Een algemene regel in welke vorm van oorlogsvoering dan ook, is; ken het doelwit! Cruciaal voor zowel aanvallers als verdedigers. Aanvallers moeten weten wat ze moeten aanvallen om hun doel te bereiken, en daarom voeren ze tijdens een aanval verkenningen uit. Verdedigers moeten weten waar hun kroonjuwelen liggen, in geval Cyber Security, hun meest waardevolle en risicovolle IT-middelen en gegevens, zodat ze weten waar ze hun beveiligingsuitgaven en -inspanningen op moeten richten. Voor pentesters en SOC-analisten is weten waar aanvallers zich op richten en waarom, essentieel om de organisaties waar we voor werken te helpen hun weerbaarheid te verbeteren.
Als onderdeel van elk Endpoint Detection and Response of Managed Detection and Response dienst, werken SOC-analisten met jou samen om een SIEM (Security Information and Event Monitoring) te implementeren. Een SIEM kan echter niet effectief werken om potentiële bedreigingen te detecteren die op een cyberaanval kunnen duiden, tenzij het goed is geconfigureerd. Daarvoor moeten we eerst weten op welke IT-middelen aanvallers zich zullen richten en hoe ze dat waarschijnlijk zullen doen.
Omdat dit voor elke klant anders is, vereist het configureren van een SIEM een samenwerkingsproces dat net zo goed steunt op de expertise van SOC-analisten in het kennen van de veranderende trends in aanvalstechnieken, als op de voorkennis van de klant van hun IT-omgeving en gebruikersgedrag.
Hoe werkt het in praktijk?
Dit samenwerkingsproces is sterk afhankelijk van informatie over bedreigingen. Informatie over bedreigingen omvat gedetailleerde, bruikbare informatie die de motieven, doelwitten en aanvalsgedragingen van bedreigingsactoren beschrijft. Nog belangrijker is dat deze informatie voortdurend wordt bijgewerkt en dus een cruciale rol speelt in de wapenwedloop tussen aanvallers en verdedigers.
De cyberbedreigingen waarmee jouw organisatie te maken krijgt, worden (deels) bepaald door de branche waar je in zit. Een wereldwijde bank die dagelijks miljoenen transacties verwerkt via meerdere complexe, onderling verbonden netwerken, krijgt te maken met andere aanvalstechnieken en aanvallers dan een bakkerij in een familiebedrijf. Dit komt door de omvang en complexiteit van hun IT-landgoed en de waarde van de gegevens die ze opslaan.
En deze aanvalstechnieken staan zeker niet stil. Neem bijvoorbeeld ransomware: dit was ooit voorbehouden aan de meest geavanceerde aanvallers die het gebruikten om Enterprise-organisaties voor minimaal miljoenen aan te vallen, maar het werd beschikbaar voor minder slimme aanvallers naarmate de tools die gebruikt worden om ransomware-aanvallen uit te voeren meer geautomatiseerd en breder beschikbaar werden. Omdat er minder tijd, moeite en kosten nodig waren om een ransomware-aanval op te zetten, verschenen er meer ransomware-groepen die hun aandacht konden richten op kleinere slachtoffers, die kleinere, maar nog steeds aanzienlijke bedragen opbrachten, maar op grotere schaal. Dit ontwikkelde zich tot Ransomware-as-a-Service (RaaS), waarbij ransomware-groepen hun diensten op het dark web contracteerden voor een fractie van het totale bedrag.
Deze verschuiving, samen met vele andere, heeft de risico's waarmee veel bedrijven te maken hebben drastisch veranderd. Deze veranderingen in trends door de tijd heen laten zien waar SOC-analisten hun expertise en ervaring kunnen gebruiken - ondersteund door geloofwaardige informatie over bedreigingen - om klanten te helpen op de juiste manier te reageren op de bedreigingen waarmee ze nu en morgen worden geconfronteerd.
Waar zijn jouw kroonjuwelen?
De volgende stap is kijken naar hoe het IT-landgoed van jouw organisatie is gestructureerd en hoe het wordt gebruikt. Dit stelt jou (en de SOC-analist) in staat om te begrijpen wat je probeert te beschermen en waarom. Om dit te doen, moet je jezelf eerst afvragen:
- Welke IT-middelen en gegevens hebben voor jouw organisatie de hoogste waarde?
- Welke bedrijfsmiddelen vormen het grootste risico voor jouw organisatie?
Er zijn een aantal manieren om dit te bepalen:
- Bedenk waar jouw gevoelige persoonlijke gegevens en/of financiële gegevens zijn opgeslagen. Hoe hebben gebruikers en gebruikersgroepen toegang tot deze gegevens?
- Bedenk welke bedrijfsmiddelen de grootste verstoring van de bedrijfscontinuïteit zullen veroorzaken als ze worden aangetast, bijvoorbeeld belangrijke diensten en systemen die medewerkers nodig hebben om hun dagelijkse werk uit te voeren.
- Bedenk welke bedrijfsmiddelen de grootste financiële risico's en kosten voor jouw organisatie veroorzaken als ze worden aangetast, bijvoorbeeld belangrijke diensten en producten die klanten gebruiken.
- Denk na over eventuele compliance-verplichtingen, zoals AVG, of sectorspecifieke regelgeving zoals DORA of PCI DSS, en de gevolgen waarmee je te maken krijgt als je niet aan de regels blijkt te voldoen of als er sprake is van een datalek.
Vergeet niet dat de bedrijfsmiddelen met de hoogste prioriteit en de bedrijfsmiddelen met het hoogste risico niet altijd hetzelfde zijn. Ook hier is samenwerking met de door jou gekozen beveiligingspartner een best practice: jouw kennis van de IT-omgeving is als een landkaart van het gebied, terwijl de expertise van een SOC-analist aangeeft waar een aanvaller naartoe zal gaan en hoe hij het gebied zal doorkruisen.
Wat laat je ze doen?
Je moet niet alleen kijken naar de aard van de middelen zelf, maar ook naar hoe ze worden gebruikt, om te bepalen of ze een waarschijnlijk doelwit voor aanvallers zullen zijn. Zelfs als twee organisaties identieke IT-middelen hebben, zullen ze waarschijnlijk verschillend gebruikersgedrag vertonen, omdat sommige bedrijven een strenger of lakser beveiligingsbeleid hebben. Dit is uniek voor elke organisatie: we moeten een balans zien te vinden tussen wat wordt beschouwd als best practice voor cyberbeveiliging en de praktische bruikbaarheid of het ontwerp van IT-systemen voor hun gebruikers.
Bedenk wat de gemiddelde gebruiker in jouw IT-omgeving kan openen en wijzigen, en wat gebruikers op admin-niveau kunnen openen en wijzigen. Ga ook na of er applicaties binnen de IT-omgeving zijn waarmee gebruikers toegang hebben tot bestanden en databases die mogelijk nuttige informatie bevatten voor aanvallers. Dit zal je helpen te begrijpen welke gebruikersgroepen het grootste risico lopen om het doelwit te worden (bijvoorbeeld als onderdeel van een phishing-campagne) en waar aanvallers naartoe zullen gaan om hun privileges te escaleren.
Gemeenschappelijke noemers vinden
Niemand is speciaal: uiteindelijk zijn er gemeenschappelijke kenmerken die het gedrag van aanvallers bij cyberaanvallen met elkaar verbinden. Daarom bestaat de MITRE ATT&CK-matrix; deze creëert een gemeenschappelijk kader voor het in kaart brengen van de gebruikte aanvalstechnieken, de bedrijfsmiddelen die het doelwit zijn en de mitigaties die je kunt implementeren om deze kwetsbaarheden te beveiligen. Aanvallers maken gebruik van een aantal tactieken, technieken en procedures die in de MITRE ATT&CK Matrix worden beschreven om hun doel te bereiken. Maar meer specifiek weten we dat er bepaalde beveiligingscontroles zijn die ze moeten omzeilen en systeemprocessen die ze moeten gebruiken of hacken wanneer ze hun toegangsprivileges proberen te escaleren. Dit kan argwaan wekken, omdat bepaalde acties gebeurtenissen triggeren die door jouw SIEM worden opgepikt en als verdacht worden beschouwd. (Nogmaals, informatie over bedreigingen vertelt ons dat dergelijke aanvalstechnieken voortdurend worden bijgewerkt, omdat aanvallers nieuwe manieren vinden om geen argwaan te wekken).
Dat brengt ons bij de belangrijkste taak die aan dit alles ten grondslag ligt.
Logs, waarschuwingen en verfijning van detectieregels
Jouw SIEM zal patronen uit gegevens correleren om te bepalen of gebeurtenissen die worden gegenereerd door gebruikersgedrag en systeemprocessen als verdacht kunnen worden beschouwd. Om dit te kunnen doen, moet de SIEM loggegevens van jouw endpoints of netwerk als geheel vastleggen en analyseren. Beslissen welke gebeurtenissen moeten worden gelogd en van welke IT-middelen, is een essentieel onderdeel van het implementeren van een SIEM.
In een poging om zo grondig mogelijk te zijn en geen potentiële risico's te missen, beweren sommige klanten dat ze alles willen loggen. Dit is echter een veelgemaakte fout. Het creëert twee problemen:
- Het verhoogt de kosten van de SIEM
- Het overspoelt het SOC-team met veel vals-positieve waarschuwingen.
Meldingen kunnen worden gegenereerd door volkomen normale gebruikersactiviteiten, zoals een gebruiker die een nieuwe laptop krijgt of iemand die zijn webbrowser bijwerkt. Deze “verdachte activiteiten” duiden niet altijd op een cyberaanval. De keerzijde is dat niet elke aanval een verdachte gebeurtenis veroorzaakt. Het doel van aanvallers is om zo lang mogelijk zo heimelijk mogelijk te blijven, vooral wanneer ze hun toegangsprivileges proberen te escaleren naarmate ze dichter bij hun doel komen. Wanneer je jouw SIEM inzet, kun je in nauwe samenwerking met jouw gekozen beveiligingspartner een methodisch proces doorlopen om te beslissen welke logs je nodig hebt en waarom.
Maar deze activiteit is niet eenmalig tijdens de eerste SIEM-configuratie. Aan het begin van de SIEM-implementatie is het onvermijdelijk dat er een heleboel vals-positieve waarschuwingen worden gegenereerd door onschuldig gebruikersgedrag. Maar wanneer deskundige SOC-analisten vals-positieve waarschuwingen ontvangen, moeten ze met je samenwerken om te begrijpen waarom het een geldige waarschuwing is of waarom het geen geldige waarschuwing is - dat is de crux van het optimaliseren van een SIEM Dit heeft twee voordelen:
- SOC-analisten kunnen de detectieregels verfijnen om het aantal vals-positieve waarschuwingen te verminderen en zo een nauwkeuriger detectiecapaciteit creëren, opgebouwd rond jouw IT-omgeving en de gebruikers ervan.
- Beveiligingsdeskundigen kunnen samen met jou bepalen welke acties je kunt ondernemen om ervoor te zorgen dat die vals-positieve meldingen niet meer voorkomen. Dit kan betekenen dat je jouw IT-beveiligingsbeleid en -procedures intern moet aanscherpen.
Uiteindelijk leidt deze fijnafstemming tot stapsgewijze verbeteringen in het beveiligingsbeleid en de beveiligingscontroles.
Stapsgewijze verbetering is de weg naar boven
Het probleem met het dilemma “kopen versus zelf bouwen” is dat “kopen” klinkt alsof je probleem meteen is opgelost. Tenminste, zo lijkt het voor degenen onder ons die niet in Cyber Security, IT- of risicomanagement werken. Vooral bij senior leadershipteams gaat het om duidelijke resultaten, niet om concurrerende waarschijnlijkheden en het frustrerende, alomtegenwoordige antwoord “het hangt ervan af”. De oplossing hiervoor is een mentaliteitsverandering van strikte afvinkpunten naar een wereld van geleidelijke, incrementele verbetering.
Bij Claranet werken we met je samen, door middel van onze maandelijkse rapporten en driemaandelijkse service reviews, om je te helpen jouw detectie- en reactievermogen te verfijnen en strengere beveiligingscontroles te implementeren die specifiek zijn voor jouw organisatie en de gegevens. Deze stapsgewijze verbeteringen verminderen uiteindelijk het risico en de impact van cyberaanvallen, zodat je jouw weerbaarheid in de loop der tijd kunt verbeteren, in een tempo dat voor jou werkt.
Als je meer wilt weten over hoe je jouw beveiliging kunt verbeteren en hoe je kunt reageren op een cyberaanval, neem dan contact op met onze experts via 088-6546500 of via onderstaand formulier