secwatch cyber threat hunting

Roomser dan de Paus

Misschien is het een oudhollands gezegde, maar sommige IT-beheerders beheren hun IT-omgeving als vanuit...

Secwatch

Gepubliceerd op 21-03-2019


Misschien is het een oudhollands gezegde, maar sommige IT-beheerders beheren hun IT-omgeving als vanuit ivoren torens en gedragen zich ook als zodanig. Want durft ú hardop toe te geven dat “uw netwerk” misschien toch niet zo 100% is beveiligd tegen de boze buitenwereld als gedacht? Zoals de mens vaak de kwetsbare schakel is in de beveiliging van IT-systemen en data, zo is de kwetsbaarheid van de systeembeheerder een heikel punt voor de nieuwe strategie in IT security: cyber threat hunting.

Cyber Threat Hunting Check List InvestigationWaarom is threat hunting zo belangrijk en waarom besteden wij daar zoveel tijd en aandacht aan? Allereerst komt dit door de aanhoudende stroom van malware en bedreigingen die organisaties en particulieren continu via het internet voor hun kiezen krijgen. We kennen allemaal de bekende en oeroude computervirussen, de vaak kinderlijke (maar nog steeds gevaarlijke) spam- en phishingberichten en de adware die ons via reclameboodschappen trachten te besmetten met malware. Maar hackers zijn slim en worden steeds slimmer: in een eeuwigdurende ‘ratrace’ ontwikkelen zij zichzelf en hun middelen continu tot op grote hoogtes. Niet alleen om de beveiligingsoplossingen voor te blijven, maar vooral omdat de belangen steeds groter worden.

Meer dan ooit tevoren bevatten IT-systemen kostbare en onvervangbare data en zijn IT systemen voor zowel bedrijven en overheden als particulieren van levensbelang geworden. Soms zelfs letterlijk in geval van zorginstellingen. Ransomware-aanvallen zijn inmiddels berucht en aan de orde van de dag; al meerdere malen zijn grote en kleine bedrijven het slachtoffer geworden van het gijzelen van systemen en data, met als oplossing het betalen van vaak grote sommen geld of het terugzetten van veelal te oude back-ups.

Moderne next-generation unified threat management firewalls, machine learning antimalware met kunstmatige intelligentie, deep learning cloud-toepassingen en neurale netwerken</em>; alles wordt uit de kast gehaald om het kwaadaardige internet buiten de deur te houden en vaak gaat dat niet onaardig. Een gemiddelde systeembeheerder krijgt daar best een goed en warm gevoel van en gaat er vanuit dat zijn/haar ‘state-of-the-art’ security alle deuren dicht heeft (en houdt). Maar is dat zo? Er zijn slechts enkele security oplossingen die écht tijdig kunnen ontdekken hoe en wanneer malware en ransomware zich nestelt in het geheugen van systemen; nagenoeg onzichtbaar, versleuteld, maar niet op de gebruikelijke wijze en misleidend alsof het systeemonderdelen zijn.

Organisaties met een reeds bestaande EDR (Endpoint Detection and Response) oplossing gaan er van uit dat zij hun zaakjes goed op orde hebben. Vaak worden zij toch benaderd om hun IT-omgeving te laten controleren op malware. Wanneer zo’n extra controle op dezelfde wijze werkt als de reeds aanwezige security oplossing, dan dient zo’n assessment geen wezenlijk doel en zal het tot weinig of geen concreet nieuws leiden. Zo’n desinvestering kan alleen worden voorkomen wanneer andere methodieken worden ingeschakeld en nieuwe, afwijkende en betere werkwijzen worden ingezet.

Threat HuntingCyber Threat hunting is dan de beste vriend van iedere IT-beheerder en gaat er gewoon vanuit dat systemen allang besmet (kunnen) zijn. Cyber Threat hunting staat de IT-beheerder bij in zijn/haar strijd – direct en indirect. Want de meest geavanceerde hacker steekt niet direct zijn kop op wanneer het inderdaad is gelukt om binnen te komen. Nee, die gaat eerst eens lekker een tijdje uitrusten, die laat zijn malware eens goed om zich heen kijken, afluisteren bij de buren en een plattegrond maken van de omgeving. En wanneer na verloop van tijd het moment daar is, dan kan de malware slagvaardig te werk gaan: wachtwoorden van systemen zijn inmiddels bekend, IP-adressering van de omgeving is in kaart, beveiligingsprocessen hebben geen geheimen meer, dus alles in de achterzak voor direct een heel effectieve systeemaanval. Waarom zag niemand dat aankomen?

Met onze cyber threat hunting dienst zoeken wij naar die schuilplaatsen binnen uw netwerk, naar die slapende cellen die wachten op hun moment, naar de nachtmerrie van uw IT-beheerder en van iedereen die verantwoordelijk is voor data-integriteit. De manieren waarop dit soort bedreigingen zich in zoveel verschillende systemen en data kunnen hebben verstopt en ingesloten, kunnen zo verschillend zijn. Daarom gebruiken wij een zeer uitgebreide gereedschapskist met eigenlijk alleen maar ’s wereldwijds beste forensische onderzoeksmiddelen, aangevuld met de expertise en handmatige interpretaties van onze eigen, zeer ervaren en praktijkgerichte security analisten. En wat niet minder belangrijk is; wij zoeken niet als de bekende kip zonder kop, maar wij werken alleen volgens geaccepteerde en alom aanbevolen methodieken. Hierdoor sluiten de uitkomsten van al die onderzoeksmiddelen op elkaar aan en leiden ze tot een gedegen rapportage. Wij werken volgens de alom geaccepteerde raamwerken van onder meer Sqrrl en TaHiTi voor financiële instellingen, aangevuld met specifieke aanpassingen ten behoeve van bijvoorbeeld MKB-bedrijven in de maakindustrie. Want: zoeken en vinden is goed, maar het inzichtelijk maken van de gevaren en risico’s en adviseren voor de beste oplossing, is het eigenlijk doel van onze threat hunting diensten.

Cyber Threat Hunting is geen bedreiging voor een IT-beheerder, maar een extra middel om zijn of haar netwerk te vrijwaren van directe en indirecte bedreigingen, dataverlies, systeemuitval of problemen met AVG/GDPR-compliancy.

 

 

 

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord