Een van de grootste uitdagingen binnen cybersecurity is hoe om te gaan met de hoeveelheid aan data. Iedereen in het vakgebied kent de verhalen van mislukte SIEM implementaties, omdat het aantal false-positives simpelweg te groot was om met de aanwezige mankracht en tijd het nuttige van het onnuttige te scheiden. Daarnaast lijkt er op de toename van de hoeveelheid data voorlopig nog geen rem te staan en wordt (is) het nagenoeg onmogelijk voor security teams om alle data handmatig te verwerken. Kortom: automatisering is hier onontbeerlijk en er zijn dan ook genoeg leveranciers die op deze markt hun producten aanprijzen.
Content vs Context
De uitdaging om deze data goed te beoordelen is echter niet opgelost door hier een set van algemene regels op los te laten, wat vrijwel al deze producten doen. De uitdaging zit hem in het relevant maken van de data in relatie tot jouw omgeving. Hierin is het belangrijk om het onderscheid tussen content en context helder te hebben.
Content kan gezien worden als het wat. Dit zijn vaak harde feiten, bijv. “10 euro” of een security event “blocked brute force attack from IP Address”. Als ik wil weten of “10 euro” veel of weinig is, dan is dit moeilijk te beoordelen zonder te weten in welk scenario ik deze 10 euro moet beoordelen. Hetzelfde geldt voor het security event “blocked brute force attack from IP Address”, is dit goed of is dit slecht?
Het uitdagende aan context is dat deze voor elke omgeving of persoon kan variëren, iedereen heeft namelijk zijn eigen perspectief en interpretatievermogen.
Er schuilt een groot gevaar in het zondermeer toekennen van algemene regels om deze data verwerken. In algemene zin zal het goed zijn dat er een brute force attack is geblokkeerd, maar dat neemt niet weg dat deze gebeurtenis niet zomaar genegeerd kan en mag worden en wel degelijk zéér relevant kan zijn voor het security-team en de organisatie.
Context verschilt per omgeving
Om content goed te beoordelen hebben we context nodig. Waar gaat de content over en in welk scenario speelt het zich af; door context toe te voegen aan de content kunnen we bepalen hoe we met de content om moeten gaan. Het uitdagende aan context is dat deze voor elke omgeving of persoon kan variëren, iedereen heeft namelijk zijn eigen perspectief en interpretatievermogen.
Een simpel voorbeeld: 10 euro
Om het voorbeeld van 10 euro te hanteren: als dit 10 euro is voor een biertje, dan zijn (de meeste) mensen geneigd te zeggen dat dit duur is. Echter als dit 10 euro is voor een biertje tijdens Oktoberfest, dan zal de interpretatie voor een aantal veranderen. Om het perspectief nog eenduidiger te krijgen kunnen we daarbij ook vertellen dat het goedkoopste biertje tijdens Oktoberfest 2019 10,80 euro kostte.
Door deze extra context zal de interpretatie steeds eentoniger worden en dit laatste is van belang als we zaken willen automatiseren. Er zal een hoge mate van zekerheid moeten zijn om de data correct te beoordelen.
Zero Trust en context: segmenteren
Zero Trust als een security strategie biedt een duidelijk handvat als we met context willen werken. Zero Trust is gestoeld op het feit dat er naar de omgeving wordt gekeken in de vorm van segmenten, waarbij de term crown jewels vaak ter sprake komt om het concept uit te leggen.
Kortom: het idee is om de omgeving in te delen in segmenten en deze segmenten worden gevormd rond de Data, Assets, Applications and Services (DAAS) welke je wilt beschermen. Doordat we weten wat zich in elk segment bevindt is het zinvol om dit goed te beschrijven, inclusief relevante informatie. Een aantal voorbeelden, maar zeker niet gelimiteerd tot:
- Wat voor data zit er in dit segment;
- Welke wet- en regelgeving is hierop van toepassing;
- Wie is er verantwoordelijk voor deze data;
- Waar bevindt zich deze data.
Het doel van deze informatie is dat deze context geeft aan de gebeurtenissen/events (content) die worden gegenereerd en gerelateerd zijn aan dit segment.
Security events en context
Hiermee hebben we meteen het laatste stukje van de puzzel te pakken. Security oplossingen genereren events. Deze events zijn van nature generiek en moeten in nagenoeg elke omgeving kunnen werken; de oplossing zelf heeft geen notie van de omgeving (context) waarin deze opereert. Kortom, na het ontvangen van deze events moeten we de link gaan leggen naar de juiste context.
Als we kijken naar het eerdere voorbeeld van een ‘blocked brute force attack from IP Address‘, dan kunnen we het IP adres gebruiken om na te gaan waar deze aanval vandaan kwam. Is dit een aanval vanuit het Internet op een dienst die aangeboden wordt op het Internet, dan kunnen we dit event automatisch afhandelen. Er wordt immers constant ‘op de deur geklopt’ bij diensten die online worden aangeboden. Het is daarbij wel interessant om te zien hoe vaak dit gebeurt en of er in de loop van de tijd een toename is.
Echter, als blijkt dat een interne server, bijv. het CRM (klantenbeheer) systeem deze brute force attack veroorzaakt, dan willen we nader onderzoek doen. Betreft het een verlopen service- account of is er een aanvaller in het netwerk welke zich lateraal (oost-west) door het netwerk probeert te bewegen?
Ondanks dat het security apparaat de aanval heeft geblokkeerd, moge het duidelijk zijn dat met de context van een CRM omgeving dit event niet zondermeer genegeerd mag worden!
Conclusie
Om te voorkomen dat het security team overspoeld raakt met data uit security oplossingen en hierdoor de nuttige meldingen niet meer van de niet-nuttige kan scheiden, is het belangrijk om hier zoveel mogelijk in te automatiseren. Om deze automatisering goed te doen en te voorkomen dat er nuttige informatie over het hoofd wordt gezien, is het belangrijk om de content van context te voorzien.
Op deze manier kunnen nuttige meldingen in de juiste kaders worden afgehandeld en zelfs als dit niet automatisch gebeurt, zal de context de security medewerker van nuttige informatie voorzien.
Door het implementeren van Zero Trust en het hiermee gepaard gaande definiëren van segmenten, is het een kleine stap om de context te koppelen aan de content.
Wat kan ON2IT hierin betekenen
ON2IT biedt haar klanten een portaal aan, waarin het mogelijk is om de voor de klant geldende Zero Trust segmenten op te nemen incl. relevante ‘meta-data’, zoals eigenaar, BIV/CIA score, etc. Elk security event wordt verwerkt door de Zero Trust Contextualization Engine en wordt hiermee automatisch gelinkt aan de bijbehorende context. Deze context kan (en zal) per klant variëren.
Het bieden van context is een vorm van verrijking van een event. Door deze verrijking zijn we in staat om events op een juiste manier af te handelen en ontstaat er duidelijke communicatie, de active-directory, welke voor velen duidelijker is dan IP-adres 10.1.2.3. Een event kan afhankelijk van de context ook verschillende vervolgacties hebben (en dit kan ook verschillen per klant).
Deze vervolgacties zijn niet alleen het automatisch administratief afhandelen van events, maar kunnen ook bestaan uit zogenoemde Rules of Engagement (Tegenacties). Denk hierbij aan een apparaat automatisch in quarantine plaatsen.
In tegenstelling tot veel andere producten werkt ON2IT met een Indicator of Good (IOG) in plaats van een Indicator of Compromise (IOC). De focus bij de (automatische) beoordeling van events ligt dan ook op het feit of het event positief is, bijv. de geblokkeerde brute-force attack welke vanuit het Internet naar een publieke dienst ging.
Op het moment dat we met zekerheid de IOG hebben vastgesteld kunnen we het event (automatisch) verwerken voor rapportage. Overige events zullen worden gecorrelereerd en er zal een ticket voor het managed SOC (mSOC) team worden gecreëerd.
Rob Maas
Thought Leader
