Elke organisatie kan te maken krijgen met malafide activiteiten op een ICT-netwerk of met digitale aanvallen. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt.
Hoe werkt detectie?
Wanneer een organisatie een malwarebesmetting vindt op een systeem, bestaat de kans dat dit niet het enige systeem is dat besmet is, of dat de organisatie als enige getroffen is. Om een beeld te krijgen van de malwarebesmetting en de kenmerken ervan kan de organisatie kijken of er meerdere systemen dezelfde kenmerken vertonen van infectie met dezelfde malware. Als deze kenmerken met andere organisaties worden gedeeld, kunnen die organisaties dezelfde controles uitvoeren.
Naast malwarebesmettingen ontdekken kan detectie ook gebruikt worden om aanvallen op uw organisatie waar te nemen vóórdat deze leiden tot een incident. Denk aan e-mailberichten met een bijlage die door antivirus-software als malafide wordt gezien. Of een interne gebruiker met kwade bedoelingen die voortdurend toegang probeert te krijgen tot data of een systeem waar hij/zij geen toegangsrechten voor heeft.
Door malafide activiteiten op te merken kunnen deze soms gestopt worden. Uitkomsten van detectie helpen organisaties ook te identificeren welke beveiligingsmaatregelen werken en welke maatregelen beter kunnen.
In een ideale situatie wordt op zowel systeem- als netwerkniveau informatie verzameld die voor detectie gebruikt kan worden. Afhankelijk van het type dreiging en de informatie over de dreiging zijn verschillende informatiebronnen nodig. Bijvoorbeeld:
log-informatie van een proxy-, mail- of DNS-server
netflow-data
Windows event-logging
log-informatie van antivirus-software op servers en werkstations
Natuurlijk bepaalt de grootte van een organisatie en de grootte en volwassenheid van het securityteam hoeveel log-informatie beschikbaar is. Ook de informatiebehoefte verschilt per organisatie.
Vaak komen er uit incidenten verschillende kenmerken naar voren over gedragingen die bij deze incidenten zijn waargenomen. Deze kenmerken worden ook wel Indicators of Compromise (IoC) genoemd. We bedoelen daarmee bijvoorbeeld:
e-mailadressen van afzenders van e-mailberichten met malware
domeinnamen waar malafide software verbinding mee maakt
kenmerken van malwarebestanden die op systemen zijn geplaatst.
Een organisatie kan deze log-informatie bevragen om te kijken of de bekende kenmerken ook binnen de eigen organisatie zijn waargenomen, en zo ja, waar en wanneer.
Naast het monitoren op kenmerken kan een organisatie ook monitoren op patronen en/of gedragingen die afwijken van het normaal-beeld. Bijvoorbeeld op:
werkstations die midden in de nacht activiteit vertonen;
gebruikersaccounts die opeens gebruikt worden voor pogingen om bij afgeschermde informatie of systemen te komen;
gebruik van tooling om 'lateral movement' uit te voeren binnen het netwerk.
Voor waarneming van zulke activiteiten moet een organisatie ervoor zorgen, dat de log-informatie automatisch of handmatig gecontroleerd wordt op deze gedragingen. Ook moet een organisatie zelf in kaart brengen wat het normaal-beeld is voor activiteiten binnen de organisatie. Deze geavanceerdere methode van detectie kost meer inspanning om goed op te zetten en als werkwijze te volgen.
Om detectie in jouw organisatie toe te passen, moet je eerst een beeld hebben van jouw netwerk en systemen.
Identificeer de punten in het netwerk waar veel informatie van andere systemen naar toe en/of doorheen gaat. Bijvoorbeeld de AD-servers, firewalls, proxy-servers en DNS-servers.
Deze netwerkpunten vormen een goed begin voor een overzicht van jouw ICT-netwerk en vormen de juiste bronnen om log-informatie uit te halen.
Bedenk vervolgens waar u de log-informatie gaat bewaren. Dit kan decentraal (bewaren van log-informatie op de systemen waarop deze gegenereerd wordt) of centraal (aggregreren en correleren, bijvoorbeeld met SIEM-software). Houd rekening met beschikbare opslagruimte en de Algemene verordening gegevensbescherming (Avg).
Voor detectie is dreigingsinformatie nodig. Deze informatie kan verzameld worden door:
open bronnen te raadplegen,
het eigen incidentresponsproces te gebruiken,
dreigingsinformatie uit te wisselen met andere organisaties,
commerciële dreigingsinformatie inkopen.
Organisaties moeten investeren om te zorgen dat de kwaliteit van dreigingsinformatie goed is. Ook het securityteam moet voldoende kennis hebben om relevante zoekvragen te stellen en tooling in te zetten voor oplossingen.
Wat betekent dit voor mijn organisatie?
Detectie is een krachtig middel om bepaalde dreigingen vroegtijdig waar te nemen. Op die manier kan jouw organisatie tijdig actie ondernemen om besmetting in haar systemen of netwerken te voorkomen. Ook kan mogelijke schade als gevolg van een besmetting zo veel mogelijk beperkt worden. Om detectie in te zetten moet een organisatie investeren in kennis en middelen om de benodigde informatie te verzamelen en te duiden. Dit kan bijvoorbeeld via het Nationaal Detectie Netwerk.
Wat is het Nationaal Detectie Netwerk?
Het NCSC maakt deel uit van het Nationaal Detectie Netwerk (NDN). De rol van het NCSC in het NDN is om een breed en gemeenschappelijk beeld van actuele cyberdreigingen te vormen. Organisaties die deelnemen aan het NDN leveren (anoniem) informatie aan. Het NCSC deelt deze kennis met doelgroeporganisaties bij de rijksoverheid en vitale aanbieders.