• jibran-ilyas

“Je zult allereerst moeten accepteren dat je een doelwit bent”

2018-09-27T07:30:06+00:00 11 april 2018|

“If you have something of value they are coming after you”

Wanneer je Jibran Ilyas en zijn team door de gangen van het hoofdkantoor ziet lopen is dat geen goed teken. Ilyas is de manager van de incident response afdeling van cyberrisico-managementbedrijf Stroz Friedberg. Bij het grote publiek is deze onderneming misschien niet bekend, maar in boardrooms over de hele wereld staan ze te boek als een toonaangevende expert om in te schakelen na een omvangrijk datalek.

Ilyas zelf was bijvoorbeeld de digital forensics lead in het onderzoek naar het enorme datalek bij Yahoo, waarbij uiteindelijk alle drie miljard Yahoo-accounts getroffen bleken.

Nadat verzekeringsmakelaar en risicoadviseur Aon vorig jaar Stroz Friedberg overnam, is de positie van het bedrijf als wereldspeler verder bevestigd. De kracht van consultants als Stroz Friedberg is dat ze in de cruciale 24 uur na het bekend worden van een datalek razendsnel een multidisciplinair team op de been hebben. Daarbij gaat het niet alleen om techniek, maar ook specifiek om de juridische aspecten. De teams bestaan uit beveiligings-experts, ethische hackers, big data specialisten, forensisch onderzoekers en juristen.

Hackers en ex FBI-agenten werken samen

Oprichters Ed Stroz en Eric Friedberg waren zelf bijvoorbeeld in hun eerdere loopbaan FBI-medewerker en Officier van Justitie. Zij zagen van dichtbij het cruciale belang van digitale bewijsvoering in de steeds complexere rechtszaken rond cybercrime.

Vanwege de mogelijke geldboetes en het risico op schadevergoedingen aan gedupeerden, moet elke actie in de uren en dagen na het bekend worden van een datalek vanuit alle mogelijke invalshoeken worden doorgenomen en gedocumenteerd. Een technische remedie voor een datalek, bijvoorbeeld het gebruiken van een back-up, zou mogelijk ook digitaal bewijs kunnen vernietigen.

Ilyas is juist geen jurist, maar een door de wol geverfde onderzoeker die in de afgelopen tien jaar voor een groot aantal opdrachtgevers datalekken onderzocht en met hen en de autoriteiten daders achter de tralies probeerde te krijgen. Het ging daarbij vaak om opdrachtgevers in de financiële wereld, defensie of de technologiesector.

Ilyas was in de kringen van creditcardfraude-specialisten al langer bekend als de eerste onderzoeker die in 2008 een whitepaper schreef over zogeheten RAM scraping malware: software die een geheugendump maakt van een betaalterminal. Hij treedt als spreker ook regelmatig op bij grote hacker-events als DEFCON, Black Hat en SecTor. Kortom: een man die niet voor niets directeur bij Stroz Friedberg werd.

Het motief van een hacker

Jibran Ilyas begon zijn keynote tijdens Bright & Cloudy 2017 met een analyse van de belangrijkste bedreigingen in het globale landschap van hackers. De motieven van een specifiek type hacker bepalen voor een groot deel hoe een dreiging zich ontwikkelt. Door landen of inlichtingendiensten gefinancierde inbraakpogingen hoeven bijvoorbeeld niet direct een financieel rendement op te leveren. Zij kunnen het zich veroorloven om over een termijn van meerdere jaren infiltratiepogingen te blijven ondernemen. “They just keep on trying.”

Cyberonderzoekers zoeken juist naar malware en tekortkomingen waarover ze als eerste kunnen publiceren, maar zijn niet op zoek naar octrooien, patenten of gevoelige informatie. Terroristische organisaties zijn evenmin uit op persoonlijk gewin, maar speuren wel naar vertrouwelijke gegevens en toegang tot bedrijfsnetwerken, bijvoorbeeld voor afpersing of sabotage.

“Je kunt wel een rode draad herkennen in de meest recente golf succesvolle cyberaanvallen”

Hoe verschillend de motieven van de verschillende soorten hackers mogen zijn, je kunt wel een rode draad herkennen in de meest recente golf succesvolle cyberaanvallen, zegt Ilyas. Hij haalt Sun Tzu aan: “Alle oorlogen zijn gebaseerd op misleiding”. Camouflage en het verbergen van de uiteindelijke bedoeling van de malware zijn belangrijker geworden dan infiltraties waarbij zo snel mogelijk na de inbraak zoveel mogelijk data wordt gestolen.

Onder de radar

Daarom kiezen hackers ervoor om reguliere Windows-tools en OS-onderdelen te gebruiken (of liever misbruiken) in plaats van aparte malware programma’s die gemakkelijker kunnen worden gevonden. Ze streven er ook niet meer naar om 24/7 zogeheten Command and Control toegang te hebben tot de infrastructuur waarin ze zijn geïnfiltreerd.

De nieuwe generatie intrusion detection tools detecteert dergelijk ongebruikelijk netwerkverkeer eerder dan voorheen, dus worden de hackers creatiever. Ilyas omschrijft het als ‘hiding in plain sight’. De nadruk ligt op het onzichtbaar blijven, totdat via een zorgvuldig getimede actie de verborgen malware kan worden geactiveerd, bijvoorbeeld voor data-exfiltration of sabotage.

Totdat uur U is aangebroken, gebruiken de hackers aanvullende methoden om onder de radar te blijven. Ze analyseren, legt Ilyas uit, bijvoorbeeld zelf de tickets van je interne security helpdesk om te zien of ze al op het punt staan te worden ontdekt.

Ze verzamelen de data die ze willen stelen geleidelijk aan, zorgen ervoor dat die in nieuwe, versleutelde en met een wachtwoord beveiligde bestanden wordt verpakt, en gebruiken diensten als Dropbox, Google Drive of OneDrive voor het dumpen van die bestanden.

Wat is de beste verdedigingstactiek?

Ook tegen de steeds geavanceerdere aanvallen van hackers kun je jezelf effectief verdedigen, stelt Ilyas. Hij somt daarvoor een aantal in de praktijk beproefde tactieken op. Je zult allereerst moeten accepteren dat je een doelwit bent.

“If you have something of value, they are coming after you.” En op dat moment gaat het niet zozeer om preventieve maatregelen (want die lopen per definitie achter), maar om de vraag of je ongeautoriseerde toegang tot je data te allen tijde kunt detecteren. De mantra van 100 percent visibility is ook voor Ilyas een cruciale randvoorwaarde.

“Gebruik two-factor niet alleen voor de VPN-toegang, maar ook voor toegang tot clouddiensten als Outlook Web Access en publieke clouddiensten.”

Het is volgens hem daarnaast verbazingwekkend hoe vaak zijn team hoort: ‘Ik wist niet eens dat wij deze server hadden’ of ‘Wij wisten niet dat deze gevoelige gegevens op deze plek zijn opgeslagen.’ Het lijkt triviaal, maar een uitputtende inventarisatie van alle data (ook in de cloud) is een andere basisvereiste die niet altijd wordt nageleefd. Denk daarbij niet alleen aan data op servers, maar ook aan gegevens die in de end-points zijn opgeslagen: e-mails, vertrouwelijke spreadsheets en documenten, opgeslagen browser wachtwoorden en sessie-cookies.

Het lijkt een no-brainer, maar vermijdt authenticatie op basis van alleen een wachtwoord. Gebruik two-factor niet alleen voor de VPN-toegang, maar ook voor toegang tot clouddiensten als Outlook Web Access en publieke clouddiensten. Leveranciers als Palo Alto Networks en VMware hebben hiervoor inmiddels gebruiksvriendelijke oplossingen.

SIEM-tuning als een continu proces

“Behandel je logbestanden als vitale informatie en zet er goede mensen op.”

Ilyas komt het vaak tegen: IT-afdelingen laten de logbestanden door stagiaires uitpluizen, vooral omdat dit een compliance verplichting is. “Maar je hebt een ervaren specialist nodig om ongebruikelijke patronen in logbestanden te herkennen. Behandel je logbestanden als vitale informatie en zet er goede mensen op.

De huidige generatie SIEM-software kan je helpen om bestanden ‘voor te filteren’, zodat de hoeveelheid informatie die menselijke experts moeten beoordelen sterk wordt gereduceerd. Maar honderd procent automatisering is helaas nog een fictie, dus investeer in SIEM-tuning als een continu proces.”

Ilyas heeft ook nog een advies dat niets met harde technologie te maken heeft. “Bescherm je security-mensen tegen een burn-out. Wanneer je hebt geïnvesteerd in toptalent om je security op niveau te houden, zorg er dan voor dat hun gemiddelde werkdag niet is gevuld met werk dat ook gemakkelijk door anderen kan worden gedaan en het leeuwendeel van hun tijd in beslag neemt. Zorg er daarnaast voor dat je continuïteit geborgd is.”

De Amerikaanse topconsultant lijkt daarmee ook een lans te breken voor het inzetten van managed security. De war on talent woedt in alle hevigheid, organisaties krijgen te maken met meer taken bij gelijkblijvende budgetten en de dreigingen nemen zo snel toe dat het voor een IT-afdeling op eigen kracht nagenoeg ondoenlijk is om 24/7 op de hoogte te blijven van alle malware en tegenmaatregelen.

Door gebruik te maken van een managed Security Operations Center (SOC) dat via de cloud monitoring en analyse voor een groot aantal klanten uitvoert, kun je gebruik maken van schaalvoordelen die niet bereikbaar zijn voor een individuele organisatie.