Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Hoe zet je misleiding gericht in voor detectie?

Kennisartikelen
Leestijd:
Detectie
Groeien
Met op-misleiding-gebaseerde detectie plaats je lokaas en ‘decoys’ om een digitale inbreker vroeg en betrouwbaar te detecteren. Effectieve misleiding vergt dat je inspeelt op het typische gedrag van een aanvaller. In dit artikel leggen we je daarom uit voor welke aanvalstechnieken je op-misleiding-gebaseerde detectie effectief kan zetten (en voor welke niet).

Doelgroep

Ben je bekend met de concepten en algemene best-practices rondom op-misleiding gebaseerde detectie en ben je op zoek naar informatie om dit gericht in te zetten? Lees dan dit artikel.

Achtergrond

Dit artikel is onderdeel van een serie over op-misleiding gebaseerde detectie. We gaan er in dit artikel vanuit dat je bekend bent met de termen, technologieën en best-practices voor het inzetten van misleiding. Mocht dat nog niet zo zijn, lees dan eerst Aan de slag met misleiding voor detectie voor meer context.

In dit artikel richten ons niet op de mogelijkheden die digitale misleiding biedt om dreigingsinformatie op te doen. Digitale misleiding is hier uitermate geschikt voor, maar in we richten we ons primair op het lokken en detecteren van aanvallers die toegang hebben verkregen tot jouw netwerk. 

We refereren naar verschillende aanvalstactieken en -technieken die een aanvaller kan gebruiken nadat deze toegang heeft verkregen tot een (bedrijfs-)netwerk. 
We maken gebruik van:

  • De Unified Kill Chain, die beschrijft welke aanvalstactieken een aanvaller meestal gebruikt tijdens een digitale aanval. 
  • Het MITRE ATT&CK framework, dat voor elk van deze tactieken beschrijft welke technieken een aanvaller kan gebruiken. 

We raden je aan om eerst bekend te raken met deze raamwerken alvorens je verder leest. 

Welke aanvalstactieken en -technieken kun je effectief detecteren met misleiding?

Een aanvaller maakt gebruik van verschillende tactieken en technieken zodra deze toegang heeft verkregen tot jouw netwerk. In onderstaande document vind je een overzicht van deze tactieken en technieken en hoe je hierop kan inspelen met digitale misleiding voor detectiedoeleinden. Gebruik deze mapping om snel inzicht te krijgen op hoe jij misleiding effectief in kan zetten. 

Geen bestand beschikbaar

Lokken 

Jouw misleiding begint op het moment dat een aanvaller op zoek is naar informatie over jouw digitale omgeving. Een aanvaller komt vaak ‘binnen’ op de werkplek van één van jouw medewerkers, maar heeft dan nog geen informatie over (de rest van) jouw netwerken en systemen. Om zijn aanval uit te voeren zal de aanvaller deze informatie proberen te verkrijgen met verschillende verkennings- en verzamelingsactiviteiten (Discovery, Credential access en Collection).

Succesvolle misleiding speelt in op de beperkte kennis die de aanvaller heeft van jouw digitale infrastructuur. Je plaatst hiertoe verschillende lokkertjes in jouw netwerk en systemen. Denk aan (verwijzingen naar) documenten, accounts of systemen die de interesse van een aanvaller wekken. Het doel van deze lokkertjes is om de aanvaller te lokken richting jouw decoys: de misleidende assets die een alert uitsturen zodra iemand hiermee interacteert. Er zijn veel mogelijkheden om een aanvaller te lokken tijdens zijn verkennings- en verzamelingsactiviteiten. 

Denk aan aanvallers die op zoek gaan naar informatie over: 

  • Andere systemen en diensten die toegankelijk zijn op het netwerk. Denk aan andere netwerksystemen (Remote system discovery), clouddiensten (Cloud service discovery) of informatie over het netwerkdomein (system network connections discovery). Door aantrekkelijke honeypots in jouw netwerk(en) te plaatsen speel je effectief in op een aanvaller die zich wil verplaatsen door het netwerk.
  • Informatie over de gebruikers in het domein, zoals gebruikersnamen (Account discovery), hashes en wachtwoorden (Unsecured credentials of Credentials from password store). Het verspreiden van honeycredentials – de inloggegevens van een honeyaccount – is bij uitstek geschikt om een aanvaller in de val te lokken. 
  • Data of lokale systeeminformatie die een aanvaller kan gebruiken voor het uitvoeren van zijn aanval en/of buit kan maken (zoals Log enumeration, software discovery, Data from cloud storage of E-mail capture). Je kan een aanvaller in de kaart spelen door aantrekkelijke honeytokens – zoals nep-logbestanden, executables, of documenten – te plaatsen in jouw systemen.

Detectie

Lokkertjes hebben het doel om een aanvaller te verleiden om met jouw decoys te interacteren. Doorgaans zal dit zijn wanneer een aanvaller voldoende zicht heeft op jouw infrastructuur en probeert zijn toegang te verruimen. 

Denk aan een aanvaller die probeert:

  • zich door het netwerk te bewegen (lateral movement) door toegang te krijgen tot een honeypot
  • aanvullende rechten en toegang te krijgen (privilege escalation) door in te loggen op een honeyaccount
  • inzage te krijgen in de inhoud van een honey-bestand (bijvoorbeeld Log enumeration).

Detectie vindt daarmee voornamelijk plaats tijdens de privilege escalation of lateral movement tactieken. Toch zijn er ook mogelijkheden om een aanvaller ook al tijdens zijn verkennings- en verzamelingsactiviteiten te detecteren. 

Denk aan een aanvaller die:

  • het netwerk verkent door een Ping/SYN netwerkscan uitvoert en daarmee interacteert met een honeypot (remote system discovery)
  • tijdens zijn dataverzamelingsactiviteiten stuit op een honey-mappenstructuur, een specifieke vorm van honeytokens die een alert uitsturen zodra de aanvaller een map of bestand opent
  • inlogt bij een cloud service dashboard (op een honeyaccount of -applicatie) als onderdeel van zijn (opvolgende) verkenningsactiviteiten.

Wanneer is op-misleiding gebaseerde detectie minder geschikt?

Op-misleiding-gebaseerde detectie is geschikt om aanvallers te detecteren die nog beperkt zicht hebben op jouw digitale infrastructuur. Toch biedt digitale misleiding geen antwoord voor de detectie van alle aanvalstechnieken. Zo kan het zijn dat: 

  • digitale misleiding de normale bedrijfsvoering verstoort. In theorie kun je misleiding op allerlei manieren toepassen, maar in praktijk kan dit juist verstorend zijn voor jouw normale medewerkers. Denk aan aanvalstechnieken zoals clipboard data of input capture, waarmee aanvallers zich richten op gebruikersinput. In theorie kun je hier ook misleiding toepassen (door bijvoorbeeld nep-honeycredentials op het klembord te plaatsen), maar in praktijk is dat niet haalbaar. 
     
  • de inzet van de techniek een te hoog aantal vals-positieven oplevert als deze niet goed geplaatst wordt. Denk aan een shared-drive die voor reguliere gebruikers toegankelijk is, of aan het plaatsen van nep-credentials in een mailbox. De kans dat een medewerker deze vindt en per ongeluk activeert is groot, waarmee het risico op vals-positieven (te) groot is. Goed geplaatste honeypots, -tokens of -accounts zijn in de praktijk zeer betrouwbaar en reduceren het risico op valse positieven juist.
     
  • aanvallers die tijdens hun aanval met name technieken gebruiken die zich richten op systeemdiensten die noodzakelijk zijn voor het goed functioneren van een systeem. Denk aan privilege escalation technieken die hun aanval richten op specifieke Windows services, DLLs, of account manipulatie. Omdat de aanval zich richt op specifieke, bekende processen is misleiding minder aan de orde.
     
  • aanvallers simpelweg niet verleid worden door jouw lokkertjes. Ze hebben bijvoorbeeld al zicht op jouw digitale infrastructuur, zijn al verder in de aanvalsketen of zijn zich er zeer van bewust dat er mogelijke misleidingstechnieken zijn ingezet.

Hoe ga ik concreet aan de slag met op-misleiding gebaseerde detectie?

Download de mapping en gebruik deze om te kijken hoe jij misleiding kunt inzetten als aanvulling op jouw bredere detectieportfolio. Veel voorkomende detectieproducten, zoals antivirus, EDR, NIDS of UEBA, blijven noodzakelijk om aanvallers tijdig te detecteren. Wel biedt misleiding een aantal unieke kansen om complementair in te zetten. Het stelt je immers in staat om alerts te genereren met een hoge mate aan betrouwbaarheid, gericht op het gedrag van een aanvaller. Overweeg hiertoe de sterke en zwakke punten in jouw detectie-inrichting en hoe je tekortkomingen kunt aanvullen met misleiding. Houd er hierbij rekening mee dat sommige aanvalstechnieken – zoals Valid Accounts – in praktijk vaker worden gebruikt dan anderen. 

Elke misleidingstechniek dekt een specifieke set aanvalstechnieken. Je doet er dus goed aan om meerdere misleidingstechnieken in te zetten om jouw detectie zo breed mogelijk in te richten. Overweeg daarnaast hoe je verschillende misleidingstechnieken kan combineren. Door te denken als een aanvaller vergroot je de kans op detectie en krijg je meer zicht op de stappen die aanvaller doorloopt. 

Elke misleidingstechniek gaat gepaard met zijn eigen sterke- en zwakke punten en de inzet hiervan is meer- of minder complex. Wil je hier meer over weten? Lees dan ook onze verdiepende artikelen over honeypots, honeyaccounts en honeytokens

In samenwerking met:

Architecten, adviseurs, specialisten en onderzoekers op het gebied van misleiding en op-misleiding-gebaseerde detectie van DTACT, Fortinet, GriffinGuard, PwC NL, SecurityHive, Thinkst Canary en TU Delft.

Formulier
Heeft deze pagina je geholpen?