Gerichte cyberaanvallen detecteren: het belang van context
Gerichte aanvallen werken slim. Zo omzeilen ze vaak de preventieve beveiligingslagen die bedrijven hebben geïmplementeerd. Het kost gemiddeld 100 dagen om een overtreding zelfs maar te detecteren. Antivirus-oplossingen kunnen fileless aanvallen waar geen kwaadaardig programma wordt uitgevoerd niet detecteren. Dergelijke aanvallen kun je alleen detecteren door naar gedrag te kijken.
Maar – hier komt het lastige deel – hoe onderscheid je kwaadaardig gedrag van de normale activiteit?
Hoe een echte gerichte aanval eruit ziet:
Case Gothic Panda van Mitre’s ATT & CK Framework
Het volgende voorbeeld laat zien hoe een geavanceerde en gerichte cyberaanval eruit ziet in het echte leven. De case bevat een advanced persistent threat (APT) groep die bekend staat als Gothic Panda uit de MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) kennisbank en model voor gedrag van cybertegenstanders. Het gedrag van deze APT-groep is goed gedocumenteerd en wordt gebruikt om netwerkbeveiliging en beveiligingsproducten te testen tegen specifieke bedreigingen.
De tegenstanders in dit geval proberen industriële intellectuele eigendommen en documenten te bemachtigen. De aanval van Gothic Panda kun je onderverdelen in drie hoofdfasen: eerste compromis, verspreiding door het netwerk en exfiltratie.
In de fase van het eerste compromis is het doel van de aanvallers een code te kraken en de controle te krijgen over een systeem binnen de doelomgeving.
In de tweede fase van verspreiding door het netwerk, proberen aanvallers doelwitsystemen binnen het netwerk te identificeren en te verplaatsen. Ze willen inloggegevens en documenten te bemachtigen.
In de exfiltratiefase verzamelen aanvallers de gegevens en comprimeren deze tot een gemakkelijk te verzenden pakket. Ze proberen de documenten te exfilteren door zich te verbergen in ander uitgaand netwerkverkeer. Afhankelijk van de defensieve opstelling is deze werkwijze onopvallender dan exfiltratie, doordat de aanvallers de documenten verstoppen in bestaande ruis en van bestaande tools gebruiken.
EDR Security detecteert incidenten die ertoe doen
De belangrijkste fase voor detectie is natuurlijk de eerste – voordat een aanvaller aanhoudender wordt en overgaat naar kritieke systemen. De meeste organisaties gebruiken een preventieve laag zoals endpoint-bescherming om commodity-malware te blokkeren. Toch kunnen gevorderde aanvallers onopgemerkt blijven met lage en langzame aanvallen en uiteindelijk een weg vinden rond de preventieve laag.
Dat is het moment waarop het facet detection en response in beeld komt.
Een endpoint detectie- en response (EDR)-oplossing implementeren, is een snelle manier om de capaciteit te vergroten voor het detecteren van en reageren op geavanceerde bedreigingen en gerichte aanvallen. Detectietechnologieën detecteren zeker verdachte gebeurtenissen, maar slagen er vaak genoeg niet in om ruis te onderscheiden van kritieke incidenten.
Volgens een EMA-studie uit 2017 meldt 79% van de beveiligingsteams dat ze overweldigd zijn door grote aantallen dreigingsmeldingen. In een middelgrote organisatie met 650 sensoren bijvoorbeeld, zijn er maandelijks gemiddeld één miljard gebeurtenissen, waarvan slechts tien detecties vereisen acties. Een hoogwaardige EDR-oplossing kijk naar de weinige incidenten die ertoe doen.
Context geeft individuele gebeurtenissen betekenis
De enige schaalbare oplossing die kan worden toegepast? De inzet van kunstmatige intelligentie en machine learning. Maar AI alleen is wel iets meer dan een geroemde false positive-generator. Wat nodig is, is de perfecte combinatie van cyberbeveiligingsdeskundigen en data science – mens en machine.
We moeten technologieën ontwikkelen die kunnen leren wat menselijke beveiligingsanalisten doen, maar dan in een razendsnel tempo – verbind de stippen en plaats gebeurtenissen in een totaalbeeld om een juist oordeel te vellen.
Dit totaalbeeld is context. Valse alarmen zorgen voor een flinke workload voor beveiligingsteams en verkleinen de kans op het ontdekken van werkelijke incidenten. Een percentage false positives van bijna nul bereiken, betekent dat je waarschuwingen in context moet plaatsen van gerelateerde gebeurtenissen om een oordeel te kunnen vellen. Afwijkende gebeurtenissen kunnen als onschadelijk worden gemarkeerd wanneer je het volledige beeld ziet – de context.
Onze whitepaper, Detecting Targeted Attacks with Broad Context Detection™, legt in detail uit waarom context alles is in cyberbeveiliging en hoe de brede contextdetectie van F-Secure werkt:
Categorieën