Hoe werkt detectie?

Wanneer een organisatie een malwarebesmetting vindt op een systeem, bestaat er een kans dat dit niet het enige systeem is dat besmet is, of dat de organisatie als enige getroffen is. Om een beeld te krijgen van de malwarebesmetting en de kenmerken ervan kan de organisatie kijken of er meerdere systemen dezelfde kenmerken vertonen van infectie met dezelfde malware. Als deze kenmerken met andere organisaties worden gedeeld, kunnen die organisaties dezelfde controles uitvoeren.

Detectie voor besmetting

Naast malwarebesmettingen ontdekken kan detectie ook gebruikt worden om aanvallen op uw organisatie waar te nemen vóórdat deze leiden tot een incident. Denk aan e-mailberichten met een bijlage die door antivirus-software als malafide wordt gezien. Of een interne gebruiker met kwade bedoelingen die voortdurend toegang probeert te krijgen tot data of een systeem waar hij/zij geen toegangsrechten voor heeft.

Door malafide activiteiten op te merken kunnen deze soms gestopt worden. Uitkomsten van detectie helpen organisaties ook te identificeren welke beveiligingsmaatregelen werken en welke maatregelen beter kunnen.

Informatiebronnen voor detectie

In een ideale situatie wordt op zowel systeem- als netwerkniveau informatie verzameld die voor detectie gebruikt kan worden. Afhankelijk van het type dreiging en de informatie over de dreiging zijn verschillende informatiebronnen  nodig. Bijvoorbeeld:

  • log-informatie van een proxy-, mail- of DNS-server
  • netflow-data
  • Windows event-logging
  • log-informatie van antivirus-software op servers en werkstations

Natuurlijk bepaalt de grootte van een organisatie en de grootte en volwassenheid van het securityteam hoeveel log-informatie beschikbaar is. Ook de informatiebehoefte verschilt per organisatie.

Bekende dreigingen

Vaak komen er uit incidenten verschillende kenmerken naar voren over gedragingen die bij deze incidenten zijn waargenomen. Deze kenmerken worden ook wel Indicators of Compromise (IoC) genoemd. We bedoelen daarmee bijvoorbeeld:

  • e-mailadressen van afzenders van e-mailberichten met malware
  • domeinnamen waar malafide software verbinding mee maakt
  • kenmerken van malwarebestanden die op systemen zijn geplaatst.

Een organisatie kan deze log-informatie bevragen om te kijken of de bekende kenmerken ook binnen de eigen organisatie zijn waargenomen, en zo ja, waar en wanneer.

Onbekende dreigingen

Naast het monitoren op kenmerken kan een organisatie ook monitoren op patronen en/of gedragingen die afwijken van het normaal-beeld. Bijvoorbeeld op:

  • werkstations die midden in de nacht activiteit vertonen;
  • gebruikersaccounts die opeens gebruikt worden voor pogingen om bij afgeschermde informatie of systemen te komen;
  • gebruik van tooling om 'lateral movement' uit te voeren binnen het netwerk.

Voor waarneming van zulke activiteiten moet een organisatie ervoor zorgen, dat de log-informatie automatisch of handmatig gecontroleerd wordt op deze gedragingen. Ook moet een organisatie zelf in kaart brengen wat het normaal-beeld is voor activiteiten binnen de organisatie. Deze geavanceerdere methode van detectie kost meer inspanning om goed op te zetten en als werkwijze te volgen.

Wat heeft u nodig voor detectie?

Om detectie in uw organisatie te doen, moet u eerst een beeld hebben van uw netwerk en systemen.

  1. Identificeer de punten in het netwerk waar veel informatie van andere systemen naar toe en/of doorheen gaat. Bijvoorbeeld de AD-servers, firewalls, proxy-servers en DNS-servers.
    Deze netwerkpunten vormen een goed begin voor een overzicht van uw ICT-netwerk en vormen de juiste bronnen om log-informatie uit te halen.
     
  2. Bedenk vervolgens waar u de log-informatie gaat bewaren. Dit kan decentraal (bewaren van log-informatie op de systemen waarop deze gegenereerd wordt) of centraal (aggregreren en correleren, bijvoorbeeld met SIEM-software). Houd rekening met beschikbare opslagruimte en de Algemene verordening gegevensbescherming (Avg).

Voor detectie is dreigingsinformatie nodig. Deze informatie kan verzameld worden door:

  • open bronnen te raadplegen,
  • het eigen incidentresponsproces te gebruiken,
  • dreigingsinformatie uit te wisselen met andere organisaties,
  • commerciële dreigingsinformatie inkopen.

Organisaties moeten investeren om te zorgen dat de kwaliteit van dreigingsinformatie goed is. Ook het securityteam moet voldoende kennis hebben om relevante zoekvragen te stellen en tooling in te zetten voor oplossingen.