Bent u al klaar voor 'forensic readiness'?

Expertblogs

‘Steeds meer organisaties houden rekening met een cyberincident. Maar bent u in staat om, net als bij een ingegooide ruit, te achterhalen wat er precies is gebeurd, welke schade er is aangericht en wat de gevolgen zijn voor uw organisatie? Net als bij een ingegooide ruit zult u bij een cyberincident aanwijzingen en bewijsmateriaal moeten vinden waarover u forensisch onderzoek uitvoert om antwoorden te krijgen op de bovenstaande vragen. De kunst is om vervolgens met minimale kosten gedegen forensisch onderzoek uit te voeren. In deze blog hoop ik meer duidelijkheid te geven door u mee te nemen naar de eerste fase van de Incident Response (IR) levenscyclus en waarom deze fase van forensic readiness zo belangrijk is.

In mijn vorige blog schreef ik een introductie over Digital Forensics and Incident Response. Hierin benoemde ik vier vormen van forensisch onderzoek bij een cyberincident. Niet bij ieder cyberincident is elk type forensisch onderzoek mogelijk. Los van de onderzoeksvraag of het soort forensisch onderzoek het betreffende antwoord geeft, is het van groter belang of de nodige voorbereidingen zijn getroffen om aan te tonen wat er zich afspeelde of had kunnen afspelen. Welke voorbereidingen een organisatie treft, hangt af van verschillende factoren en afwegingen. Denk aan de grootte van het netwerk, de hoeveelheid systemen en netwerkverkeer, welke bronnen en logs beschikbaar zijn bij een onderzoek en binnen welke juridische kaders er (on-)mogelijkheden bestaan om informatie te bewaren waarover onderzoek gedaan mag worden.

De samenhang tussen de IR-levenscyclus en forensic readiness

Er bestaan verschillende modellen die de IR-levenscyclus beschrijven. Bekende modellen komen van de hand van NIST en van SANS Institute. Beide modellen benoemen de verschillende fases waarin een cyberincident zich kan bevinden. De modellen zijn eensgezind en starten met de voorbereidende fase. In de voorbereidende fase zorgt een organisatie ervoor, zoals de naam het al aangeeft, dat ze zich voorbereidt op een cyberincident. Dit is te vertalen naar het verbeteren en optimaliseren van de verdedigende linie. Een goede verdediging, ofwel voorbereiding, kun je opsplitsen in twee componenten.

De eerste component is het ervoor zorgen dat er zoveel mogelijk cyberincidenten worden voorkomen. Ieder voorkomen cyberincident is immers een kostenbesparing op de inzet van extra middelen. Kenmerkend aan de voorbereidende fase vergeleken met de andere fases in de IR-levenscyclus is dat u proactief en in control bent waarbij u de aanvallende partij probeert voor te zijn. Als verdedigende partij heeft u vrijwel continu de mogelijkheid om uw “verdediging” te bestuderen, te evalueren en te verbeteren waar nodig. Dit is een repetitief proces waar naar continu kwaliteitsverbetering wordt gewerkt. Denk aan het verbeteren van de detectiemogelijkheden, het ontwikkelen van nieuwe karakteristieken of het verkrijgen van vernieuwde inzichten in reguliere activiteiten op systemen en netwerken binnen de organisatie.

De tweede component is, als er ondanks de voorzorgsmaatregelen toch een cyberincident plaatsvindt, om over de juiste middelen te beschikken om te achterhalen wat er is gebeurd, wat de schade is en wat er nodig is om weer back in business te zijn. Een organisatie probeert zo effectief mogelijk gedegen forensisch onderzoek te doen naar oorzaak en gevolg. Het is daarom niet verwonderlijk dat de principes van forensic readiness binnen de voorbereidende fase van de IR-levenscyclus vallen. Onder de activiteiten van forensic readiness valt het proactief zoeken naar databronnen die bewijsmateriaal kunnen leveren als dat nodig is bij een cyberincident. Hierbij kun je denken aan log bestanden, verschillende analyses over netwerkverkeer, authenticatiedata, etc.

Waar start ik om op weg te gaan naar forensic readiness?

De eerste stap naar forensic readiness is om te bepalen voor welke scenario’s er digitaal bewijsmateriaal nodig is waarover vervolgens forensisch onderzoek wordt uitgevoerd. Dat kan bijvoorbeeld om een strafbaar feit aan te tonen, of omdat de organisatie moet voldoen aan juridische regelgeving, of omdat er een contractuele verplichting is, maar het kan net zo goed om een compromittatie uit te sluiten.

Na het bepalen van de scenario’s kan een inventarisatie van alle mogelijke (data) bronnen binnen de organisatie worden opgemaakt. Per bron wordt het type data bepaald, evenals de forensische waarde, de retentie, het formaat, de juridische uitdagingen, de mate van detail en wie er toegang tot heeft. Enkele voorbeelden van bronnen zijn firewalls, routers, switches, beveiligingscamera’s, werkstations en back-upvoorzieningen. Per scenario kunt u een overzicht maken met de bronnen waar vanaf data verzameld kan worden dat kan dienen als bewijsmateriaal.

Nu de scenario’s en alle bronnen bekend zijn, is het tijd om te bepalen of er eisen worden gesteld aan het verzamelen, het versturen en het opslaan van de data zodat het straks als bewijsmateriaal kan dienen. De hoogste prioriteit van een Incident Response-team tijdens een cyberincident is vaak om de organisatie weer back-in-business te krijgen. Tijdens een cyberincident is er absoluut geen tijd om de spelregels te bepalen. Fouten bij het verzamelen, versturen of opslaan van data kan ervoor zorgen dat het bewijsmateriaal niet beschikbaar, onbruikbaar of onbetrouwbaar wordt. De spelregels van incident response zullen van tevoren bedacht moeten worden.

Procedures en technische middelen

Voordat er forensisch onderzoek plaatsvindt over de data, is het verstandig om vast te stellen of de verzamelde data authentiek is. “Gewone” logbestanden zijn immers eenvoudig te wijzigen Gelukkig bestaan er legio mogelijkheden om dit mogelijk te maken. Om de integriteit van data te waarborgen kan direct na de acquisitie er een sha1-hash berekend worden. Bij elke actie tijdens het forensisch onderzoek dient de sha1-hash van de data geverifieerd te worden. Hiermee bevestigt de forensisch onderzoeker dat bevindingen die voortkomen uit het onderzoek op basis van correcte en geverifieerde data afkomstig is.

Een alternatief voor het lokaal bewaren en verzamelen van data op de bronnen, is door de data real-time naar in een speciaal daarvoor ingericht systeem te sturen. Vaak wordt een dergelijk systeem ingezet voor het verzamelen van data van meerdere bronnen. Een dergelijk systeem wordt veelal ingezet om afwijkend gedrag te detecteren vergeleken met de baseline.

Met de baseline duidt men verwacht gedrag voor groepen systemen op verschillende tijdstippen aan. Denk aan meer authenticatie- en e-mailverkeer aan het begin van de werkdag voor systemen waar eindgebruikers op werken. Of voor websiteverkeer naar de eigen webservers tijdens werkuren of tijdens avonduren. Dat betekent nog niet dat eerdergenoemde activiteiten niet op andere momenten kunnen plaatsvinden, maar bij buitensporige waarnemingen is het verstandig om dit te onderzoeken. De baseline kan veranderen als systemen worden vervangen of als de organisatie besluit een nieuwe manier van werken toe te passen. Een voorbeeld is doordat eindgebruikers niet meer op kantoor, maar vanuit huis gaan werken met flexibele werktijden. Dat betekent dat de baseline, dus het verwachte gedrag, verandert en de alertering op afwijkingen zich daarop aanpast.

Een belangrijk gegeven is dat de voorbereidende fase zich beperkt tot het continue verbeteren van de detectie. Het daadwerkelijk vaststellen van afwijkend gedrag als verdacht vindt plaats in de volgende fase van de IR-levenscyclus, namelijk de identificatie fase.

Om gedegen onderzoek uit te voeren, dient het Incident Response-team te beschikken over de juiste middelen. De middelen dienen te voldoen aan het kunnen opleveren van bewijsmateriaal zoals is bepaald als bij de eerste stap van Forensic Readiness zijn. Ook bij forensisch onderzoek geldt “Goed gereedschap is het halve werk”. Daarnaast doet het Incident Response-team er verstandig aan om te beschikken over twee verschillende systemen. Een speciaal geprepareerd systeem voor het onderzoek en het tweede systeem voor het schrijven van een rapport. Het is voor de rapportage later van belang dat elke actie en daaruit voorvloeiende bevinding duidelijk beschreven wordt, waarbij ook wordt vastgelegd welke impact het heeft op de organisatie.

Expertise en samenwerking

Naast het hebben van goed gereedschap en goed gedefinieerde spelregels, is het net zo belangrijk dat de leden van het Incident Response-team goed zijn opgeleid en op elkaar zijn ingespeeld. Het beschikken over mensen met daarvoor bestemde certificaten geeft de organisatie het vertrouwen dat de leden beschikken over de juiste kennis. Naast het beschikken van gecertificeerde mensen is een juiste afstemming en samenwerking net zo belangrijk. Tijdens een cyberincident is het wenselijk om te weten wat ieders vaardigheden zijn. Door van tevoren te oefenen leert het Incident Response-team wat ieders vaardigheden zijn, waar ze inzetbaar zijn en waar ze elkaar kunnen aanvullen.

Niet elke organisatie beschikt over mensen of middelen om diepgaand forensisch onderzoek te doen. Iedere organisatie bepaalt voor zichzelf wat binnen de mogelijkheden behoort en wanneer er een beroep wordt gedaan op een externe organisatie voor specialistischer forensisch onderzoek. Het helpt de externe organisatie als bepaalde informatie op voorhand beschikbaar is die up-to-date is. Denk bijvoorbeeld aan een netwerkdiagram, configuratiebestanden van interne bronnen of systemen en eventueel al verzamelde data. Dit kan tijd besparen bij het Incident Response.

Samenvattend betekent forensic readiness dat je als organisatie in staat bent om in beperkte tijd uit verschillende bronnen te kunnen achterhalen wat er is gebeurd, welke gevolgen het heeft voor de organisatie en wat u kunt doen om weer back in business te zijn. Het niveau van forensic readiness verschilt per organisatie, afhankelijk van de scenario’s. Kleinere organisaties kunnen in het algemeen over minder bronnen beschikken waarover forensisch onderzoek gedaan kan worden, maar dat betekent niet dat forensisch onderzoek onmogelijk is. In tegendeel zelfs. In de volgende blog licht ik graag toe hoe u met beperkte middelen alsnog een grote hoeveelheid data kunt verzamelen waarover men forensisch onderzoek kan doen.

Wim van Ruijven
Security Specialist bij het NCSC

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.