Threat Detection and Response (TDR) is een methodologie waarmee beveiligingsoperators aanvallen kunnen detecteren en neutraliseren voordat ze verstoring veroorzaken of een inbreuk worden. In deze blog bekijken we stap voor stap wat TDR inhoudt, lichten we de belangrijkste onderdelen uit en kijken we naar de belangrijkheid ervan.
Aan de slag met TDR, waarom hebben we het nodig?
Het wordt steeds moeilijker voor cyberbeveiligingsteams om cyberbedreigingen in verschillende operationele omgevingen te identificeren, te onderzoeken en erop te reageren. Ook is het steeds lastiger dit effectief en efficiënt te doen. Naarmate het bedreigingslandschap zich verder ontwikkelt, zijn cybercriminelen slinkser geworden en implementeren ze geavanceerde ontwijkingstechnieken om detectie door beveiligingstechnologieën te vermijden. Ze maken op grote schaal gebruik van native tools voor besturingssystemen, open source of freeware aanvalstools. Hiermee kunnen ze hun kwaadaardige activiteiten uitvoeren zonder het cyberbeveiligingsteam te waarschuwen.
Dergelijke aanvallen worden vaak geleid door menselijke operators, die verschillende opties kunnen testen en uitproberen én snel in onverwachte richtingen kunnen bewegen als ze op een obstakel stuiten. Threat hunters en analisten ontdekken deze verborgen cybercriminelen door te zoeken naar verdachte gebeurtenissen, afwijkingen en patronen in alledaagse activiteiten en onderzoeken deze om te zien of ze kwaadaardig zijn. Hun menselijk inzicht wordt aangevuld met geautomatiseerde beveiligingstechnologieën, waaronder AI-gestuurde detectie. Samen vormen ze een sterke verdedigingslinie in een gelaagd beveiligingssysteem. Threat hunters en analisten stoppen niet bij het vinden van de bedreiging, ze werken samen met een team om deze te beperken en te neutraliseren. Dat is TDR.
Het TDR-raamwerk
Cyberbeveiliging heeft veel weg van militaire concepten en TDR is daarop geen uitzondering. Een gehanteerde manier voor het opsporen van en reageren op bedreigingen is bijvoorbeeld gebaseerd op het militaire concept dat bekend staat als de OODA-lus: Observeer, Oriënteer, Beslis en Handel.
Dit raamwerk stelt threat hunters en analisten in staat om op consistente en gestructureerde manier te werken en ervoor te zorgen dat niets over het hoofd wordt gezien.
Observeer: wat zie je in de gegevens?
Oriënteren: wat is de contex, het gedrag? En hoe verhoudt het zich tot bekende aanvalstactieken,- technieken en -procedures?
Beslissen: is het kwaadaardig, verdacht of goedaardig?
Handelen: beperken, neutraliseren en opnieuw in de lus stappen
Door de stappen van het raamwerk toe te passen, bouwen threat hunters en analisten een beeld op van wat er in de omgeving gebeurt, bepalen ze of het kwaadaardig is en welke actie er moet worden ondernomen.
De vijf kernonderdelen van TDR
Er zijn vijf kernonderdelen van TDR die de verschillende fasen van het raamwerk ondersteunen. Hieronder worden deze stuk voor stuk beschreven.
1. Preventie
Het eerste en belangrijkste dat gedaan moet worden is de verdediging versterken om te voorkomen dat aanvallers het netwerk kunnen binnendringen. Effectieve preventie houdt in dat er bekend is welke kritieke gegevens en computermiddelen (de infrastructuur die verwerkingsmogelijkheden biedt) zich op het netwerk bevinden en dat ervoor gezorgd wordt dat deze worden beschermd met competentie beveiligingstechnologieën die een scala aan beschermingsopties bieden.
Het is van vitaal belang dat de technologie goed wordt geconfigureerd, regelmatig en tijdig updates worden toegepast en dat de toegangscontrole strak wordt beheert, omdat dit alles het aanvalsoppervlak aanzienlijk beperkt. Met robuuste preventietechnologieën vermindert u ook het aantal beveiligingswaarschuwingen die dagelijks of zelf ieder uur worden gegenereerd. Met minder waarschuwingen is het beveiligingsteam beter in staat om de signalen die er toe doen te herkennen en zich erop te richten.
2. Verzamelen van beveiligingsevents, waarschuwingen en detecties
Gegevens zijn de brandstof voor het opsporen en analyseren van bedreigingen: zonder het juiste type, volume en de juiste kwaliteit van signalen is het ongelooflijk moeilijk voor teams om beveiligingsactiviteiten van potentiële aanvalsindicatoren nauwkeuring te identificeren.
Gegevens zonder context bemoeilijken echter de beslissing van de analist om tot een veroordeling te komen. Zonder zinvolle metadata gekoppeld aan het signaal, zal de analist het moeilijker hebben om te bepalen of de signalen kwaadaardig of goedaardig zijn.
De meest voorkomende methoden voor het verzamelen en beoordelen van beveiligingsgegevens zijn de volgende:
Gebeurtenisgericht
Het klassieke voorbeeld van een gebeurtenisgerichte aanpak is SIEM (Security Incident and Event Management).
SIEM’s nemen gegevenspunten, zoals logbestanden, op uit verschillende bronnen in het netwerk en voegen die samen. Het is aan de SIEM-operators om de context te begrijpen, te bepalen wat ze moeten filteren, waar ze correlatielogica rond moeten creëren en om te proberen de gegevens te minimaliseren en handmatig te cureren, zodat ze het onderzoeksteam niet overweldigen, terwijl ze de miss-rate (ook bekend als ‘valse negatieven’, waarbij een daadwerkelijke bedreiging niet als zodanig wordt gedetecteerd) in evenwicht houden.
Dreigingsgericht
In dit model worden signalen geprioriteerd en gebruikt om programmatisch cases aan te maken die worden beoordeeld door analisten. Daarnaast worden dreigingsjachten uitgevoerd op basis van inlichtingentrends en een aanvalshypothese.
Signalen worden geprioriteerd op basis van hoe bruikbaar ze zijn voor onderzoeken en moeten tactieken, technieken en procedures van de cybercriminelen aangeven. Signalen die vaker resulteren in de identificatie van vijandelijke activiteiten moeten voorrang krijgen op signalen die dat niet doen.
Om de criteria te bepalen op basis waarvan signalen de moeite van het onderzoeken waard worden geacht, kunnen verschillende algoritmen of machine-learning modellen worden toegepast die kijken naar zaken als gedrag, ruwe gegevens, aanvalsvector en aanvalsmethode.
Hybride
Dit is een combinatie van zowel event-centrische als bedreigingsgerichte methoden. Het vertrouwt op snelheid om gegevens uit beide bronnen te detecteren, te onderzoeken, erop te reageren en om dreigingsgerichte detecties en daaruit voortvloeiende gevallen aan te vullen met gecorreleerde gegevens uit andere event- en telemetriebronnen. Deze aanpak wordt het meest effectief gebruikt door dedicate beveiligingsteams.
De voordelen van externe ondersteuning als onderdeel van een hybride model
Door een ervaren extern beveiligingsteam in te schakelen om te helpen met gegevensverzameling en detectie, kunnen interne teams strategischer te werk gaan. Zo kan er bijvoorbeeld meer tijd worden besteed aan het verbeteren van preventie of het verkleinen van aanvalsoppervlakken; of er kan worden gefocust op belangrijke bedrijfsprocessen, applicaties of bedrijfsmiddelen, waarbij de gegevens en bijbehorende detecties moeten worden aangepast en gericht.
Externe teams kunnen ook een breder perspectief bieden dat is verkregen door het verdedigen van een reeks klanten. Ze hebben meer ervaring met opkomende bedreigingen en het afhandelen van incidenten met actieve cybercriminelen. Interne teams kennen hun omgeving beter, maar hebben minder ervaring op het ‘slagveld’. Het is belangrijk om te onthouden dat de waarschuwingen zelf niet het eindspel zijn. Vaak is in eerste instantie niet bekend of een signaal kwaadaardig of goedaardig is, en als het kwaadaardig is, waar het pas in een aanvalsreeks.
Wordt er een waarschuwing aan het begin of in het midden van een aanval gesignaleerd? Gebeurde er iets voorafgaand aan deze gebeurtenis, of zal er daarna iets gebeuren? U moet de context begrijpen voordat u beslist welke actie u eventueel moet of kan ondernemen.
3. Prioriteit geven aan de signalen die ertoe doen
Bedreigingsdetectie is een cruciaal onderdeel van beveiligingsoperaties, maar het is slechts de eerste stap in een uit meerdere stappen bestaand, door mensen geleid proces dat validatie, onderzoek (threat hunting) en reactie op bedreiging (neutralisatie) omvat.
Het is belangrijk om de wrijving tussen elk van deze activiteiten weg te nemen. SIEM’s en andere logboekgebaseerde benaderingen missen meestal de context die nodig is om goed gefundeerde beslissingen te nemen over waar de aandacht op moet worden gericht, wat leidt tot verminderde tijdsefficiëntie of zelfs gemiste kritieke gebeurtenissen.
Om te voorkomen dat u wordt overspoeld door gegevens en niet de items ziet die nader onderzoek rechtvaardigen, moet u de waarschuwingen kunnen lokaliseren die er toe doen. Dit is moeilijker dan het lijkt. Hoe meer u de signaal/ruis-verhouding kunt verbeteren door gebruik te maken van een combinatie van context die alleen event-producenten kunnen bieden, in combinatie met geautomatiseerde en kunstmatige intelligentie, hoe beter. Zelfs met automatisering is het geen eenvoudig proces. Zo moet er bijvoorbeeld opgelet worden dat de u gegevens niet gaat over analyseren. Een goed voorbeeld hiervan is dat een maandelijks logboek van twee miljard gebeurtenissen slechts drie beveiligingsincidenten onthulde nadat alle filters waren toegepast.
4. Onderzoek
Zodra u de belangrijkste signalen hebt geïsoleerd, is het tijd om inzicht toe te voegen en om wat u heeft ontdekt te meten aan de hand van industriële frameworks en modellen om te bouwen aan een vertrouwensdrempel in de overtuiging van kwaadaardig of goedaardig gedrag.
Voorbeelden hiervan zijn het MITRE ATT&CK framework, een wereldwijd toegankelijke kennisbank van bekende tactieken, technieken en procedures (TTP's) van cybercriminelen, of het Cyber Kill Chain model van Lockheed Martin, dat de belangrijkste stappen identificeert die cybercriminelen proberen te nemen om hun doel te bereiken.
Dit is het moment om na te denken over zaken als:
- Waar je het signaal detecteert
- Is dit wat u verwachtte te zien?
- Zijn er herhaalde patronen in de signalen die ongebruikelijk lijken?
- Beweegt de data in een typische richting of naar een bekend/gebruikelijk apparaat?
Het doel is om niet alleen te begrijpen of het signaal duidt op een daadwerkelijke aanval, maar ook waar in de aanvalsreeks het signaal valt. Gewenst is dat de aanval zo vroeg mogelijk in de dreigingsketen wordt geblokkeerd.
De uitkomst van het onderzoek stelt hopelijk in staat om te beslissen: (1) of het signaal een bekende of potentiële aanvalsindicator is, en (2) wat het aanvalsproces waarschijnlijk is. Dit biedt u een hypothese voor proactieve bedreigingsjacht in het hele netwerk: u kunt ideeën en aannames testen en anticiperen op wat er vervolgens zou kunnen gebeuren, waardoor het eenvoudiger wordt om de bedreiging in elk stadium van de aanval te vinden en te blokkeren.
5. Actie
Dit is een belangrijk onderdeel. Zodra er sprake is van een bedreiging, moeten er eigenlijk twee dingen gebeuren – en beide zijn even belangrijk.
De eerste is om het directe probleem te beperken, terwijl de tweede is om te onthouden dat er waarschijnlijk alleen een symptoom van de aanval wordt aangepakt en dat de hoofdoorzaak nog steeds moet worden opgespoord en geneutraliseerd. Het eerste moet gebeuren zonder het vermogen om het tweede in gevaar te brengen.
Soms is het voldoende om een machine in quarantaine te plaatsen of los te koppelen van het netwerk, terwijl het beveiligingsteam soms diep het netwerk in moet gaan om de uitlopers van een aanvaller eruit te halen. Als er bijvoorbeeld malware met succes wordt geblokkeerd, van het systeem hebt verwijderd en de waarschuwing die erop wees niet meer ziet, betekent dit niet dat de aanvaller uit de omgeving is verdwenen. Professionele bedreigingsjagers die duizenden aanvallen zien, weten wanneer en waar ze dieper moeten zoeken. Ze zoeken naar wat aanvallers nog meer doen, hebben gedaan of van plan zijn te doen in het netwerk - en neutraliseren dat ook.