SecureDetect

 

Blog door: Martijn Doedens, Security Consultant SecureLink

Martijn-Doedens-SecureDetect

Traditioneel gezien investeren organisaties in het nemen van preventieve maatregelen. Door gebruik te maken van bijvoorbeeld antivirus, firewalls en andere preventieve controls zorgen zij ervoor dat dreigingen zich niet kunnen manifesteren. Dit wordt gerealiseerd door netwerkverkeer of bestanden te blokkeren vóórdat deze actief worden. Dit soort preventieve controls kennen weinig false positives, aangezien van tevoren bekend is waarnaar gezocht moet worden.

Verminderde effectiviteit

Deze preventieve controls zijn uiteraard steeds geavanceerder geworden en zeker nog relevant. Echter, door de groei van ‘slimme malware’ nemen signature gebaseerde oplossingen in effectiviteit af. Ook oplossingen die het sandbox concept toepassen werken niet altijd meer. Bijvoorbeeld door malware met sandbox evasion of doordat er een zogenaamde ‘patient zero’ is, die toch geïnfecteerd raakt. Daarnaast neemt de hoeveelheid netwerkverkeer dat versleuteld is door middel van zeer sterke ciphers toe. Dit verkeer is lastig te ‘decrypten’ ten behoeve van inspectie (ook is dit niet altijd gewenst, als het om bepaalde data gaat).

Detectie wordt steeds belangrijker

Wij moeten ervan uitgaan dat je niet alles kunt tegen houden. De kans dat er zich ergens een aanvalsoppervlak bevindt dat niet te beschermen is of dat er een manier is om de preventieve controls te omzeilen is aanwezig. De taak is dan om deze dreigingen of ongewenst gedrag zo snel mogelijk te detecteren en op basis van deze detectie een response uit te voeren.

Twee soorten detectie

Security controls met een detecterende functie kennen een aantal kenmerken. Dit type controls staan over het algemeen niet in het pad van het verkeer en worden gevoed met data uit bronnen. Ik zie hier twee grote stromingen. Namelijk oplossingen die hun detecties doen op basis van data afkomstig van systemen in de vorm van logging (op wat voor manier dan ook) én oplossingen die hun detectie doen op basis van data afkomstig uit het netwerk in de vorm van het netwerkverkeer (dat door middel van een tap of SPAN configuratie aangeboden wordt).

Logdata

Als het om logdata gaat zijn Security Information & Event Management (SIEM) systemen oplossingen waarmee indicaties van verdacht ongewenst gedrag gegenereerd kunnen worden. Deze indicatoren geven een vermoeden weer (als van tevoren bekend is dat iets ongewenst is, kan dat in een preventieve oplossing direct geblokkeerd worden). Dit vermoeden moet verder geanalyseerd worden en in het geval van een true positive moet er een prioriteit aan gegeven en vervolgens een response geadviseerd worden. Deze taak wordt uitgevoerd door een Cybersecurity Analyst of iemand in de organisatie met die taak. Naast gebruik maken SIEMs is ook op het gebied van logging de trend om Machine Learning te gebruiken. Met name door op basis van logs het gedrag van gebruikers en systemen te analyseren (gebruik makend van algoritmes) kan een User & Entity Behaviour Analytics (UEBA) oplossing inzichten bieden die een SIEM niet (of niet makkelijk) kan bieden. Een UEBA zal een SIEM niet vervangen, de use cases zijn te verschillend. Wel verwacht ik dat deze markt meer naar elkaar toe zal groeien waardoor hybride oplossingen ontstaan die beide type use cases ondersteunen.

Netwerkdata

Netwerkdata kan, door netwerk taps of SPAN configuraties toe te passen, naar een Network Traffic Analytics (NTA) systeem gestuurd worden. Hier wordt, net als bij een UEBA, gebruik gemaakt van algoritmes om normaal netwerkgedrag en verdacht netwerkgedrag van elkaar te onderscheiden. Met deze technologie kunnen indicaties inzichtelijk gemaakt worden en worden dreigingen of ongewenst gedrag (insider threat) gedetecteerd. Het grote voordeel van NTA oplossingen is dat deze zonder veel inspanning in een bestaande IT architectuur geplaatst kunnen worden en weinig onderhoud en implementatie vereisen. Standaard worden al veel zaken inzichtelijk, omdat de detecties gebaseerd zijn op zowel supervised als unsupervised machine learning op een grote hoeveelheid data.

SecureInsight - 360 approachJuiste balans

In een ideale situatie is alles waar ik het over heb in dit blog in een IT-omgeving aanwezig, echter de realiteit is helaas bijna nooit ideaal. Organisaties moeten een balans zoeken in de verschillende typen controls (insight, prevent, detect & respond) en binnen elke categorie goed kijken wat voor hen de beste prijs/pret verhouding heeft (oftewel, met welke oplossing of dienst wordt de meeste winst behaald op het juiste gebied).

2018-02-13T17:25:38+00:00 25 januari 2018|
SecureLink Netherlands