Preventie zou het heilige grondgebied moeten zijn van elke cybersecurity-strategie, maar we weten dat 100% preventie niet realistisch is. Dus, wat gebeurt er precies wanneer een ernstige bedreiging wordt gedetecteerd? Het is verhelderend om de reeks gebeurtenissen te volgen die begint wanneer menselijke SOC-analisten besluiten dat actie van het Cybersecurity Incident Response Team (CSIRT) vereist is, gebruikmakend van een recent incident als voorbeeld.
Effectief omgaan met kritieke beveiligingsincidenten die mogelijk een grote invloed hebben op de bedrijfsvoering van onze klanten, is de essentiële functie van het 24/7 Security Operations Center (SOC) van ON2IT. Tijd is van essentieel belang, en het is van vitaal belang om te weten wat te doen en hoe te handelen.
Het Cybersecurity Incident Response Team (CSIRT) van ON2IT is voorbereid om om te gaan met allerlei soorten cybersecurityincidenten dankzij adequate en efficiënte procedures, checklists, expertise en training.
Het CSIRT bestaat uit gescreende cybersecurityspecialisten en wordt geactiveerd in geval van een groot incident dat specifieke en onmiddellijke strategische aandacht vereist.
Identificeren: Bevinden we ons in de problemen?
Het vermogen om bedreigingen in de IT-omgevingen van onze klanten te monitoren, detecteren en identificeren is een cruciale vaardigheid van het ON2IT SOC. State-of-the-art cybersecurity-technologie genereert typisch tienduizenden meldingen en gebeurtenissen per dag. De meeste hiervan zijn informatief, en alle voor de hand liggende aanvallen zijn bijvoorbeeld gestopt bij het eindpunt of door een firewall.
De EventFlow™-engine, die deel uitmaakt van ons AUXO™-platform, gebruikt geavanceerde technologie en een breed scala aan Threat Intelligence-feeds om al deze meldingen en gebeurtenissen te evalueren. Ze worden automatisch geclassificeerd door onze eigen Indicator-of-Good-technologie, waardoor de werklast van onze SOC-analisten drastisch wordt verminderd. Dit is een andere benadering dan die van de meeste MDR-leveranciers, die in wezen op zoek zijn naar een speld in een hooiberg door eindeloze stapels Indicators-of-Compromise te evalueren.
Van elke 100.000 gebeurtenissen kan EventFlow™ er automatisch 99.999 classificeren als niet-verdacht. Tijdens elke SOC-shift selecteert EventFlow™ een verzameling (soms gerelateerde) gebeurtenissen voor evaluatie door een menselijke SOC-analist (het resterende 1 evenement op de 100.000).
Dit is wat er gebeurde op een recente dinsdagavond om 20:08 uur CET. Geïsoleerd gezien lijken de gebeurtenissen die die dag door EventFlow™ zijn geselecteerd niet kritiek. Echter, de SOC-analist in dienst merkt een verdacht patroon op in de gebeurtenissen die EventFlow™ heeft gegroepeerd. Het verkeer lijkt afkomstig te zijn van twee legitiem ingelogde gebruikers, maar de specifieke verzoeken naar een bepaalde server zijn zeer ongebruikelijk.
Tijd om op te schalen
Na een snelle analyse besluit de SOC-analist om te overleggen met de SOC Shift Lead, die slechts enkele seconden nodig heeft om het ermee eens te zijn dat een escalatie naar het CSIRT noodzakelijk is. Op dit moment is de ernst van het incident nog onbekend, maar de kans dat dit een incident met hoge prioriteit is, kan niet worden uitgesloten. En omdat de tijd dringt, worden de CSIRT-procedures gestart. Beter het zekere voor het onzekere nemen.
Het eerste telefoontje gaat naar de CSIRT Lead Coordinator. Andere specialisten die bekend zijn met de technologie en configuratie van de apparatuur van de klanten worden toegevoegd aan het CSIRT.
Indamming en Communicatie
Het CSIRT heeft een tandje bijgeschakeld. Analyse en onderzoek van logs en verkeerspatronen onthullen dat de ongebruikelijke verzoeken afkomstig zijn van een enkele bron die op het eerste gezicht lijkt te behoren tot de legitieme infrastructuur van de klant. De verzoeken zijn echter verdacht, waarbij scripts en acties betrokken zijn die zelden worden gebruikt door typische gebruikers. Hoewel de potentieel gevaarlijke verzoeken effectief worden geblokkeerd door fijnmazige firewall-regels, is er op dit moment geen absolute zekerheid dat dit een geïsoleerd incident is. Informatie van de klant is vereist voor verder onderzoek.
Primaire schadebeperking wordt gestart volgens vastgestelde protocollen. In dit geval worden de verdachte gebruikersaccounts en verbindingen geblokkeerd, en firewall-regels worden verder verfijnd om specifieke verkeerspatronen in de omgeving die mogelijk toegankelijk waren voor de verdachte gebruikers te detecteren en blokkeren. Tegelijkertijd wordt bewijsmateriaal veiliggesteld en vindt grondige analyse plaats om de daadwerkelijke impact en een structurele mitigatiestrategie te identificeren.
Het CSIRT-team neemt contact op met de relevante belanghebbenden bij de klant volgens vastgestelde communicatieprotocollen. De communicatiedetails met betrekking tot het incident worden vastgelegd in ons AUXO™-platform. Dit geavanceerde case management platform biedt 24/7 inzichten tijdens en na het incident.
Afstemming met de klant
Communicatie met het beveiligingsteam van de klant maakt duidelijk dat de referenties die zijn gebruikt om de verdachte communicatie op te zetten, zijn gekoppeld aan een derde partij die niet langer voor de klant werkt. De dreiging lijkt beperkt te zijn tot deze specifieke referenties, die niet zijn ingetrokken (wat wel had gemoeten). De derde partij kan op dit moment niet worden bereikt. Plausibele scenario’s zijn dat de referenties zijn verkregen via een datalek in de omgeving van het derde partij, of via een ontevreden medewerker. Het beveiligingsteam van de klant zal het onderzoek aan hun kant voortzetten en ’s ochtends vroeg als eerste contact opnemen met de derde partij. Intussen worden verdachte inlogpogingen op andere accounts beoordeeld om uit te sluiten dat andere gebruikers ook zijn gecompromitteerd.
Het communicatieprotocol tot dan toe omvat frequente updates die de huidige status van het incident, het huidige risico en de blootstelling, genomen mitigatie-stappen en de volgende stappen bevatten.
Uitroeien en herstellen
Het CSIRT-team, in nauwe communicatie met de klant, begint met het opruimen en mogelijk verwijderen van sporen van de aanval. Er wordt aanvullend onderzoek uitgevoerd om te bepalen of andere omgevingen mogelijk ook zijn getroffen en beschermende maatregelen vereisen.
Ze voeren ook een laatste controle uit om de effectiviteit van de mitigatie te valideren. Systemen worden onderworpen aan geïntensiveerde monitoring om verdacht gedrag te detecteren.
Evaluate van het incident
Een postmortale analyse wordt gestart om verbeteringen te identificeren en beveiligingsverbeteringsadviezen (SIAs) op te stellen die tot doel hebben te voorkomen dat een soortgelijk incident zich opnieuw voordoet. Een evaluatievergadering is gepland voor de volgende dag om de postmortale analyse te bespreken, lessen te trekken en de opvolging van SIAs te volgen. De SIAs worden geregistreerd in het AUXO™-portaal, zodat hun status in realtime beschikbaar is.
Er worden cases aangemaakt voor aanbevelingen die verdere acties vereisen. De ingenieurs van het ON2IT SOC gaan verder dan hun traditionele verantwoordelijkheden voor monitoring en respons. Ze spelen een belangrijke rol bij het proactief implementeren van wijzigingen, samen met de klant, die bekende kwetsbaarheden verminderen en de algehele beveiligingspositie verder versterken. In deze situatie wordt bijvoorbeeld een nieuwe case aangemaakt om een aanvullende authenticatielaag uit te rollen voor door de klant beheerde apparaten, zodat inlogpogingen van onbekende apparaten helemaal niet meer mogelijk zijn. Een andere actie is het bijwerken van de metadata en relevantiescore voor enkele van de gedefinieerde beschermingsoppervlakken. Dit voorziet het SOC van nuttige context, zodat ze hun triage op gebeurtenissen kunnen verfijnen.
Wat kun jij hieruit leren?
Veel dienstverleners van zogenaamde managed detection and response (MDR) of externe SOC-diensten beperken hun activiteiten tot het waarschuwen van hun klanten wanneer verdachte activiteit wordt gedetecteerd. Deze waarschuwingen kunnen ook valse positieven zijn of kleine incidenten die geen onmiddellijke actie vereisen wanneer de technische context bekend is. De last ligt bij de klant om dit uit te zoeken.
Vanaf dat moment is het de verantwoordelijkheid van de klant om het team van specialisten samen te stellen dat nodig is om de dreiging in hun infrastructuur te analyseren en door te gaan met het nemen van mitigatiemaatregelen. Wanneer dit gebeurt buiten kantooruren, vooral wanneer het operationeel beheer van de cybersecurity-apparatuur is uitbesteed, kan het uren tot soms dagen duren om effectief te reageren op de dreiging.
SOC-, operationele- en CSIRT-capaciteiten zijn vereist zodra een hoogwaardige inbreuk wordt gedetecteerd. In de praktijk betekent dit 24/7, aangezien incidenten buiten reguliere werktijden kunnen plaatsvinden. Tijdens het initiële onderzoek zijn communicatie en het vermogen om binnen enkele minuten mitigatiemaatregelen te implementeren van cruciaal belang. Grote organisaties hebben doorgaans de schaal en het vermogen om interne SOC-, operationele- en CSIRT-functies uit te voeren.
Maar organisaties die de SOC-functie uitbesteden, moeten uiterst voorzichtig zijn om ervoor te zorgen dat CSIRT en vereiste operationele beheervaardigheden snel beschikbaar zijn en effectief kunnen samenwerken.
Bij ON2IT geloven we sterk in de voordelen van het verantwoordelijk zijn voor het ontwerp, de implementatie en de voortdurende verificatie van de cybersecurity-technologie in de infrastructuur van onze klanten. Deze diepgaande kennis stelt onze SOC-ingenieurs en CSIRT in staat om doortastend op te treden wanneer elke minuut telt om de impact van een inbreuk te verminderen.
Disclaimer: Sommige details in dit artikel zijn fictief of licht gewijzigd om de anonimiteit van de betrokkenen te behouden.
