blogbanneimg
March 23rd 2018

Cyberdreiging in beeld

Cyberaanvallen komen steeds vaker voor en worden daarbij steeds zwaarder en geavanceerder. Van security-professionals wordt daardoor meer gevraagd dan alleen de aanval stoppen. Ze moeten daarnaast een zo compleet mogelijk beeld krijgen van zowel de aanval als de aanvaller(s). Wie zit erachter, welke methodes en tools zijn gebruikt en is het überhaupt mogelijk een dader aan te wijzen?

 

De antwoorden op deze vragen zijn van belang omdat ze niet alleen zorgen voor het sneller kunnen stoppen van een cyberaanval of het sneller identificeren van incidenten, het kan ook een beter beeld geven van mogelijke toekomstige dreigingen. Dat is echter makkelijker gezegd dan gedaan. Gelukkig zijn er tegenwoordig slimme security-tools beschikbaar die kunnen helpen om de juiste informatie te verzamelen en die inzichtelijk te maken.

 

Cyber Threat Hunting

Het in kaart brengen van cyberdreigingen is het werkterrein van de Cyber Threat Hunter. Dit is een analist die proactief door data, netwerkstromen en online bronnen speurt om mogelijke dreigingen te detecteren en te isoleren. Het gaat dan met name om zaken die niet opgepikt worden door bestaande maatregelen zoals firewalls, Intrusion Detection Systems (IDS), en Security Information & Event Monitoring (SIEM)-systemen. Dit kan een handmatig proces zijn, waarbij de security-analist allerlei data doorspit om zo mogelijke hypotheses over potentiële dreigingen te vormen. Het kan echter effectiever en efficiënter door hiervoor slimme tooling in te zetten en een deel van het speuren naar dreigingen kan geautomatiseerd worden.

 

Slimme tooling

Een tool om allerlei informatie te verzamelen over security-incidenten is Raven. Deze intelligente tool is op basis van de verzamelde data en door middel van machine learning-modellen steeds beter in staat is om afwijkend netwerkverkeer te herkennen. Door dergelijke slimme, zelflerende monitoring te gebruiken worden er steeds minder false positives gemeld en komen er alleen alerts voor zaken die echt interessant zijn om verder te onderzoeken.

 

Vervolgens kan de threat hunter deze ‘alerts’ verder onderzoeken en verdacht gedrag in de gaten houden. Dit jagen op dreigingen is een continu en herhalend proces, waarbij steeds met een hypothese begonnen wordt.

 

De hypothese kan bijvoorbeeld gevoed worden vanuit een analyse van systemen, gedrag van medewerkers of (externe) threat intelligence feeds. Toch zal de threat hunter nog steeds veelal handmatig data moeten doorspitten, analyseren en lijntjes en verbanden leggen tussen alle gegevens.

 

Daarna worden diverse tools gebruikt om verder onderzoek te plegen, op zoek naar nieuwe hackingtools, technieken en werkwijzen (TTP – Tools, Techniques, Procedures). Deze nieuwe data wordt toegevoegd aan de bestaande data, die daarmee verrijkt wordt. Zo wordt de hypothese verder aangescherpt en start de cyclus weer opnieuw, net zolang tot er een compleet beeld is.

 

Visualisatie

Datavisualisatie kan enorm helpen om gegevens over cyberdreigingen inzichtelijk te maken. Met Marija, de big data visualisatie- en verkenningstool van DutchSec, is het heel eenvoudig om verbanden tussen data uit diverse bronnen in één keer zichtbaar te maken. Door meerdere datastromen te gebruiken, denk aan threat intelligence feeds, live data vanuit honeypots en ‘alerts’ uit monitoring- en detectie-tools, kan er op basis van zoektermen een helder beeld gevormd worden.

 

Door deze verbanden te leggen krijgen de verschillende gegevens context. En gecombineerd met slimme filtering is het bijvoorbeeld mogelijk om veel sneller verbindingen tussen domeinen, IP-adressen, e-mailadressen of zelfs Twitterfeeds en Blockchain-data te zien.

 

Daarmee kan het vormen van het zo onmisbare beeld van een aanvaller of een netwerk achter een malafide e-mail nog sneller en makkelijker plaatsvinden. En het verzamelen van de juiste gegevens kan bovendien helpen om in het vervolg hun patronen en werkwijzen sneller te herkennen. Zo kan een IP-adres of domeinnaam uit één onderzoek bijvoorbeeld ineens verschijnen bij een ander onderzoek, wat kan duiden op dezelfde aanvaller(s) of een nieuw spoor opleveren, dat naar de aanvallers kan leiden.

 

Die data kan vervolgens weer gebruikt worden bij het aanscherpen van de eerder gevormde hypothese, door die van nog meer context te voorzien. Daarmee kan de threat hunter sneller in de juiste richting zoeken zonder daarvoor eerst door bergen droge data te moeten spitten.

 

Data durven delen

Samenwerking kan enorm effectief zijn bij threat hunting. Niet alleen wordt er meer gezien, de kans is ook kleiner dat er iets over het hoofd wordt gezien. Die samenwerking hoeft overigens niet binnen hetzelfde team of organisatie plaats te vinden. Juist het tussen organisaties en teams delen van informatie is van grote waarde. Een aanval die voor de één partij nieuw is, kan voor een ander al bekend zijn. Deelt diegene de data, dan scheelt dat de ander veel tijd en werk, en de aanval kan ook sneller gestopt worden.

 

Het delen van informatie kan op verzoek of proactief gebeuren in een soort database waarin aanvallen en defensieve maatregelen worden verzameld. Deze kennis, beschikbaar voor de threat hunters, zorgt voor meer weerbaarheid voor iedereen.

 

Een voorbeeld van wat het delen van data op kan leveren is de DDoS-aanval op Dyn in 2016, met het Mirai-botnet. Geen enkele organisatie had op zichzelf de kennis en vaardigheden in huis om dit botnet te onderzoeken, te monitoren en ook nog de aanval te stoppen. Totdat de krachten gebundeld werden. Opvallend was dat sommige organisaties directe concurrenten van elkaar waren. Toch kregen werknemers de ruimte om, omwille van het grotere belang, de ruimte om threat intelligence informatie te delen. Het werd zelfs gestimuleerd. Vooral de persoonlijke relaties tussen de verschillende threat hunters zorgden voor een goede samenwerking.

 

Persoonlijke relaties

Niet iedere organisatie heeft een heel team van onderzoekers beschikbaar of de beschikking over dure security-tooling en diverse ‘threat feeds’. Toch zou elk bedrijf dat de beveiliging van zijn netwerk en systemen belangrijk vindt, relaties moeten aangaan en samenwerken met andere security-teams binnen hun vakgebied.

 

Natuurlijk kost dit veel tijd en inspanning, en het vereist bovendien een hoog niveau van vertrouwen. Zeker als het om een directe concurrent gaat, is samenwerking niet vanzelfsprekend. Een samenwerking kan natuurlijk ook op een natuurlijke manier tot stand komen, bijvoorbeeld als twee security professionals informeel tijdens een vakbeurs of ander evenement van gedachten wisselen en informatie uitwisselen, ongeacht of hun bedrijven vergelijkbare diensten en producten verkopen.

 

Basisregels

Zolang je een paar basisregels hanteert bij het delen van informatie over cyberdreigingen zijn de risico’s nihil. Sterker nog, het levert vaak gewoon voordelen op voor iedereen.

Informatie delen is geen liefdadigheidswerk. Het doel is om cyberdreigingen sneller in beeld te brengen en aanvallen sneller te stoppen. Als een hele industrie onderling data deelt en niemand opnieuw het wiel hoeft uit te vinden, profiteert iedereen.

 

Informatie delen gaat niet alleen over het melden van een datalek of inbraak in systemen. Organisaties moeten zo vroeg mogelijk data delen, liefst nog voordat een incident plaatsvindt. Een voorbeeld hiervan is het delen van data over verdachte activiteit op het netwerk.

 

Het delen van data over exploits en kwetsbaarheden met andere organisaties is goed zolang je maar geen persoonlijke of gevoelige gegevens deelt, zoals e-mailadressen van slachtoffers of wachtwoorden. De gegevens die meestal gedeeld worden zijn bijvoorbeeld verdachte url’s, domeinnamen, IP-adressen of hashes.

 

Het systeem om informatie te delen moet gebruiksvriendelijk zijn en gekoppeld kunnen worden aan de bestaande systemen en workflow van een Security Operations Center (SOC), theat hunting team of fraude-afdeling. Een open source oplossing ligt dan voor de hand, ook omdat alle aangesloten partijen dan kunnen meewerken aan de verdere ontwikkeling.

 

Toegegeven, het vraagt nog veel van een organisatie om al het bovenstaande voor elkaar te krijgen. Lukt het echter om het gebruik van slimme tooling te combineren met goede datavisualisatie en het vertrouwen om data te delen met andere bedrijven, dan zijn de voordelen enorm. Niet alleen met het oog op kostenbesparing, maar zeker ook als het gaat om het in beeld brengen van cyberdreigingen.