Stelt je eens voor: je krijgt als cio een telefoontje van een externe partij dat er verdacht verkeer is gesignaleerd tussen je bedrijfsnetwerk en een externe server. En dan blijkt tot je grote schrik dat er al meer dan zes maanden een aanvaller aanwezig is in het netwerk. Deze heeft al die tijd, ondanks de naar jouw idee up- to-date beveiligingsmaatregelen, kunnen rondneuzen in je end-points en data. Hoe kan dit voorkomen worden?
Een realistisch scenario, dat wij de afgelopen jaren in allerlei verschijningsvormen zijn tegengekomen bij organisaties die onze hulp nodig hadden bij aanvallen. Vaak zijn hier zero-day exploits en geavanceerde malware bij betrokken. En die worden niet gedetecteerd door de gangbare beveiligingsvoorzieningen, zoals antivirussoftware of intrusion detection systems. Hoe zijn dergelijke, vaak geavanceerde, aanvallen op te sporen? Dit kan via een analysemethode, vergelijkbaar met een due diligence-onderzoek. Dit is het boekenonderzoek, zoals dat plaatsvindt voorafgaand aan een bedrijfsovername, om vast te stellen of de aan de overnamepartij gepresenteerde informatie juist is.
Due diligence
Het is buitengewoon lastig dat bovengenoemde aanvallen door de meeste traditionele detectievoorzieningen niet worden ontdekt. Bovendien kan een aanvaller, als hij eenmaal toegang heeft tot het netwerk, bestaande accounts gebruiken om verder binnen te dringen. Dit soort ogenschijnlijk geoorloofd gedrag is nóg lastiger te detecteren of te voorkomen. Want vergeet niet dat de legitieme gebruikers gewoon moeten kunnen werken.
Een methode die zich inmiddels in de praktijk bewezen heeft, is het scannen van de it-infrastructuur op sporen van een inbraak, zonder dat er concrete aanwijzingen zijn dat er een inbraak heeft plaatsgevonden. Hierbij wordt gezocht naar informatie die wijst op afwijkingen van normale patronen. De voorwaarden voor een dergelijke benadering zijn dat de onderliggende data beschikbaar zijn (of komen) én dat specifieke kennis en ervaring van incidentafhandelingen en forensische analyses aanwezig is. Die kennis is aanwezig bij experts die weten op wat voor sporen en gedragingen ze moeten letten en toegang hebben tot de nieuwste informatie over oude en actuele bedreigingen en werkwijzen.
Juiste balans
Het onderzoek begint met het grondig scannen van de it-infrastructuur van een organisatie op sporen die kunnen duiden op oude of lopende aanvallen op systemen en/of gegevens. Daar hoort ook een forensische analyse bij van een breed scala aan gegevensbronnen, zoals kopieën van het netwerkverkeer en systeem- en applicatielogbestanden. Dat lukt natuurlijk alleen als die historische gegevens ook daadwerkelijk aanwezig zijn. De scope, de diepgang en de aandachtsgebieden voor het assessment zijn afhankelijk van de aard van de organisatie, de risico’s die de organisatie loopt en security-volwassenheid.
Het heeft niet veel zin breed uit te pakken bij een organisatie waar de security nog onvolwassen is. Beter is dan om te beginnen met de implementatie van specifieke (monitoring)technologie in de infrastructuur die wordt onderzocht. Het gaat dan bijvoorbeeld om hulpmiddelen voor het registreren en analyseren van netwerkverkeer en het opslaan van relevante informatie in logbestanden.
Zijdelingse bewegingen
De nadruk van het onderzoek ligt vooral op het signaleren van de zogeheten ’zijdelingse bewegingen’ van een aanvaller op het netwerk, aan de hand van afwijkingen van de gebruikelijke patronen. Overigens moet hierbij het spotten van meer voor de hand liggende zaken zoals malware-infecties en andere, minder gerichte aanvallen niet worden vergeten!
Dat is echter niet voldoende. Er is ook informatie nodig over de kenmerken van geavanceerde aanvallen en over de methodes die aanvallers gebruiken, de zogeheten threat intelligence.
Verdachte activiteit
We hebben de ervaring dat zo’n onderzoek gemiddeld vijf tot zeven weken duurt. In de eerste fase gaat het om het verzamelen van netwerkverkeer en logbestanden van de systemen. Gedurende een paar weken worden de data die dit oplevert opgeslagen. Vervolgens moeten deze data en andere relevante gegevens die beschikbaar zijn, zoals forensische schijfimages, logbestanden, et cetera, door experts geanalyseerd worden. Zij hebben de kennis en ervaring om te kunnen bepalen wat relevante aanwijzingen zijn en wat niet.
Deze analyse neemt gemiddeld twee tot drie volledige werkweken in beslag. De analyse levert dan een technische rapportage en een verslag voor het management van de organisatie. Als er externe experts worden ingeschakeld, is het verstandig om nauw samen te werken met het it-personeel, zodat er direct gereageerd kan worden op tekenen van verdachte activiteit.
Resultaten en voordelen
Het belangrijkste resultaat van de hierboven beschreven werkwijze is natuurlijk het antwoord op de vraag of er sprake is van een oude of lopende aanval. Er zijn echter meer voordelen! Door verzamelen van veel forensische informatie, plus de daarbij behorende analyse en de samenwerking met het it-personeel, ontstaat een breed inzicht in de diverse aspecten van je it-beveiliging. Het eindverslag zal daarom ook aanbevelingen kunnen bevatten op het gebied van algemene beveiliging en maatregelen voor het voorkomen, opsporen en afhandelen van incidenten. Een goed raamwerk voor de rapportage wordt gevormd door de Sans Critical Security Controls.
Verder kan deze aanpak vrij eenvoudig worden uitgebreid met een evaluatie van de ‘forensic readiness’, (forensische gereedheid) en/of een evaluatie van de security-volwassenheid. De aanpak kan dan dienen als startpunt voor de ontwikkeling van een nieuwe it-securitystrategie of voor het voortzetten en verbeteren van een bestaande strategie.
Uitdaging
De grootste uitdaging bij het opsporen van geavanceerde aanvallen is de evaluatie van de gegevens die te beveiligen it-infrastructuur oplevert. Er is weliswaar erg veel geautomatiseerd en er zijn talloze tools beschikbaar, maar de uitkomsten bevatten vaak enorme hoeveelheden ‘false positives’. Wat relevant is en wat niet door mensen moet worden geëvalueerd. Mensen die in staat zijn om uit talloze meldingen de échte aanwijzingen kunnen halen. Daar is erg veel praktijkervaring en kennis voor nodig, die maar zelden bij een organisatie voorhanden is. Het is, kortom, specialistenwerk.
Kevin Jonkers, manager forensics & incident response bij Fox-IT
Leuk artikel, wat ook de forensics laat zien na een cyberaanval.
Vooral het veiligstellen van de data na een cyberaanval is belangrijk, omdat dit essentieel is voor vervolging van de cybercriminelen.
Geen bewijs of data gewijzigd na inbeslagname (tampered), geen kans op vervolging.
Specialistisch werk, wat vaak zeer onderschat wordt.
Net als het testen van forensische software.