211service.com
Once More Unto the Breach: wat er nodig is om cyberaanvallen te verslaan
In samenwerking met Hewlett Packard Enterprise en FireEye
Stel je dit voor: het is de avond voor een grote vakantie. Familie en vrienden komen bij u thuis om te genieten van een ontspannende maaltijd en tijd weg van kantoor.
Maar niet iedereen neemt een pauze.
Midden in de nacht gaat de telefoon. Er is een noodgeval op het werk: een netwerkinbreuk. Ik ben op de meest ongelegen momenten gebeld, zegt Marshall Heilman, vice president en executive director, incident response en red-team operations bij het cyberbeveiligingsbedrijf Mandiant, een FireEye-bedrijf. In 2014 werd ik net voor Thanksgiving gebeld. Ik moest naar binnen om een bedrijf te helpen dat was geraakt door een geavanceerde aanvaller, en het was serieus, herinnert Heilman zich, eraan toevoegend dat zijn team op kerstavond in 2015 opnieuw een doorbraak heeft gevochten. Teamleden hebben ook genoeg verhalen over, bijvoorbeeld , omdat het op feestdagen zo druk was dat werknemers aan het werk waren terwijl ze tegelijkertijd een kalkoen probeerden te bedruipen, zegt Heilman: Hackers zijn strategisch met de feestdagen. Op die momenten brengen ze organisaties in gevaar, omdat ze verwachten dat de verdediging dan niet werkt.
Maar zoals Heilman maar al te goed weet, hoeven hackers niet te wachten tot de feestdagen om hun doelwitten te overrompelen. Organisaties van elke omvang zijn het hele jaar door kwetsbaar voor inbreuken.
Er was een tijd dat cyberbeveiligingsexperts een kasteelanalogie gebruikten om dergelijke aanvallen te beschrijven - waarbij vijanden een gracht oversteken, een muur beklimmen en onopgemerkt door de ridders naar binnen sluipen. Maar Chris Leach, hoofdtechnoloog bij Hewlett Packard Enterprise (HPE) Security Services, noemt dat perspectief achterhaald. De oudere tactiek om de ridders de perimeter te laten bewaken, is niet het beste gebruik van middelen. Door veranderende dreigingen en de manier waarop de gecamoufleerde soldaten binnenkomen, moeten we indringers sneller detecteren, voordat ze kunnen de kroonjuwelen vinden.
Andrzej Kawalec, chief technology officer van HPE Security Services, ziet ook een evolutie in cybersecurity. Tegenwoordig is er een enorme asymmetrie in de capaciteiten van de aanvallers en de verdedigers, zegt hij. De meeste organisaties vertrouwen tegenwoordig op de muren en grachten van weleer en denken dat ze zich verdedigen tegen katapulten en kanonnen, terwijl aanvallers in plaats daarvan drones en zeer gerichte stealth-technologie gebruiken. En in de digitale ondernemingen van vandaag, merkt hij op, bevinden werknemers en klanten zich vaak buiten de muren van een bedrijf, bijvoorbeeld in coffeeshops en samenwerkingsruimten zonder sterke perimeterverdediging. Ondertussen, als HPE's Cyber Risk Report 2016 constateert dat 86 procent van de organisaties momenteel onvoldoende cyberbeveiligingscapaciteiten heeft.
Video: Anatomie van een aanval
Maanden aan de binnenkant
Hoe lang blijven tegenstanders binnen de perimeter voordat ze worden gedetecteerd? In 2015 was het mediane aantal dagen 146, volgens de M-Trends 2016 Rapport door Mandiant. Hoewel de meeste aanvallen geen grote inbreuken zullen worden, zijn constante cyberbeveiligingsbedreigingen tegenwoordig een feit van het leven, zegt Heilman. Een succesvolle aanvaller kan in de loop van een week, of zelfs in slechts een paar dagen, toegang tot het netwerk krijgen, zegt hij. 'Dus als je een aanval niet kunt voorkomen - als je weet dat de aanvaller hoe dan ook binnen zal komen - dan wil je hem zo snel mogelijk detecteren en er vervolgens op reageren. HPE's Kawalec is het daarmee eens. 'Mensen hebben behoefte aan een robuuste beveiligingspartner, of een reeks partners, die begrijpen hoe ze in realtime moeten reageren,' zegt hij.
Dat is waar FireEye en HPE om de hoek komen kijken. De twee bedrijven, die diensten voor incidentrespons, compromisbeoordeling en bedreigingsdetectie bieden aan bedrijven over de hele wereld, reageren jaarlijks op duizenden van dergelijke inbreuken.
Er is behoefte aan echt leren en begrip over de cadans - de volgorde van gebeurtenissen, zegt Kawalec. Die cadans omvat onderzoek en verkenning, infiltratie, ontdekking, vastlegging en exfiltratie of gegevensextractie. Het is van het grootste belang, zegt Kawalec, om het risicoprofiel van uw organisatie te begrijpen: u moet beginnen met een eenvoudige vraag: wat zijn uw digitale activa en de cyberdreigingen waarmee ze worden geconfronteerd? Zonder dat antwoord ben je hopeloos slecht voorbereid om in realtime te reageren op een potentieel verwoestende cyberaanval.
De levenscyclus van de aanval
Resultaten van de enquête
Uitdagingen, risico's, trends en effecten op het gebied van cyberbeveiliging
Geproduceerd door MIT Technology Review Custom in samenwerking met Hewlett Packard Enterprise Security Services en FireEye Inc.
Ongeacht of de dader een hacktivist, een cybercrimineel of een door de staat gesteunde dreigingsactor is, de cadans (of aanval levenscyclus ) blijft in wezen hetzelfde, zegt Heilman. Het werk van zijn team neigt naar geavanceerde persistente bedreigingen (APT's), situaties waarin daders toegang krijgen tot een netwerk en daar lange tijd blijven.
Nadat ze de systemen en mensen van een doelwit hebben onderzocht, nemen aanvallers de volgende stap: infiltreren in een netwerk door een zwak punt aan te boren, in 80 procent van de gevallen door een spear-phishing-e-mail te sturen, zegt Heilman. Door een mens op een link te laten klikken of een bestand te openen, kunnen de aanvallers hun eigen kwaadaardige code uitvoeren, die vaak een achterdeur naar het netwerk creëert. Dat zorgt voor een houvast van waaruit aanvallers hun activiteiten in die omgeving kunnen controleren.
Vervolgens komt privilege-escalatie, legt Heilman uit: ze nemen de rechten die ze hebben verkregen van de systemen die ze hebben gecompromitteerd en escaleren deze naar een lokale beheerder of een hoofdbeheerder, naar root-toegang of naar wat ze ook nodig hebben voor betere toegang tot systemen en data.' Dat wordt vaak bereikt door inloggegevens te stelen, wachtwoorden te kraken of kwetsbare software te misbruiken.
Zodra de aanvallers beheerdersrechten hebben verkregen, hebben ze de APT-status bereikt. Ze ondernemen verkenningen, verplaatsen zich zijdelings door de computersystemen van het bedrijf, inventariseren wat ze zien, noteren de rollen en verantwoordelijkheden van belangrijke personen en de locatie van de informatie die ze willen. Daders handhaven vaak hun aanwezigheid of volharding door meerdere achterdeuren in de omgeving te installeren. 'Vervolgens gaan ze proberen te bereiken waar ze voor kwamen, en dat is vaak informatie stelen - intellectueel eigendom, financiële gegevens, fusie- en overnamedetails of persoonlijk identificeerbare informatie, bijvoorbeeld, zegt Heilman. Als ze hun missie hebben volbracht, behouden aanvallers waar mogelijk toegang voor het geval ze willen terugkeren.
Tips voor doelen: denk als de slechteriken
Volgens Heilman is de beste manier om aanvallers te verslaan het aannemen van hun denkwijze - niet reageren op hun volgende zetten, maar erop anticiperen. U moet ook afwijkend gedrag in uw organisatie herkennen en detecteren.
Kawalec moedigt bedrijfsleiders aan om kennis te maken met de bedreigingslandschappen van hun bedrijf. Weten welke activa het meest kritiek zijn en dus waakzaam moeten worden beschermd, is een aanzienlijk offensief voordeel tegen cyberdreigingen. 'Begrijp wat waardevol is in uw organisatie. Wie gaat proberen die belangrijke activa te bemachtigen? Dat geeft je een beeld van risico's, zegt hij. Begrijp dan of je gecompromitteerd bent en waar je kwetsbaar bent.' Tot slot het grootste probleem: weet u precies wat u gaat doen als de telefoon gaat bij een inbraak? vraagt Kawalec. Dat zijn de grote vragen die elke cybersecurityleider of chief information security officer namens hun organisatie zou moeten kunnen beantwoorden, want als ze dat niet kunnen, hebben ze een probleem.'
Zoals bij veel andere misdaden, zijn de eerste 48 uur na een inbreuk de meest kritieke. Maar hoe snel en hoe goed een organisatie reageert en herstelt, wordt bepaald door wat er is gedaan voordat het incident. Je eerste reactie op noodsituaties is volledig en fundamenteel afhankelijk van het werk dat je maanden eerder hebt gedaan: schrijf en begrijp een plan voor reactie op inbreuken, identificeer de rollen en verantwoordelijkheden van de betrokken mensen, met name de eerstehulpverleners, en train vervolgens mensen, legt Kawalec uit. Oefeningen zijn ook cruciaal: voer scenario's en beoordelingen van het rode team uit, of realistische simulaties, en neem het bestuur van het bedrijf mee door een real-life ervaring van een cyberaanval, zegt hij. Op die manier is het niet voor het eerst als ze het echt meemaken.'
En het zal niet de laatste keer zijn. Zoals blijkt uit HPE's nieuwste Cyber Risk Report-documenten, is het aantal inbreuken toegenomen, en hoewel aanvallers nog steeds relatief oude methoden gebruiken om firewalls te schalen en antivirussoftware en andere traditionele verdedigingen te omzeilen, worden ze ook steeds geavanceerder. Ze passen hun technieken aan om nieuwere cyberbeveiligingstechnologieën te omzeilen. Daarnaast ontwikkelen ze ingewikkelde bedrijfsmodellen waarin ze samenwerken aan aanvallen, en breiden ze hun bereik uit naar het internet der dingen, waaronder mobiele telefoons, tabletcomputers en cloudservices. Het komt allemaal neer op enorme kosten voor organisaties: Onderzoek naar kosten van cybercriminaliteit 2015: wereldwijd , uitgevoerd door het Ponemon Institute en gesponsord door HPE, schat de gemiddelde jaarlijkse kosten van cybercriminaliteit voor 252 gebenchmarkte bedrijven op $ 7,7 miljoen in slechts één jaar, waarbij het beveiligingsonderzoeksbureau meldt dat sommigen maar liefst $ 65 miljoen verloren.
Omgaan met steeds geavanceerdere tegenstanders vereist dienovereenkomstig geavanceerde verdedigingslinies. Met dat in gedachten heeft HPE een industriestandaard ontwikkeld Cyber-referentie-architectuur (CRA) dat klanten een blauwdruk biedt voor geavanceerde services voor bedreigingsbeveiliging en incidentresponsmogelijkheden. De CRA bevat onder meer de meest actuele inzichten van FireEye met betrekking tot APT's, die situaties waarin aanvallers sterke voet aan de grond krijgen en gedurende lange tijd grote schade aanrichten.
In wezen is de CRA een kookboek voor cyberbeveiliging, zegt Leach van HPE. 'De referentiearchitectuur verwoordt hoe uw organisatie eruit moet zien: de kerngebieden, de verantwoordelijkheden en de metrics. Het varieert van het strategische deel - inclusief het uitvoeren van responsoefeningen binnen een bedrijf - tot de mensen, de operaties, tot wat je moet doen bij een daadwerkelijke inbreuk, legt hij uit.
De architectuur omvat ook specifieke gebruiksblauwdrukken, waarbij de gemeenschappelijke gebeurtenissen worden gesynthetiseerd en teruggekoppeld naar de CRA om te zien of het risico en operationeel risico aanpakt, voegt Leach eraan toe. 'De Chief Information Security Officer (CISO) pakt de risico's waarschijnlijk zo proactief aan als hij of zij kan. Maar een CISO bezit misschien niet alle onderdelen van die referentiearchitectuur en moet daarom samenwerken met anderen om het hele plaatje te krijgen, zegt hij. De CRA is echt een waardevolle end-to-end gids.'
Werk samen met de experts
Statistieken geven aan dat bedrijven hulp van buitenaf nodig hebben bij cybersecurity. Slechts 47 procent van de inbreuken die Mandiant in 2015 heeft aangepakt, werd intern ontdekt door de eigen medewerkers van een bedrijf; in 53 procent van de gevallen kregen bedrijven informatie over inbreuken van externe bronnen, zoals wetshandhavers, de media, klanten of leveranciers, of zelfs de aanvallers zelf. Kawalec zegt dat een dergelijke externe melding de bedrijfsleiders in een moeilijke, reactieve positie plaatst. 'Het betekent dat ze het heel moeilijk vinden om de situatie onder controle te houden, de juiste reactie te bevelen en te sturen, en ook om vanuit een sterke positie te communiceren,' zegt hij. Ze moeten zich concentreren op het begrijpen en volgen van het gedrag van gebruikers en systemen, en dan een patroon vergelijken met iets waarvan ze weten dat het niet klopt.'
Steeds meer internationale bedrijven wenden zich tot HPE voor hersteldiensten voor cyberbeveiliging, ondersteund door FireEye's geavanceerde dreigingsdetectie, informatie, methodologieën en expertise op het gebied van incidentrespons. HPE-FireEye-bedreigingsanalisten treden op als een verlengstuk van het cyberbeveiligingsteam van een organisatie en bieden inzicht en informatie vanaf de frontlinie. Naast het reageren op incidenten, zoeken HPE en FireEye proactief naar indicatoren van compromissen in de omgevingen van hun klanten.
Met 10 beveiligingsoperatiecentra over de hele wereld en 5.000 beveiligingsprofessionals die 10.000 klanten bedienen, biedt HPE een ongeëvenaard wereldwijd bereik. Daarnaast heeft FireEye zes wereldwijde security operations centers die constante detectie en respons bieden aan 4.400 klanten. Samen vormen de twee bedrijven een krachtig partnerschap op het gebied van cyberbeveiliging, zegt Kawalec. 'Als je kijkt naar de middelen van een typisch beveiligingsteam in een behoorlijk grote organisatie, zouden zelfs grote beveiligingsteams slechts 15 tot 100 mensen bevatten. HPE en FireEye kunnen cyberbeveiligingscapaciteiten projecteren voor een breed scala aan bedrijven. Daarom wenden mensen zich voor die hulp tot ons.'
Ga voor meer informatie over cyberbeveiliging naar: deze HPE-FireEye-bronwebsite .
