Hoe je de juiste balans vindt tussen preventie, detectie en response

Als het gaat om het tegengaan van bedreigingen draait het, zoals alle dingen in het leven, om een kwestie van evenwicht. Hier is ons advies.

Ongeveer 15 jaar geleden begonnen de motieven van tegenstanders te verschuiven van roem en nieuwsgierigheid (bijvoorbeeld Love Letter, Nimda) naar een meer crimineel bedrijfsmodel en ecosysteem. Dit zorgde voor een tactische wijziging. Cybercriminelen moesten onder de radar blijven.

En in het afgelopen decennium zijn de breaches versneld. Nog geen vijf jaar terug in de tijd lazen we één of twee keer per jaar over grote inbreuken. Tegenwoordig is het tempo min of meer een of twee keer per week ...

Een verschuiving heeft plaatsgevonden en onderzoek op dit gebied toont aan dat de inkomsten uit georganiseerde cybercriminaliteit hoger zijn dan de inkomsten uit criminaliteit in de "echte wereld". Volgens cybersecurityventures.com zijn de kosten van schade door cybercriminaliteit wereldwijd gestegen van $3 biljoen in 2016 naar $6 biljoen dit jaar. In 2025 zal het naar verwachting $10,5 biljoen bedragen.

Ransomware is uitgegroeid van iets dat in de meeste gevallen kan worden gezien als bijkomende schade voor de onderneming (aangezien het doel niet in de eerste plaats het bedrijf was, maar in plaats daarvan het individu) tot een veel groter probleem vandaag de dag. Als het om individuen ging, was het herstellen van systemen en verloren productiviteit natuurlijk pijnlijk en enigszins kostbaar, maar dit kon in de meeste gevallen worden opgelost door back-ups te herstellen.

Wat we tegenwoordig zien, is een verschuiving waarbij de belager weken, maanden of soms zelfs jaren voet aan de grond hebben in een klantomgeving voordat ze een gecoördineerde ransomware aanval uitvoeren op meerdere systemen, vaak de meest kritieke. In sommige gevallen zelfs met behulp van de distributietools van de klant om de ransomware te verspreiden.

Onderdeel van dit aanvalsschema is ook dat de tegenstanders op zoek zijn naar het intellectuele eigendom of de "kroonjuwelen" in de klantomgeving (en deze ook vaak vinden). Deze gegevens kunnen later worden verkocht of zelfs worden gebruikt als een tweede middel als chantage als de klant weigert de aanvankelijke eis voor losgeld te betalen. De vraag rijst dan, of zelfs wanneer de aanvallers weg zijn en de gecodeerde systemen hebben vrijgegeven, ze ooit echt weg zijn? Het gebruik van ransomware aan het einde van de aanval is ook een manier om chaos te veroorzaken bij het getroffen bedrijf en een poging om de sporen van de gestolen gegevens uit te wissen.

"Preventie is ideaal, maar detectie is een must", zei dr. Eric Cole, een gerenommeerde SANS-fellow en securityconsultant. Dit citaat, gerelateerd aan hoe inbreuken bijna onvermijdelijk zijn geworden, is relevanter dan ooit geworden. Inderdaad, wanneer een tegenstander door uw verdediging gaat, leidt dit misschien niet tot een ramp als u deze onmiddellijk kunt ontdekken.

Een verlenging van het citaat is ook: "detectie zonder respons heeft minimale waarde", wat inhoudt dat detecteren zonder te begrijpen wat je ziet of niet goed kunnen reageren, ook het verschil kan zijn tussen schade en ramp.

Historisch gezien was cyberbeveiliging voornamelijk gericht op preventie. Tegenwoordig zijn daar nog altijd de meeste investeringen. Echter, investeren in alleen dit gebied van security wordt na verloop van tijd irrelevant.

In het begin neemt het beveiligingsniveau toe. Maar het vlakt in de loop van de tijd af vanwege het gebrek aan investeringen in de mogelijkheden om bedreigingen te detecteren en te reageren op dreigingen die niet konden worden voorkomen. Haal meer uit uw beveiligingsbudget door de verdeling in evenwicht te brengen met detectie en respons.

IMAGE 

BronOrange Cyberdefense

Zoals we hebben gezien, is preventie belangrijk, maar niet voldoende. Meer dan ooit is er behoefte aan detectiemogelijkheden om te kunnen zien wat er door verdedigingswerken gaat.

In 2015 bedacht Anton Chuvakin, destijds analist bij Gartner, het SOC-triade concept. De SOC-triade is opgebouwd rond het idee dat een SOC de volgende hoofdpijlers moet hebben voor de best mogelijke zichtbaarheid:

• SIEM/UEBA
• Network Detection and Response
• Endpoint Detection and Response

Idealiter zou elk bedrijf al het bovenstaande moeten hebben, ook al heeft elke detectiepijler natuurlijk zijn sterke en zwakke punten.

Onze ervaring is dat de snelste manier om zichtbaarheid van uw omgeving te krijgen, is door te beginnen bij de endpoints. Endpoint staat centraal voor een aanvaller en zijn vaak het brandpunt van een aanval. Het is de plek waar u de meest uitgebreide informatie kunt ophalen over hoe een aanvaller te werk gaat. En dus als het gaat om snel inzicht krijgen, heeft een goede Endpoint Detection and Response (EDR) -agent de minste afhankelijkheid van de eindgebruikersorganisatie om de breedste dekking van inbreukdetectie te bieden.

Zoals de meeste gevallen in cybersecurity, is het echter niet alleen een technologiekeuze, maar ook even belangrijk om over de juiste vaardigheden en processen te beschikken om de verkregen zichtbaarheid van de technologie te kunnen begrijpen.

Streef altijd naar de best mogelijke preventie. Hoe meer je eruit filtert door preventiesystemen, hoe minder er zal moeten worden geanalyseerd wat er doorheen komt.

Veel van de grote inbreuken op ondernemingen hebben bijvoorbeeld gevolgen gehad voor bedrijven die veel hebben geïnvesteerd in beveiligingsteams (inclusief mensen en processen), die beschikking hadden over detectietechnologie en waar waarschuwingen zijn gegenereerd over de inbreuk. Maar de mensen, processen en technologieën zijn niet op elkaar afgestemd, wat leidt tot een stroom van waarschuwingen, waardoor het voor analisten moeilijk is om de inbreuk te vinden in de wirwar van waarschuwingen.

Processen moeten herhaalbaar zijn (en waar mogelijk geautomatiseerd), consistent, uitvoerbaar zijn en regelmatig worden geoefend door degenen die ze moeten uitvoeren. Als het gaat om het detecteren van en reageren op bedreigingen, zoals alles, oefening baart kunst.

Zonder detectiemogelijkheden kun je niet zien wat er door de verdediging gaat. En het absoluut best mogelijke punt om alles te zien, bevindt zich op de endpoint, omdat u processen, geheugen, gebruikers, traffic (voordat het wordt gecodeerd), etc. kunt volgen.

Er zijn veel technologieën die de mogelijkheid hebben om telemetriegegevens van endpoints te verzamelen, maar het belangrijkste punt vanuit technologisch perspectief is hoe de verzamelde gegevenspunten in de volgende stap worden verwerkt. Het hebben van een technologie die is gebouwd om de analisten te helpen bij het vinden van de inbreuk, waarbij de punten in een tijdlijn worden samengevoegd, zal veel tijd en moeite besparen in de analysefase.

Het enige nadeel is dat je niet op alle apparaten in je netwerk een sensor of agent kunt installeren, vandaar dat de SOC-triade zorgt voor meer volledige zichtbaarheid en dekking op langere termijn.

Dus hoewel de endpoint vaak een goede plek is om te beginnen, is het ook noodzakelijk om over de toekomst na te denken. Hoe bouw je een detectiestrategie op? Welke vastgestelde kaders gaat u gebruiken om die strategie te begeleiden? En wat ga je doen met de behaalde zichtbaarheid?

Dit zijn allemaal vragen die Orange Cyberdefense haar klanten helpt te beantwoorden - hetzij door middel van begeleiding en consultatie, of zoals gebruikelijker, om ook betrokken te zijn bij het uitvoeren van deze strategie en het uitbreiden van de teams van onze klanten door middel van Managed Detection and Response services.

Tijd om te detecteren is cruciaal. Maar tijd om een passend antwoord te geven om de schade van een overtreding te beperken, is ook belangrijk.

Response kan van alles zijn; van het isoleren van getroffen endpoints, het opnieuw instellen van gebruikerswachtwoorden, tot het starten van een grondiger incidentonderzoek. Maar ook meer proces gerelateerde taken, zoals wanneer een incident moet worden geëscaleerd naar het management, hoe te communiceren met externe partijen (zoals wetshandhaving, media, enz.), en hoe om te gaan met verschillende soorten cyberbeveiligingsincidenten (een phishing-incident zal waarschijnlijk heel anders worden behandeld dan bijvoorbeeld een DDoS-aanval).

Het belangrijkste punt is dat u uw response capaciteiten moet kennen en ook hoe u deze kunt gebruiken, zelfs als uw IT-systemen niet werken. Heeft u contactgegevens van de belangrijkste stakeholders alleen in digitaal formaat of ook gedrukt? Dit raakt ook het belang van een BCP (Business Continuity Plan), maar dat is een onderwerp voor een andere post.

In het huidige dreigingslandschap zijn detectie en response capaciteiten een must. Het is ook cruciaal dat dit zoveel mogelijk de endpoint volgt, ongeacht waar ze zich bevinden (on/off-premise). Dit is nog belangrijker in deze door COVID-19 getroffen tijden, waarin de remote workforce enorm is toegenomen, waardoor er veel uitdagingen zijn om endpoints te controleren en te beheren.

Neem contact met ons op als u het detectie en response aspect van uw beveiligingsstrategie verder wilt bespreken.