Hoe Threat Intelligence datagestuurde security beslissingen mogelijk maakt

Wanneer cybercriminelen toeslaan, laten ze digitale vingerafdrukken achter. Deze sporen, ook wel IoC's genoemd, kunnen je helpen terugkerende bedreigingen op te sporen, maar niet alle aanwijzingen zijn even bruikbaar in verschillende situaties.

Aanwijzigen herkennen: Ontdek de digitale vingerafdrukken 

Elke cyberaanval laat sporen achter die erop wijzen dat er een aanval heeft plaatsgevonden. Bij een serverinbraak kan dit bijvoorbeeld het IP-adres zijn van waaruit de aanval is uitgevoerd. Bij een phishing-e-mail kan dit het e-mailadres en domein van de phishing-site zijn. Bij malwarebestanden kan dit de hashwaarde zijn. Dit zijn Indicators of Compromise (IOC's), die kunnen worden gedocumenteerd en gebruikt om in de toekomst hetzelfde type aanval te detecteren. 

IoC's zijn bijzonder effectief voor het detecteren van phishing. Dit komt omdat phishing-e-mails die verwijzen naar hetzelfde domein van de phishing-site naar talrijke e-mailadressen worden verzonden. Zodra we weten dat dit domein een phishing-site host, kunnen we dit detecteren voor toekomstige ontvangers. Voor geavanceerde aanvallen zijn IoC's echter niet zo nuttig. Als cybercriminelen een server van organisatie X aanvallen vanaf een bepaalde virtuele machine in de cloud, zullen ze waarschijnlijk dezelfde aanval uitvoeren op organisatie Y vanaf een andere virtuele machine met een ander IP-adres. Dit maakt het IP-adres van waaruit de aanval is uitgevoerd een minder betrouwbare IoC, omdat het niet goed te generaliseren is naar andere gevallen. Hoewel het kan helpen om aanvallen vanaf hetzelfde IP-adres onmiddellijk te detecteren, is deze indicator over het algemeen vluchtiger en niet lang geldig. 

Een stap verder: tactieken, technieken en procedures (TTP's) 

In plaats van zich te richten op eenmalige aanwijzingen, onthullen TTP's het ‘hoe’ achter een aanval. Door het gedrag van tegenstanders te bestuderen, kunt u patronen ontdekken die nog lang relevant blijven nadat een IP-adres of domein is gewijzigd. 

 

Een andere benadering is het onderzoeken van het gedrag, de acties of de processen die door bedreigingsactoren worden gebruikt. Als een server dus is gecompromitteerd, zou je je niet moeten concentreren op het IP-adres van de bron, maar op het mechanisme dat is gebruikt om de malware te verspreiden. Als er bijvoorbeeld malware wordt gedownload en geïnstalleerd op een werkstation, kun je dit doen door een legitieme tool op het werkstation (een LOLBin of Living Off The Land Binary) te gebruiken, zoals Curl of Certutil, door verbinding te maken met een IP-adres waarop de malware wordt gehost. De aanvallers kunnen het IP-adres wijzigen, maar als Curl wordt gebruikt om een bestand van een IP-adres te downloaden in plaats van een volledig gekwalificeerde domeinnaam, kan dit erop wijzen dat er tools van de aanvaller op het systeem worden geïnstalleerd. 

Deze tactieken, technieken en procedures (TTP's) zijn een betrouwbaardere manier om aanvallen te detecteren, omdat ze goed te generaliseren zijn. Sommige zijn natuurlijk slechts gedurende een beperkte tijd relevant. Een jaar geleden verborgen cyberaanvallers bijvoorbeeld malware in OneNote-documenten die naar hun slachtoffers werden gemaild. Toen deze methode populair werd, heeft Microsoft OneNote bijgewerkt om te voorkomen dat het andere processen kon starten. Deze TTP werd toen irrelevant. Het downloaden van malware van LOLBins blijft echter altijd een relevante TTP: programma's met ingebouwde downloadmechanismen zullen altijd blijven bestaan, aangezien veel legitieme functionaliteiten, zoals updatemechanismen, afhankelijk zijn van deze mogelijkheid. TTP's zijn over het algemeen minder vluchtig dan IoC's. 

Hoe ons moderne SOC Threat Intelligence omzet in actie

Threat intelligence is alleen nuttig als het effectief wordt toegepast. Bij Cegeka's Modern SOC vertalen we IoC's en TTP's naar operationele, tactische en strategische inzichten om onze klanten te helpen veerkrachtig te blijven. Voor threat intelligence werkt Cegeka's Modern SOC op drie niveaus: operationeel, tactisch en strategisch. 

Op operationeel niveau detecteren we bedreigingen onmiddellijk door bekende IoC's te correleren met gegevens uit onze SIEM-platforms (Security Information and Event Management). We identificeren IP-adressen, URL's, domeinen en bestandshashes die eerder bij aanvallen zijn waargenomen. We gebruiken deze IoC's ook om gegevens over beveiligingsincidenten te verrijken. We vertrouwen op een gecureerde bron van dreigingsinformatie van een toonaangevende partner die aan elke IoC een risicoscore toekent, waardoor een goede balans wordt gevonden tussen detectiegraad en valse positieven. 

Op tactisch niveau voeren we dreigingsonderzoek uit op basis van relevante TTP's die uit onze dreigingsinformatiebronnen zijn gehaald. Onze senior CSIRT-analisten bekijken regelmatig onze beveiligingslogboeken en onderzoeken handmatig alle gevallen van een specifieke TTP. Ze filteren alle gevallen die legitiem lijken eruit, totdat ze iets identificeren dat afwijkt van het normale gedrag, wat mogelijk leidt tot de detectie van een aanval. Onze bronnen voor dreigingsinformatie ondersteunen ook detectietechnieken: het precies bepalen wat we moeten detecteren (en voorkomen) om de dreigingsdekking op efficiënte wijze te maximaliseren. 

Op strategisch niveau schrijven we dreigingsrapporten met een uitgebreide analyse van incidenten, aanvallen en opkomende trends of technieken. Dit doen we op verzoek van de klant of op eigen initiatief. Het doel van deze rapporten is om trends in het wereldwijde dreigingslandschap te volgen en zo onze strategische beslissingen, investeringen en technische inspanningen te onderbouwen. Zo hebben we een paar jaar geleden gemerkt dat aanvallers steeds vaker EDR-tools (Endpoint Detection & Response) omzeilen. Na analyse van deze trend hebben we ervoor gekozen om te investeren in aanvullende NDR-tools (Network Detection & Response), terwijl we ons nog steeds bewust zijn van het belang van EDR. We gebruiken dreigingsinformatie ook voor dreigingsmodellering: we analyseren het risicoprofiel van onze klant, identificeren de relevante dreigingsactoren voor de klant, evalueren hiaten in hun verdediging en geven vervolgens kwantitatief advies over hoe deze hiaten effectief kunnen worden aangepakt. Op strategisch niveau stelt dreigingsinformatie ons dus in staat om weloverwogen beslissingen te nemen en gedegen advies te geven aan onze klanten.

Van inzichten naar strategie: slimmere beslissingen nemen op het gebied van beveiliging 

Wanneer je zowel de sporen begrijpt die aanvallers achterlaten als de methoden waarop ze vertrouwen, kunt je je verdediging effectiever versterken. Dat is de echte waarde van dreigingsinformatie: gegevens omzetten in duidelijke, bruikbare beveiligingsbeslissingen. 

Threat intelligence is essentieel om inzicht te krijgen in je aanvallers. Als je begrijpt wat je aanvallers gebruiken (IoC's) en hoe ze dat implementeren (TTP's), kun je snel reageren en je systemen beschermen tegen aanvallen die eerder bij anderen succesvol zijn geweest.