Incident respons en digitaal forensisch onderzoek voor Nederland

Weblogbericht | 11-03-2021 | NCSC

Deze vragen stelde ik mijzelf aan het begin van mijn carrière en kunnen ook relevant zijn voor andere organisaties. In een serie expertblogs probeer ik deze vragen zo goed mogelijk te beantwoorden. Mijn naam is Wim van Ruijven, securityspecialist bij het Nationaal Cyber Security Centrum (NCSC) en dit is de eerste blog van mijn serie expertblogs over Digital Forensics and Incident Response (DFIR).

Wat betekent DFIR?

DFIR is de afkorting voor Digital Forensics and Incident Response. Het is een verzameling van vaardigheden die je toepast bij het identificeren, analyseren en verhelpen van cyberincidenten. Allereerst bepaalt een organisatie of het echt gaat om een cyberincident en niet om een willekeurige gebeurtenis. Ter verduidelijking; we spreken van een willekeurige gebeurtenis als het gaat om afwijkend en onverwacht gedrag van een systeem, maar waar het nog onduidelijk is of het met malafide intenties is veroorzaakt. Bij een cyberincident zijn er meerdere bronnen/systemen die, met behulp van indicatoren van malafide acties, afwijkend en verdacht gedrag detecteren.

Als Incident Handler ga jij op zoek naar “patient zero”. Wat is de bron van het cyberincident? Welke acties volgden en is het bestaansrecht van de organisatie in gevaar? Aan de hand van beschikbare informatie voer je een analyse uit en breng je een verslag uit. Hierin geef je een zo gedetailleerd mogelijk beeld op basis van de beschikbare middelen wat er tijdens het cyberincident plaatsvond. Dit kun je bijvoorbeeld in een tijdlijn specificeren waarin je de belangrijkste momenten en gebeurtenissen van het cyberincident chronologisch vermeldt. Daarnaast probeer je antwoord te geven op de belangrijkste onderzoeksvragen. Je kunt het zien als het oplossen van een ingewikkelde puzzel.

Als forensisch specialist voer je een analyse uit over informatie. De informatie zegt iets over de status en de vorm van verschillende type data. Er zijn 3 fases waarin data kan verkeren, namelijk in ruste, in beweging of in gebruik. Forensisch onderzoek is op vergelijkbare manier onderverdeeld. Zo wordt onderscheid gemaakt in system/host forensics, network forensics en memory forensics. Host forensics zou je verder kunnen opsplitsen. Het beperkt zich niet tot Windows systemen, maar ook mobiele apparaten (Android of IOS), macOS en ICS/SCADA-systemen.

Bij system/host forensics richt een specialist zich op het analyseren van informatie van een (vermoedelijk) gecompromitteerd systeem en gaat op zoek naar forensische artefacten. Denk aan het bekijken van metadata van bestanden, de registers, de partitietabel van het bestandssysteem of de logbestanden van uitgevoerde processen en applicaties. De specialist kan dit proces op andere systemen herhalen, mits beschikbaar en wanneer er aanwijzingen zijn dat deze ook betrokken zijn bij het cyberincident. Tijdens het onderzoek stelt de specialist het bewijs veilig en registreert de bevindingen in een timeline.

Bij network forensics richt de specialist zich op het analyseren van ruwe netwerkdata en logbestanden van netwerkdiensten. Niet in elke situatie beschikt men over een gecompromitteerd systeem vanwege uiteenlopende redenen. Als het systeem vanaf het netwerk is gecompromitteerd, is de kans groot dat er nog voldoende sporen aanwezig zijn om een goed beeld te krijgen wat het doel van de aanval was en welke acties de aanvaller uitvoerde. Bevindingen worden opgenomen in een overzicht in de vorm van een timeline.

Zodra data in gebruik is, wordt het geheugen van het systeem aangesproken. Als er een interessante gebeurtenis plaatsvindt op een systeem, zal dit via het geheugen zijn verwerkt. Met memory forensics richt de specialist zich op het analyseren van het geheugen waarbij informatie kan worden gevonden over o.a. gestarte processen, tot stand gekomen netwerkverbindingen, welke hard- en software configuratie van toepassing was tot aan uitgevoerde malafide bestanden. Malafide bestanden zijn meestal goed in het verbergen of het uitvoeren, niet in beide. Het kan tijd besparen door inzicht te verkrijgen hoe een malafide proces werkt in het geheugen dan het doorzoeken van tientallen gevonden artefacten op een systeem.

Vanuit de andere specialismen kan men ook stuiten op malafide bestanden. Bij host forensics zou dit op het systeem kunnen worden aangetroffen, bij network forensics in ruwe netwerkdata en zoals net aangegeven bij memory forensics in het geheugen. Indien een initiële triage met behulp van een sandbox analyse geen uitsluitsel geeft over de intenties van het malafide bestand, kan een specialist in malware forensics het via reverse engineering-technieken bestuderen. Hiermee kan inzicht verkregen worden wat de ware aard is van het malwaresample en onder welke condities het uitgevoerd wordt.

De ideale samenstelling van een incident response team heeft minimaal een specialist vanuit elke bovengenoemde disciplines. Iedere specialist kan op zijn/haar vakgebied nieuwe indicatoren ontdekken die kunnen bijdragen bij het vinden van nieuwe nog niet ontdekte gecompromitteerde systemen. Vanuit de organisatie, waar het cyberincident plaatvond, heeft het incident response team ondersteuning nodig van zowel technische als de organisatorische kant. Het is voorstelbaar dat het team geen toegang heeft tot interne systemen. Daarom is het belangrijk dat met de verantwoordelijke beheerders van de verschillende systemen wordt samengewerkt om configuraties en logbestanden te verzamelen. Een dergelijk onderzoek raakt eveneens het privacy aspect van medewerkers. Vanuit organisatorisch perspectief is het om die reden wenselijk dat een privacy officier betrokken wordt en goedkeuring geeft.

Waarom DFIR?

Het incident response team heeft drie taken: De schade als gevolg van een cyberincident beperken, het zo snel mogelijk herstellen van de bedrijfsprocessen, en het verschaffen van advies om toekomstige cyberincidenten te voorkomen. Voor een organisatie kunnen de gevolgen van een cyberincident groot zijn. Denk bijvoorbeeld aan het lekken van (zeer gevoelige) persoonsgegevens, het niet meer uit kunnen voeren van het primaire bedrijfsproces of het verlies of diefstal van de meest waardevolle assets, ofwel de ‘kroonjuwelen’. Wanneer weet je als organisatie of een cyberincident verholpen is? Bleef het incident beperkt tot één systeem of verkregen ongeautoriseerde individuen volledige toegang tot systemen en data? En wat is daar mee gebeurd? Zit de aanvaller nog in het netwerk en heeft de aanvaller het doel bereikt? En wat was het doel?

Verschillende internationale beveiligingsorganisaties claimen dat tussen de 60 dagen en 200 dagen verstrijken voordat organisaties een inbraak detecteren, afhankelijk van de sector waarin de organisaties zitten. Voor mij is niet duidelijk hoe dit zich verhoudt voor Nederlandse organisaties, maar als organisatie wilt u er natuurlijk bovenop zitten.

Welke onderwerpen verschijnen verder in deze serie expertblogs?

In deze serie expertblogs vertel ik meer over de stappen die u kunt nemen bij het voorbereiden op of het voorkomen van een cyberincident. In de voorbereiding maakt u een risicoanalyse, bepaalt u wat uw kroonjuwelen zijn, waartegen u deze beschermt, op welke locaties u monitoring en logging toepast. ‘Goed gereedschap is het halve werk’. Het spreekwoord is ook van toepassing voor de Incident Handler die forensisch onderzoek uitvoert. Het doel van de Incident Handler of forensisch onderzoeker is om een zo duidelijk mogelijk beeld te creëren. In de expertblogs licht ik verschillende publiek beschikbare tooling toe die u kunt gebruiken om een cyberincident te analyseren. Tooling om lokaal of vanaf afstand te zoeken naar afwijkingen op systemen in het computernetwerk. Bij een “hit” vertel ik hoe u een kopie maakt van het systeem en het systeemgeheugen. Vervolgens hoe u (snel en eenvoudig) een analyse uitvoert bij het vinden van een artefact bij gebrek aan tijd.

Wim van Ruijven
Security Specialist bij het NCSC.