De CISO als James Bond

Hoe bescherm je je netwerk met de juiste tools?

Network
LogRhythm

In elke James Bond-film krijgt 007 als geheim agent een onmogelijke opdracht. Gelukkig vindt er aansluitend altijd een bezoek plaats aan Q, die Bond voorziet van de nodige gadgets waarmee hij zijn missie kan volbrengen, van een horloge met laserstraal tot de onvermijdelijke Aston-Martin. Het zijn vaak de nieuwste technologische snufjes die hem uit de problemen moeten helpen als de nood aan de man is. Net als deze Britse meesterspion staat de CISO vaak voor een mission impossible: stop álle dreigingen, ook die dreigingen die via het netwerk binnenkomen en de traditionele securityvoorzieningen omzeilen, en doe dit snel. Het grote verschil met Bond is dat de CISO niet te rade kan gaan bij een eigen Q die probleemloos een kist vol oplossingen opent. De CISO zal zelf op zoek moeten gaan.

Voor een cybercrimineel is een bedrijfsnetwerk in de regel een slecht verlichte virtuele speeltuin. Hier en daar zorgt een security-tool voor wat licht, maar op de meeste plaatsen is het donker en kun je goed verstoppen. Een ideale omgeving voor een cybercrimineel om rustig rond te kijken en op een bepaald moment toe te slaan.

Deze vergelijking maakt direct het belang van volledig inzicht in het netwerk duidelijk. Dat is de enige manier waarop je advanced persistent threats snel detecteert en kunt tegenhouden. Zonder inzicht verspreiden deze dreigingen zich gemakkelijk en snel, waarbij ze weinig last ondervinden van de bestaande securitytools. Gebrek aan inzicht leidt ook sneller tot serieuze dreigingen van binnenuit, zoals een privileged user die misbruik maakt van zijn rechten en in korte tijd veel schade kan aanrichten.

Legacy-security-tools zoals NetFlow-analyzers, next-generation firewalls (NGFW) en Intrusion-Detection & Prevention-systemen (IPS) bieden dat inzicht niet. Ook voorzien ze niet in analyse-en responsemogelijkheden die echt nodig zijn om op aanvallen te reageren. En dat terwijl bij een aanval tijdig ingrijpen cruciaal is. Hoe langer dit duurt, hoe meer gelegenheid de aanvaller heeft om het netwerk lateraal te verkennen en data te stelen of versleutelen.

Rol van machine learning

Dankzij steeds betere analysemethoden, waarbij machine learning een prominente rol speelt, wordt het echter steeds eenvoudiger om dreigingen vroegtijdig op te sporen. Het gecentraliseerd zoeken naar en analyseren van netwerkdata komt samen in zogenaamde Network Detection and Response-oplossingen (NDR).

NDR is in feite een subset van Network Traffic Analytics/Analysis (NTA), het proces van het verzamelen en analyseren van netwerkverkeer. NTA kan op verschillende manieren worden vormgegeven, maar de NDR-aanpak heeft daarbij wel de voorkeur. NTA richt zich dan op realtime monitoring en analyse en NDR op detectie en een volledige en snelle response.

Een NDR-oplossing is een sterk op het netwerk gerichte oplossing die dreigingen vanuit het netwerk kan detecteren en vervolgens gebruikmaakt van geïntegreerde SOAR-mogelijkheden (security, orchestration, automation en response) om een dreiging te stoppen.

Met NDR is er compleet inzicht in het netwerk, wat de securityanalist helpt bij het snel reageren en mitigeren van aanvallen. Het is juist dat continue inzicht dat traditionele tools als IPS and NGFW’s niet kunnen bieden.

NDR Dashboard

Hoe werkt NDR?

NDR biedt een geïntegreerde set mogelijkheden en workflows waarmee een organisatie geavanceerde bedreigingen snel en efficiënt kan detecteren, kwalificeren, onderzoeken en erop reageren. Onderdelen zijn:

  • Detectie

Een NDR-oplossing detecteert snel en efficiënt bedreigingen voordat ze schade veroorzaken. Daarbij wordt gebruikgemaakt van doelgerichte, veelzijdige sensoren die veel data over het netwerk genereren en deze met behulp van machine learning analyseren. Hierbij zet een NDR-oplossing de volgende technieken in:

- Op scenario’s gebaseerde modelering voor bekende tactieken, technieken en procedures (de zogenaamde TTP’s)

- Diepgaande inspectie van verkeersmetadata waarbij gekeken wordt naar bekende Indicators of Compromise (IoC’s)

- Gedragsanalyse en anomaliedetectie om onbekende dreigingen te detecteren.

Het onderling vergelijken van verschillende meldingen biedt zeer nauwkeurige detectie van bedreigingen zonder tijdrovende tuning of langdurige machinelearning-training. Sensoren pikken alle netwerkverkeer op, niet alleen de logs. De sensor zelf biedt extra mogelijkheden voor het detecteren van bedreigingen via een geïntegreerde deep packet analytics-engine. Deze geavanceerde, near-realtime engine maakt analyse mogelijk van hogesnelheidsnetwerkverkeer. De sensor stuurt ook applicatiebewuste metadata van netwerkverkeer door voor een bredere gecentraliseerde analyse en bedreigingsdetectie.

Een effectieve NDR-oplossing herkent duizenden Layer 7-applicaties dankzij geavanceerde en zeer snelle analysemogelijkheden. Op die manier zijn dreigingsindicatoren snel vast te stellen zonder de noodzaak van langdurige trajecten om anomalieën te leren kennen. Zo’n trainingsperiode leidt al snel tot een toename van false positives. Om deze terug te dringen, kan een NDR-oplossing ook risicovolle netwerkactiviteiten vaststellen op zowel netwerk- als applicatieniveau. Hiermee kan een organisatie zelf op maat gemaakte, specifieke dreigingsscenario’s ontwikkelen zonder de noodzaak van data science of veel forensische kennis van netwerken.

  • Onderzoek

Een NDR-oplossing biedt securityteams de mogelijkheid om op basis van analyses en inzicht in het netwerk de juiste keuzes te maken uit alle meldingen. Teams worden al snel overspoeld met meldingen. Door op risico’s gebaseerde analyses uit te voeren, zijn prioriteiten te stellen. Dat kan mede dankzij relevante, contextuele informatie vanuit de oplossing. Denk aan rijke metadata en het identificeren en categoriseren van alle bedrijfsapplicaties. Daarnaast kan een NDR-oplossing onweerlegbare bewijzen bieden voor wat betreft dreigingsanalyse, het afdwingen van policy’s, het ondersteunen van audits en bij juridische claims of issues. Ook threat hunting is met de hulp van een NDR-oplossing eenvoudiger in te richten. Via dashboards zijn verdachte activiteiten, bijvoorbeeld vanuit onbetrouwbare IP-adressen, gemakkelijk te identificeren en presenteren.

  • Response

Wanneer een NDR-oplossing is voorzien van SOAR-mogelijkheden, kan een organisatie sneller en effectiever reageren. Daarbij is het onder meer mogelijk om verschillende reacties te automatiseren, op basis van geautomatiseerde of op zoeken gebaseerde analysemethodieken.

Cyberaanvallen worden steeds geavanceerder en de schade die een succesvolle aanval aanricht, kan enorm zijn. Vandaar dat geen enkele organisatie het zich kan veroorloven zijn security te veronachtzamen. Een NDR-oplossing biedt in dit verband een antwoord op de toenemende dreiging, vooral door de sterke preventieve werking die snelle detectie en response met zich mee brengen.

Copyright © 2020 IDG Communications, Inc.