Aan de slag met misleiding voor detectie

Het is verstandig om met een klein aantal misleidende assets te starten. Alle verschijningsvormen van misleiding voor detectie hebben hun voordelen en beperkingen. Het plaatsen van een (niet-interactieve) honeypot is bijvoorbeeld voldoende om discovery-activiteiten te detecteren (zoals een netwerkscan), maar doet niets voor het detecteren van pogingen tot privilege escalation. En waar een honeytoken genaamd “memo-financiele-zorgen.docx” misschien bij uitstek geschikt is voor het detecteren van rancuneuse medewerkers die de organisatie in een slecht daglicht willen plaatsen, doet het weinig voor de detectie van (geautomatiseerde) ransomware-aanvallen. 

Je gebruikt dus meerdere vormen van misleiding om verschillende type aanvallers te detecteren. Toch is het onverstandig om meteen een brede misleidingscampagne op te tuigen. Dit zorgt er namelijk voor dat je lastig uit de startblokken komt, misleiding niet optimaal benut en lastig zicht houdt op de opvolging van detectie. 

Maak dus een keuze uit de verschillende technologieën en opties en begin met het inrichten van één of enkele honeypots, -words of -accounts. Zo kun je experimenteren met de technologie en opvolging hiervan. Werk vervolgens stapsgewijs op naar een gelaagde verdedigingslinie, waarbij je na verloop van tijd meerdere vormen van misleiding toevoegt om een breed vangnet te creëren voor aanvallers.

De meeste aanvallers zijn makkelijker te misleiden dan we denken. Neem aanvallers serieus, maar overschat ze niet.

In de wereld van misleiding wordt vaak gesproken over de attacker mindset: denken zoals een aanvaller. Hoe zorg jij ervoor dat jouw decoys aantrekkelijk zijn, zonder dat de aanvaller argwaan krijgt? Dit lijkt niet onverstandig. Echter, het risico bestaat dat je aanvallers zodanig verbijzondert dat je deze overschat. Dit kan leiden tot onnodig complexe verdedigingsmaatregelen.

De ervaring leert dat de meeste aanvallers al snel verleid worden door laaghangend fruit. Zo blijken organisaties succes te hebben met het plaatsen van een toegangssleutel van een online webdienst als honeycredential. Zelfs als organisaties de betreffende webdienst verder niet gebruikten, bleek het aas te verleidelijk om niet toe te happen. 

Uiteraard is er een categorie aanvallers die zich lastiger laat misleiden. Dit is echter een kleine minderheid. Als je net begint met misleiding adviseren we je daarom om je te richten op specifieke aanvalstactieken en -technieken, zonder te veel in de attacker-mindset verzeild te raken.

Het feit dat we aanvallers niet moeten overschatten betekent niet dat je lukraak decoys moet plaatsen in jouw digitale omgeving. Bepaal geïnformeerd waar je jouw bestaande detectie-inrichting het beste kunt aanvullen met misleiding. Kennis van algemene aanvalstechnieken- en tactieken helpt hierbij. Maar vooral de kennis van je eigen digitale infrastructuur geeft je hierin een voordeel ten opzichte van aanvallers. 

Maak dus vooral gebruik van:

• Kennis over jouw risico’s: Als onderdeel van jouw bredere risicomanagement heb jij zicht op wat je moet beschermen en welke maatregelen je hebt getroffen. Maak hier gebruik van. Overweeg bijvoorbeeld om decoys te plaatsen als aanvulling voor vroegtijdige detectie (nabij of op jouw endpoints) of juist als laatste redmiddel (richting jouw kroonjuwelen).
   
• Red-teaming/pentest-rapporten: Testen brengen de digitale weerbaarheid van jouw organisatie in kaart. Zo krijg je zicht op tactieken en technieken die nog nauwelijks gemitigeerd worden, bijvoorbeeld door beperkingen in jouw detectie-architectuur. Overweeg om misleiding juist in te zetten op plekken waar de (gesimuleerde) aanvaller makkelijk doorheen kwam en waar jouw bestaande zicht ontoereikend is.
   
• Jouw netwerkbeheerders en -specialisten: Deze medewerkers hebben vaak het beste zicht op jouw digitale infrastructuur en hebben een gevoel bij de zwakke plekken. Raadpleeg hen niet alleen om te weten waar jij misleiding effectief kunt inzetten, maar ook hoe dat realistisch vormgegeven kan worden.

Detectie heeft enkel waarde als er opvolging plaatsvindt. Een melding van een decoy is doorgaans een zeer betrouwbare indicator dat er kwaadwillende activiteiten plaatsvinden in jouw netwerk. Het is daarmee belangrijk om deze meldingen op te volgen. Moet het betreffende systeem of gebruikersaccount bijvoorbeeld in quarantaine? En hoe weet je welke systemen of accounts een aanvaller verder nog gecompromitteerd hebben?

Met alleen de melding ben je er dus nog niet. Misleiding heeft alleen zin als je algemene opvolgingsprocessen al staan. Wellicht heeft jouw organisatie zelfs een eigen SOC (of neemt een SOC-dienst af) maar dit is geen vereiste. Zolang er toegewijde responscapaciteit beschikbaar is en je nodige voorzieningen getroffen hebt voor incidentrespons en het uitvoeren van forensisch onderzoek kan detectie door misleiding effectief worden ingezet. Neem decoys mee als meldingsbron en instrueer de betreffende medewerkers over het omgaan met meldingen uit decoys. Plaats deze hoog in de triage en zorg voor processen om hier snel opvolging aan te geven.

Met uitzondering van honeypots zijn de meeste decoys niet gekoppeld aan een specifieke plaats in het netwerk. Maar als je niet weet waar een alert vandaan komt, weet je niet waar de opvolging plaats moet vinden. De meeste decoys bieden hiertoe de mogelijkheid om duiding aan het alert toe te voegen. Dit maakt het voor jouw medewerkers een stuk behapbaarder om opvolging te doen.

In de eerste dagen na plaatsing van nieuwe decoys is het te verwachten dat er meerdere (vals-positieve) alerts worden uitgebracht. Denk aan (passieve) netwerkscans die een low-interaction honeypot aanpingen, maar ook honeytokens die (per abuis) verkeerd geplaatst zijn. Gebruik de eerste dagen na de uitrol van een nieuwe decoy vooral om de configuratie op orde te krijgen (bijvoorbeeld door IP-adressen te allowlisten) en bereid je medewerkers voor op vals alarm.

Beheer van decoys is essentieel voor het behoud van hun toegevoegde waarde. 

Geef daarom aandacht aan:

• De plaatsing van jouw decoys. Door een actueel overzicht te behouden waar jouw decoys uitstaan zorg je voor effectieve opvolging. Zeker in een dynamische IT-omgeving is het belangrijk grip te houden op de plaatsing van decoys. Veranderingen in je digitale omgeving kunnen immers de effectiviteit van decoys verlagen en aanleiding vormen voor aanpassingen. 
• Het up-to-date houden van jouw decoys. Sommige decoys behouden hun misleidende waarde alleen als je ze up-to-date houdt. Sommige decoys – zoals een honeypot gericht op het detecteren van netwerkscans – vereisen weinig interactie van de aanvaller en plaats je volgens het set-and-forget principe. Dit geldt niet voor alle decoys. Denk aan het detecteren van lateral-movement pogingen: een sterk verouderde honey-endpoint die meerdere oude kwetsbaarheden bevat zal argwaan wekken bij een aanvaller. Dit zal minder het geval zijn als dit endpoint enkel recente kwetsbaarheden bevat.
• Het controleren van (de werking van) jouw decoys. Omdat decoys typisch worden ingericht voor een laag aantal vals-alarmen, zullen deze weinig alerts genereren. Controleer periodiek of jouw decoys nog correct zijn geplaatst en correct alarmeren bij een (gesimuleerd) incident.

Overweeg, waar mogelijk, het plaatsen, updaten en controleren van decoys zo veel mogelijk te automatiseren. Onderzoek bijvoorbeeld de mogelijkheid om automatisch honeytokens aan te maken en te verspreiden in jouw netwerk.

Wil je aan de gang met misleiding? Maak dan gebruik van hetgeen er al bestaat. 

Denk aan:

1. Bestaande dienstverlening: Misleiding wordt steeds meer onderdeel van bestaande dienstverlening. Kijk bijvoorbeeld of jouw EDR/XDR of IAM-oplossing al ondersteuning biedt voor het gebruik van misleiding.
2. Commerciële platformen: Er zijn meerdere aanbieders van misleidingsplatformen die gespecialiseerd zijn in het genereren, plaatsen en beheren van decoys. 
3. Open-source: Er zijn verschillende open-source softwareprojecten waarmee je zelf honeypots, -tokens etc. kunt creëren. 

Overweeg om gebruik te maken van commerciële diensten (1) en (2). Deze maken grootschalige inzet van misleiding mogelijk tegen beperkte (beheers-) lasten. Gebruik open-source oplossingen alleen als je zelf wilt experimenteren met de technologie of zeer specialistische decoys wilt ontwikkelen. 

We adviseren je om gevoelige informatie over decoys, zoals waar zij zijn geplaats in het netwerk, te delen op need-to-know basis. Scherm informatie over het gebruik van misleiding af en vertel medewerkers enkel wat zij nodig hebben voor het uitvoeren van hun taak. Dit zal anders zijn voor bijvoorbeeld IT-beheerders of SOC-medewerkers. Maak hen duidelijk dat dit vertrouwelijke informatie is die niet breed gedeeld moet worden. Op deze manier beperk je de kans dat een aanvaller met een grote boog om jouw valstrikken heen stapt.