Met het “Threat Lifecycle Management Framework” cyberdreigingen te lijf gaan

Traditionele benaderingen zijn niet langer afdoende om data en applicaties binnen datacenters en op endpointsystemen te beschermen. Cyberaanvallen worden steeds geavanceerder, naast dat ze in frequentie toenemen, terwijl infrastructuren steeds opener worden om de toegang voor eindgebruikers zo gemakkelijk mogelijk te maken. Daarom moeten organisaties werken aan het volwassener maken van hun security. Dat kan met behulp van het door security-specialisten ontwikkelde Security Operations Maturity Model (SOMM). Dat biedt de basis voor de efficiënte en effectieve inrichting van een Security Operations Center (SOC). Zo’n SOC is in staat om tijdig en passend te reageren op bedreigingen door de inzet van een Threat Lifecycle Management Framework (TLM), dat een stapsgewijs antwoord biedt op de cyberattack-lifecycle.

Deze aanvalscyclus begint met het herkennen van de cyberaanvallers van kwetsbare infrastructuren. Dat kan een persoon of een organisatie zijn. Aanvallers hebben verschillende doelen. De een wordt gedreven vanuit financieel gewin of uit sensatiezucht, de ander wil schade toebrengen aan een merk of intellectueel eigendom stelen. Na een eerste verkenning bepaalt de aanvaller waar hij de systemen van het potentiële slachtoffer het meest gemakkelijk binnenkomt. Stap twee in de cyclus is het daadwerkelijk verschaffen van toegang via bijvoorbeeld een serversysteem of een eindgebruikerssysteem, zoals een laptop of pc.

Vervolgens doen deze devices bij stap drie dienst als een springplank naar andere systemen, waar waardevolle informatie te halen is. Om dit te bereiken, installeert de aanvaller bijvoorbeeld een remote-access trojan (RAT) zodat er structurele toegang op afstand verkregen wordt tot alle systemen. Stap vier richt zich op de zogenoemde lateral movement, het systematisch zoeken naar waardevolle data zoals systeem- en useraccounts. Die bieden de aanvaller weer meer ruimte om andere, verbonden systemen te infecteren en data te stelen of te versleutelen om zo de eigenaar onder druk te zetten. Omdat de aanvaller gebruikmaakt van gestolen accounts is detectie lastig. In stap vijf heeft een aanvaller alle controle overgenomen en heeft hij een goed beeld van de gehele omgeving. Dat opent de weg naar de laatste stap waarin data daadwerkelijk wordt gemanipuleerd of gestolen of waarin kritische systemen worden gesaboteerd of vernield.

Deze cyberattack-lifecycle laat goed zien dat vroegtijdige detectie van levensbelang is om een aanval van binnenuit of buitenaf tijdig af te slaan. Dit kan door het inzetten van een Threat Lifecycle Management Framework (TLM). Dit framework is opgebouwd uit zes fasen:

1: Het verzamelen van forensische gegevens. Voordat een dreiging kan worden gedetecteerd, moet een organisatie in staat zijn om zo’n aanval onbetwist aan te tonen. Dat vereist de juiste gegevens, waaronder beveiligingsgebeurtenissen en alarmmeldingen, logbestanden en forensische sensorgegevens. Deze laatste kunnen hiaten in de zichtbaarheid opvullen, wanneer logboeken niet beschikbaar zijn of het niveau van de forensische gegevens niet voldoende gedetailleerd is.

2: Het vaststellen van bedreigingen. Zodra er goed inzicht is, zijn bedreigingen te detecteren en kan de organisatie erop reageren. Het ontdekken van potentiële bedreigingen vindt plaats door middel van een mix van zoek- en machine learning-analyse. Zoek-analyse is nog grotendeels handmatig werk en gebeurt door dashboards te bewaken en gebruik te maken van zoekmogelijkheden. Het omvat ook het beoordelen van rapportages over gedetecteerde uitzonderingen. Machine learning is een nieuwe, zelflerende technologie die op basis van algoritmes zelfstandig steeds geavanceerdere analyses kan uitvoeren. Daardoor wordt deze technologie beschouwd als het antwoord op de twee grootste uitdagingen van securityteams: gebrek aan gekwalificeerde medewerkers en een enorme toename van securitymeldingen.

3: Het goed kwalificeren van bedreigingen. Een vastgestelde bedreiging moet snel worden gekwalificeerd om de potentiële impact op het bedrijf en de urgentie van extra onderzoeks- en reactie-inspanningen te bepalen.

4: Het nauwkeurig onderzoeken van bedreigingen. Zodra bedreigingen zijn gekwalificeerd, moeten ze volledig onderzocht worden. Dit om te bepalen of een beveiligingsincident heeft plaatsgevonden of plaatsvindt. Snelle toegang tot forensische gegevens en informatie over de dreiging is daarom van het grootste belang. Automatisering van routine-onderzoekstaken en tools die samenwerking tussen organisaties mogelijk maken, zijn in dit verband ideaal voor het optimaliseren van de MTTR.

5: Het effectief neutraliseren. Wanneer een incident gekwalificeerd en onderzocht is, zijn direct maatregelen nodig om schade te voorkomen. Voor bepaalde bedreigingen zoals ransomware of gehackte privileged useraccounts telt elke seconde. Voor een optimale gemiddelde reactietijd (MTTR) zijn gemakkelijke toegang tot incident response-processen en -informatie cruciaal.

6: Het herstellen van de aangetaste omgeving. Zodra het incident is geneutraliseerd en de risico’s onder controle zijn, kan een organisatie starten met volledig herstel. Deze inspanningen zijn minder tijd-kritisch en afhankelijk van de scope van het incident. Voor een effectief herstel hebben security-teams toegang nodig tot alle forensische informatie rond de onderzoeks- en incident response-processen. Dat omvat tevens het bijhouden van iedere wijziging tijdens de incident response-activiteiten. Veel herstel-gerelateerde processen kunnen profiteren van automatisering, Daarnaast is het raadzaam om tijdens het herstelproces maatregelen te treffen om te voorkomen dat een bedreiging terugkeert.

Door een Threat Lifecycle Management-aanpak kan een organisatie zijn risico’s verlagen door snellere en effectievere detectie en response. Daarbij wordt het automatiseren van workflows die zicht richten op die detectie en response steeds belangrijker. Automatisering biedt vooral een antwoord op het risico van ‘meldingsmoeheid’. Security-professionals krijgen steeds meer alerts te verwerken, waardoor de kans toeneemt dat ze niet meer scherp opletten. Met een solide TLM-aanpak zijn deze en andere risico’s te vermijden en biedt het zo een stevige basis voor een organisatie om de volwassenheid op security-gebied continu te versterken.

Dit is een ingezonden bijdrage van Rob Pronk, Regional Director Continental Europe bij LogRhythm. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.