De waarde van een post mortem onderzoek na een cyberaanval
Hoe snel ontdekt u een cyberaanval?
11 september 2019 -
Wanneer bedrijven getroffen worden door een cyberaanval duurt het regelmatig maanden voordat het incident ontdekt wordt. Cybercriminelen kunnen zich dan geruime tijd ongezien binnen bedrijfsnetwerken ophouden, gevoelige data toe-eigenen of andere schade berokkenen.
Als manager is het wenselijk om te weten hoe het incident plaats heeft kunnen vinden en te kunnen verduidelijken hoe een soortgelijk voorval in de toekomst voorkomen kan worden. Duit stelt Liviu Arsene, senior cybersecurityspecalist bij securityprovider Bitdefender, die in dit artikel vertelt over de meerwaarde van forensische analyse van cyberaanvallen.
Cybercriminelen richten zich vaak op de apparaten die toegang hebben tot het bedrijfsnetwerk, de endpoints. Dit zijn bijvoorbeeld laptops, tablets, mobiele telefoons of andere draadloze devices. Traditionele endpoint-beveiligingsoplossingen richten zich vooral op het detecteren en blokkeren van malware. "Deze oplossingen werken goed als eerste verdedigingslinie, maar bieden vaak niet de mate van inzicht die nodig is om de oorzaak van beveiligingsincidenten te achterhalen en zo toekomstige aanvallen te kunnen voorkomen," aldus Arsene.
Verder kijken dan het incident
Arsene stelt dat integraal overzicht helpt om grip te krijgen op de beveiliging van een bedrijfsnetwerk: "Bij de infectie van endpoint moeten IT- en beveiligingsteams uiteraard tijdig geïnformeerd worden. Grondig inzicht is vervolgens essentieel en dat gaat veel verder dan de identificatie van de gebruikte malware. Ze hebben op zo’n moment toegang nodig tot een complete tijdslijn van alle gebeurtenissen die aan het incident voorafgingen. Dat betreft ook gebeurtenissen die traditionele tools voor endpoint-beveiliging normaliter niet als kwaadaardig aanmerken."
Een tijdslijn maakt het mogelijk om een post mortem-onderzoek uit te voeren en te achterhalen via welk kanaal hackers het bedrijfsnetwerk binnenkwamen. Ook biedt het beter zicht op de aanvalspatronen en motieven van cybercriminelen. "Door in hun voetsporen te treden kunnen beveiligingsteams bijvoorbeeld in kaart brengen op welke systemen hackers hun pijlen richten zodra ze het netwerk binnendringen, welke technieken zij gebruiken om zich meer toegangsrechten toe te eigenen en welke tools ze gebruiken om zich door het netwerk te begeven en hun sporen uit te wissen. Dit kan bedrijven helpen om van hun analysebevindingen te leren en waarschuwingen in te stellen voor toekomstige pogingen tot het stelen van data," aldus Arsene.
Forensische data inzetten om toekomstige cyberaanvallen te voorkomen
Een uitdaging is volgens Arsene dat endpoint-beveiligingsoplossingen alleen verslag uitbrengen over het type dreiging, zoals ransomware of Trojans, en over het tijdstip waarop deze werd gedetecteerd. Ze bieden geen mogelijkheden om terug in de tijd te gaan en meer informatie te verzamelen over de manier waarop het endpoint werd geïnfiltreerd. Arsene: "Stel dat cybercriminelen het remote desktop-protocol hebben gebruikt om malware op een endpoint uit te voeren. Bij het gebruik van traditionele endpoint-beveiligingsoplossingen zullen IT- en beveiligingsteams daar in dat geval geen aanwijzingen voor vinden." Hij stelt dat endpoint detection & response (EDR)-oplossingen uitkomst bieden.
EDR-oplossingen geven een waarschuwing zodra ze tekenen van een beveiligingsincident waarnemen. "Dat kan bijvoorbeeld gaan om gebruikers die zich buiten werktijden op endpoints aanmelden, remote desktop-sessies op basis van gestolen aanmeldingsgegevens en pogingen van gebruikers om data op te vragen waarvoor ze geen toegangsrechten hebben," licht Arsene toe. "Geavanceerde EDR-oplossingen bieden daarnaast de mogelijkheid om meldingen proactief te beoordelen op basis van machine-learning, kunnen incidenten grondig analyseren en kwetsbaarheden in de beveiliging duiden." Een geïntegreerd platform voor endpoint-beveiliging en EDR kan IT- en beveiligingsteams helpen door blinde vlekken in de beveiliging bloot te leggen. Denk aan misbruik van ongepatchte applicaties, services die onbedoeld via het internet benaderbaar zijn of aanmeldingsgegevens die niet zijn gedeactiveerd nadat werknemers de organisatie hebben verlaten. Arsene: "De proactieve benadering en beoordeling van beveiligingsmeldingen helpt de vaak onderbezette IT- en beveiligingsteams om zich te focussen op incidenten die daadwerkelijk aandacht nodig hebben."
Best practices om cyberaanvallen te analyseren
Om forensische analyses onderdeel te maken van uw IT-strategie is een doordacht plan noodzakelijk. Dit moet voorzien in beleidsregels en procedures die beveiligingsprofessionals in staat stelt om te bepalen welke data relevant is, welke eigenschappen die data kenmerken en van welke systemen die afkomstig is. "Effectieve forensische teams maken gebruik van procedures om endpoints voor te bereiden op de verzameling van bewijsmateriaal zoals logbestanden of persoonsgebonden toegangsrechten tot data. Om dit te illustreren, wordt er vooraf naar elk teamlid gecommuniceerd wie toegang heeft tot de logs en hoe en waar deze op een veilige wijze op te slaan," stelt hij.
Data die wordt voorzien van tags zoals ‘timestamps’, helpt onderzoekers bijvoorbeeld om na te gaan wanneer er met bestanden is geknoeid en of ze versleuteld zijn. Hierdoor kan bij benadering worden vastgesteld wanneer het netwerk is binnengedrongen. Onderzoekers kunnen vervolgens verder in de tijd teruggaan om andere relevante data te analyseren, zoals het netwerkverkeer van voor, tijdens en direct na het tijdstip waarop de bestanden werden gewijzigd. Op deze manier kunnen ze zich een beter beeld van de aanval vormen. In sommige gevallen kan het nodig zijn om een jurist in te schakelen om na te gaan of de verzamelde informatie als bewijsmateriaal kan worden gebruikt. Arsene: "Alles kan als bewijsmateriaal dienen, van informatie over openstaande poorten tot het LAN- of WAN-verkeer en actieve processen. Al deze data zijn nodig voor het in kaart brengen van alle signalen die op een datalek kunnen wijzen."
Betere beveiliging met de kennis van nu
Volgens Arsene is forensische analyse vooral een kwestie van documenteren en rapporteren. "Effectieve forensische teams hebben tools tot hun beschikking die deze taken kunnen automatiseren. Hoewel menselijke expertise onmisbaar is voor forensische analyses, kunnen automatiseringstools de beveiliging kracht bijzetten. Een hechte integratie helpt onderzoekers om alle stukjes van de puzzel in elkaar te passen. Dit maakt het mogelijk om nieuwe datalekken te voorkomen en incidenten dieper te doorgronden aan de hand van historische data."
Een hechte integratie van functionaliteit voor endpoint-beveiliging en EDR helpt beveiligingsprofessionals aan een complete tijdslijn van gebeurtenissen. Arsene sluit af: "Dit is van cruciaal belang om de bedrijfscontinuïteit te waarborgen met een snelle detectie van potentiële datalekken en even snelle tegenmaatregelen. Een uitgebreide incidentrapportage verkleint bovendien de kans op financiële- en reputatieschade als gevolg van niet-naleving van de wet- en regelgeving. Het verzamelen van informatie over wat voor, tijdens en na een aanval gebeurde is hiermee belangrijker dan ooit."
