Stelt u zich eens voor: u krijgt als CIO een telefoontje van een externe partij dat er verdacht verkeer is gesignaleerd tussen uw bedrijfsnetwerk en een externe server. Naar aanleiding van de incident response blijkt tot uw grote schrik dat er al meer dan zes maanden een aanvaller aanwezig is in uw netwerk. Deze heeft al die tijd, ondanks de naar uw idee up to date beveiligingsmaatregelen, kunnen rondneuzen in uw end-points en data.
Een realistisch scenario, dat wij de afgelopen jaren in allerlei verschijningsvormen zijn tegengekomen bij klanten die onze hulp nodig hadden bij hun incident response. Vaak zijn hier zero-day exploits en geavanceerde malware bij betrokken. Deze worden niet gedetecteerd door bestaande beveiligingsvoorzieningen, zoals antivirussoftware of Intrusion Detection Systems.
Hoe kunt u dergelijke (vaak geavanceerde) aanvallen dan wel opsporen? Dit kan via een analyse vergelijkbaar met een due diligence-onderzoek.
Due diligence voor uw IT-infrastructuur
Een van de lastigste aspecten van bovengenoemde aanvallen, is dat ze door de meeste traditionele detectievoorzieningen niet worden gevonden. Ook kan een aanvaller, als hij eenmaal toegang heeft tot uw netwerk, bestaande accounts gebruiken om verder binnen te dringen. Dit soort ogenschijnlijk geoorloofd gedrag is nóg lastiger te detecteren of te voorkomen (want de daadwerkelijke gebruikers moeten ook nog kunnen werken).
Een methode die zich inmiddels in de praktijk bewezen heeft, is het scannen van de IT-infrastructuur op sporen van een inbreuk zónder dat er aanwijzingen zijn dat er een heeft plaatsgevonden. Hoewel dit veel lastiger is dan wanneer er wel aanwijzingen zijn voor een lopende aanval, kunt u een analyse uitvoeren die vergelijkbaar is met een traditioneel due diligence-onderzoek. Hierbij wordt gezocht naar sporen van geavanceerde aanvallen.
Voor een dergelijke benadering moet u wel de beschikking hebben over specifieke kennis en ervaring van incidentafhandelingen en forensische analyses. U heeft experts nodig, die weten op wat voor sporen en gedragingen ze moeten letten en toegang hebben tot de nieuwste informatie over oude en actuele bedreigingen en werkwijzen. En daar komt Compromise Assessment door Fox-IT om de hoek kijken.
Compromise Assessment door Fox-IT
De Compromise Assessment dienstverlening van Fox-IT wordt gebruikt om de IT-infrastructuur van een organisatie grondig te scannen op sporen die kunnen duiden op oude of lopende aanvallen op systemen en/of gegevens. Het assessment bestaat doorgaans uit een forensische analyse van een breed scala aan gegevensbronnen, zoals netwerkverkeer, systeem- en/of applicatielogbestanden en end-points. De scope en de aandachtsgebieden voor het assessment zijn afhankelijk van de relevante dreigingen voor uw organisatie.
Forensische onderzoektrajecten
De evaluatie zelf bestaat uit drie parallelle forensische onderzoektrajecten:
- onderzoek op opgenomen netwerkverkeer
- onderzoek in logbestanden
- onderzoek op end points
Het kan zijn dat er voor elk onderzoektraject een bepaalde technologie moet worden geïmplementeerd in de infrastructuur die wordt onderzocht, zoals hulpmiddelen voor het registreren en analyseren van netwerkverkeer en digitale forensische analysesoftware. Fox-IT past haar geavanceerde threat intelligence toe, in combinatie met jarenlange forensische en incident response ervaring. Op die manier worden geautomatiseerde analyses aangevuld met menselijke expertise.
De nadruk ligt vooral op het signaleren van ’lateral movement’ van een aanvaller op het netwerk, maar ook op het spotten van meer voor de hand liggende zaken zoals malware-infecties en andere, minder gerichte aanvallen.
Benodigde tijd Compromise Assessment
Gemiddeld duurt een Compromise Assessment vijf tot zeven weken:
- Hulpmiddelen voor het scannen van het netwerk en andere gegevens slaan gedurende een paar weken relevante data op.
- Fox-IT-experts analyseren vervolgens deze data en andere relevante gegevens (forensische schijfimages, logbestanden etc.). Deze analyse neemt meestal twee tot drie volledige werkweken in beslag en kan eventueel op locatie bij de klant worden uitgevoerd.
- Oplevering technische rapportage en executive report
De experts van Fox-IT werken nauw samen met het IT-personeel van de klant, om zo direct te kunnen reageren op tekenen van verdachte activiteit.
Resultaten en voordelen van een cyber security assessment
Het belangrijkste resultaat van een Compromise Assessment is natuurlijk het antwoord op de vraag of er sporen zijn gevonden van een oude of lopende aanval. Er zijn echter meer voordelen: door de verzameling van zoveel forensische informatie, plus de daarbij behorende analyse en overleg met uw IT-personeel, krijgt Fox-IT een breed inzicht in de diverse aspecten van uw IT-beveiliging. Het eindverslag zal daarom ook aanbevelingen op het gebied van algemene beveiliging en maatregelen voor het voorkomen, opsporen en afhandelen van incidenten bevatten. De aanbevelingen zijn opgebouwd conform de SANS Critical Security Controls
Forensic readiness en security maturity
Een Compromise Assessment kan ook vrij eenvoudig worden uitgebreid met een evaluatie van de ‘forensic readiness’ (forensische gereedheid) en/of een security maturity assessment. Op die manier kunt u de Compromise Assessment gebruiken als startpunt voor de ontwikkeling van een nieuwe IT-securitystrategie of voor het voortzetten en verbeteren van een bestaande strategie.
Meer informatie
Wilt u meer weten over een Compromise Assessment en de mogelijkheden voor uw organisatie?
Neem dan contact op met Kevin Jonkers, per e-mail via fox@fox-it.com of telefonisch via 015 284 79 99.
Auteur: Kevin Jonkers