Ontdek verborgen aanvallen met threat hunting

In een eerder artikel hebben we het gehad over threat intelligence: het verzamelen en analyseren van gegevens om inzicht te krijgen in de bedreigingen die een risico vormen voor de cybersecurity van je organisatie. Op operationeel niveau houdt dit in dat bedreigingen worden gedetecteerd door Indicators of Compromise (IoC's) en Tactics, Techniques, and Procedures (TTP's) te vergelijken met gegevens afkomstig van SIEM-platforms (Security Information and Event Management) en XDR-producten.

Het configureren van een volledig geautomatiseerd systeem dat een goede balans biedt tussen detectiegraad en valse positieven is een enorme uitdaging. Het is bijvoorbeeld algemeen bekend dat bepaalde malware wordt gedownload en geïnstalleerd op werkstations met behulp van vertrouwde, vooraf geïnstalleerde systeemtools om malware te verspreiden (zogenaamde LOLBins of Living Off The Land Binaries), zoals Curl of Certutil. Aangezien deze tools echter veel legitieme toepassingen hebben, zoals in updatemechanismen, zou het detecteren van alle downloads met deze tools en het markeren ervan voor onderzoek door onze SOC-analisten hen overbelasten met valse positieven. 

Daarom voert het Cegeka Modern SOC op tactisch niveau ook regelmatig threat hunting uit. Een senior CSIRT-analist onderzoekt vervolgens handmatig relevante, geavanceerde en/of nieuwe TTP's om verborgen aanvallen aan het licht te brengen. Hoe werkt dit proces bij Cegeka?

Van threat intelligence naar hands-on opsporen 

Onze CSIRT-analisten volgen de trends op het gebied van cybersecurity op de voet en hebben inzicht in de risicoprofielen van hun klanten, inclusief de relevante bedreigingen waarmee zij te maken kunnen krijgen. Threat modeling, het proces waarbij potentiële aanvallers, hun doelstellingen en de technieken die zij kunnen gebruiken om systemen te compromitteren worden geïdentificeerd, helpt analisten bij het prioriteren van de bedreigingen waarop zij zich moeten richten. Een analist kan bijvoorbeeld een trend opmerken waarbij LOLBins zoals Curl worden gebruikt om malware te downloaden, of de opkomst van Oost-Europese ransomwaregroepen. Deze modellering vormt de basis voor de hypothesen die zij tijdens het opsporen van bedreigingen onderzoeken. 

Op basis van deze dreigingsinformatie formuleert de CSIRT-analist verschillende hypothesen, zoals “Oost-Europese ransomwaregroepen downloaden mogelijk aanvalsprogramma's naar gecompromitteerde machines met behulp van LOLBins.” Deze hypothese wordt vervolgens vertaald naar specifieke dreigingsjachten, zoals “Het gebruik van Curl voor het downloaden van servers zonder een volledig gekwalificeerde domeinnaam.” 

Elk onderzoek wordt vervolgens omgezet in nauwkeurige zoekopdrachten voor EDR- (Endpoint Detection and Response), XDR- (Extended Detection and Response) en SIEM- (Security Information and Event Management) producten. Deze zoekopdrachten worden uitgevoerd op de systemen van al onze klanten. We voeren ook zoekopdrachten uit op netwerkmonitoringtools, bijvoorbeeld met betrekking tot gegevensoverdracht naar servers zonder een volledig gekwalificeerde domeinnaam. 

Wat threat hunting blootlegt

Elke zoektocht leidt tot een van de volgende drie scenario's: we ontdekken iets verdachts, we hebben onvoldoende gegevens of we vinden geen noemenswaardige resultaten. 

• Verdachte bevindingen
  We identificeren iets verdachts dat wijst op een security incident. Uiteraard pakken we dit probleem met spoed aan.
  
• Ontbrekende gegevens 
  We kunnen geen zoekopdracht uitvoeren omdat er aan de kant van de klant een specifieke gegevensbron ontbreekt, zoals netwerkgegevens. We informeren de klant dat we onze zoekopdracht naar bedreigingen niet hebben kunnen uitvoeren en vragen hem vriendelijk om de benodigde gegevensbron te implementeren als hij in de toekomst van deze zoekopdrachten naar bedreigingen wil profiteren. 
• Geen bevindingen
  Na het doorzoeken van alle vereiste gegevensbronnen is er niets verdachts gevonden. Dit scenario is (gelukkig) van toepassing op de meeste gevallen.
  

Resultaten van ‘threat hunting’ omzetten in bruikbare inzichten 

De resultaten van onze onderzoeken leveren inzichten op die we samenvatten in een rapport voor onze klanten:

• Context van de zoektocht 
  We leggen uit wat er werd gezocht en waarom: de dreigingsinformatie die ten grondslag lag aan onze hypothese en de precieze zoektochten naar dreigingen waarnaar deze werd vertaald. We kunnen bijvoorbeeld uitleggen dat het profiel van onze klant vaak het doelwit is van ransomwaregroepen die LOLBins gebruiken voor het overbrengen van kwaadaardige tools, vandaar onze focus op deze specifieke TTP's. 
• Informatie over de zoektocht
  We verstrekken uitgebreide details over de jacht, inclusief de TTP's waarnaar we hebben gezocht (verwezen naar hun MITRE ATT&CK Technique ID). Alle gedetecteerde kwetsbaarheden worden vergezeld van hun CVE-identificatiecodes (Common Vulnerabilities and Exposures) voor aanvullende referentie. 
• Resultaten van de zoektocht 
  We geven een overzicht van de bevindingen van het onderzoek voor elke technologie die we hebben gebruikt (EDR, XDR, SIEM). 
  

Onze SOC-klanten hebben ook toegang tot deze inzichten via het Cegeka Security Observability-dashboard. Zo kunnen ze hun risico's beoordelen en weloverwogen beslissingen nemen om hun beveiliging te verbeteren op basis van concrete gegevens uit onze threat hunts. Als uit onze rapporten bijvoorbeeld blijkt dat ze bepaalde gegevensbronnen missen, kunnen ze ervoor kiezen om te investeren in de implementatie van deze gegevensbronnen om optimaal te kunnen profiteren van onze threat hunts. 

Bedrijfsrisico's verminderen door middel van threat hunting 

Door actief op zoek te gaan naar bedreigingen en dit te combineren met dreigingsinformatie, nieuwsbrieven en voortdurend onderzoek naar bedreigingen, krijgen organisaties de inzichten die nodig zijn om verborgen aanvallen aan het licht te brengen en effectief te reageren op de nieuwste cyberdreigingen. Het is deze proactieve aanpak die helpt om een stap voor te blijven in een steeds veranderend dreigingslandschap. 

Threat hunting maakt standaard deel uit van onze Cegeka Modern SOC-diensten. Enerzijds stelt het ons in staat om geavanceerde technieken op te sporen waarvoor continue monitoringregels SOC-analisten zouden overbelasten met valse positieven, en anderzijds is het echt een compenserende controle voor aanvallen die door de mazen van het net zijn geglipt omdat ze zo nieuw of geavanceerd zijn.