel en andere factoren.
Je wilt ook voorkomen dat je teveel gegevens verzamelt, omdat de hoeveelheid snel overweldigend kan worden (hier kom ik verderop in het artikel op terug).
Het filteren van gegevens kan pijnlijk zijn, maar is noodzakelijk
Wat doe je met alle verzamelde gegevens? Je moet het filteren voordat het je iets nuttigs zal vertellen.
Ervan uitgaande dat je voldoende gegevens verzamelt om genoeg inzicht in jouw netwerk te krijgen, krijg je miljoenen events te verwerken. Het personeel van het Rapid Detection Center van F-Secure – die de Rapid Detection Service van F-Secure beheert – verzamelde bijvoorbeeld zo’n 2 miljoen gebeurtenissen een maand na het installeren van 1300 sensoren bij een klant.
Na het verwijderen van de goedaardige events bleven er ongeveer 900.000 gebeurtenissen over. Na een uitgebreid proces van verrijking, correlatie en analyse werden 25 verdachte gebeurtenissen geïdentificeerd. Vervolgens ontdekten we samen met de klant door handmatige analyse dat 15 van die 25 gebeurtenissen echt bedreigend waren.
Hierbij is het belangrijk op te merken dat de Rapid Detection Service van F-Secure een specifieke oplossing is voor incident detectie en -respons en door F-Secure is geconfigureerd om alleen events met betrekking tot potentiële bedreigingen te verzamelen. Voor organisaties die de interne resources hier niet voor hebben, is het makkelijker om zichzelf kwijt te raken in gegevens zonder de juiste tools of expertise (iets dat schaars is over de hele wereld) om deze te doorzoeken.
Maar als het goed wordt gedaan, houden organisaties een klein, beheersbaar aantal events over die vragen om meer actie.
Onregelmatigheden zijn slechts aanwijzingen, dus wees klaar om ze door het konijnenhol te volgen
Dus waar kijk je naar? Alles wat ongewoon is, kan een potentiële zorg zijn. Afwijkingen die wijzen op een aanval kunnen een gebruiker zonder admin rechten zijn die probeert toegang te krijgen tot meerdere servers, een groot aantal inlogpogingen in een kort tijdsbestek, een activiteit die plaatsvindt op vreemde tijden en meer. Je moet de logs ook vergelijken met threat intelligence feeds om eventuele indicatoren van een schending te vinden (zoals het vinden van activiteiten van bekende kwaadaardige IP’s bijvoorbeeld).
In een perfecte wereld zou een nader onderzoek van deze mogelijk bedreigende events snel en gemakkelijk te verklaren zijn. Bijvoorbeeld door iemand die nog laat aan het werk is, zijn wachtwoord vergeten is of een netwerkfout veroorzaakt door een recente update.
Maar in de echte wereld zullen sommige van deze events daadwerkelijke veiligheidsincidenten zijn. En hoewel de manier waarop een organisatie reageert op incidenten als een apart probleem kan worden gezien, benadrukt F-Secure Principal Security Consultant Tom Van de Wiele dat effectieve detectie van incidenten de mogelijkheid van een organisatie om te reageren op incidenten kan versterken – iets dat iedereen, van IT-beheerders, bestuursleden, CISO’s en CEO’s, zullen waarderen wanneer een crisis toeslaat.
“Elk incident responsproces begint met dezelfde vraag: is het een incident? Hoe snel een bedrijf dat kan bepalen, hoe soepel en efficiënt hun processen en procedures zijn, de kwaliteit van hun forensisch onderzoek en technologie en hoe goed hun personeel opgeleid is, bepalen de kosten van het antwoord op die vraag,” zegt Tom. “Als een organisatie de feiten eenmaal heeft gebaseerd op detectiemogelijkheden en niet op geruchten of aannames, dan kan het proces doorgaan met de volgende stap die meestal insluiting en uitroeiing is.”
Categorieën