In een eerder artikel hebben we het gehad over threat intelligence: het verzamelen en analyseren van gegevens om inzicht te krijgen in de bedreigingen die een risico vormen voor de cybersecurity van je organisatie. Op operationeel niveau houdt dit in dat bedreigingen worden gedetecteerd door Indicators of Compromise (IoC's) en Tactics, Techniques, and Procedures (TTP's) te vergelijken met gegevens afkomstig van SIEM-platforms (Security Information and Event Management) en XDR-producten.
Het configureren van een volledig geautomatiseerd systeem dat een goede balans biedt tussen detectiegraad en valse positieven is een enorme uitdaging. Het is bijvoorbeeld algemeen bekend dat bepaalde malware wordt gedownload en geïnstalleerd op werkstations met behulp van vertrouwde, vooraf geïnstalleerde systeemtools om malware te verspreiden (zogenaamde LOLBins of Living Off The Land Binaries), zoals Curl of Certutil. Aangezien deze tools echter veel legitieme toepassingen hebben, zoals in updatemechanismen, zou het detecteren van alle downloads met deze tools en het markeren ervan voor onderzoek door onze SOC-analisten hen overbelasten met valse positieven.
Daarom voert het Cegeka Modern SOC op tactisch niveau ook regelmatig threat hunting uit. Een senior CSIRT-analist onderzoekt vervolgens handmatig relevante, geavanceerde en/of nieuwe TTP's om verborgen aanvallen aan het licht te brengen. Hoe werkt dit proces bij Cegeka?
Onze CSIRT-analisten volgen de trends op het gebied van cybersecurity op de voet en hebben inzicht in de risicoprofielen van hun klanten, inclusief de relevante bedreigingen waarmee zij te maken kunnen krijgen. Threat modeling, het proces waarbij potentiële aanvallers, hun doelstellingen en de technieken die zij kunnen gebruiken om systemen te compromitteren worden geïdentificeerd, helpt analisten bij het prioriteren van de bedreigingen waarop zij zich moeten richten. Een analist kan bijvoorbeeld een trend opmerken waarbij LOLBins zoals Curl worden gebruikt om malware te downloaden, of de opkomst van Oost-Europese ransomwaregroepen. Deze modellering vormt de basis voor de hypothesen die zij tijdens het opsporen van bedreigingen onderzoeken.
Op basis van deze dreigingsinformatie formuleert de CSIRT-analist verschillende hypothesen, zoals “Oost-Europese ransomwaregroepen downloaden mogelijk aanvalsprogramma's naar gecompromitteerde machines met behulp van LOLBins.” Deze hypothese wordt vervolgens vertaald naar specifieke dreigingsjachten, zoals “Het gebruik van Curl voor het downloaden van servers zonder een volledig gekwalificeerde domeinnaam.”
Elk onderzoek wordt vervolgens omgezet in nauwkeurige zoekopdrachten voor EDR- (Endpoint Detection and Response), XDR- (Extended Detection and Response) en SIEM- (Security Information and Event Management) producten. Deze zoekopdrachten worden uitgevoerd op de systemen van al onze klanten. We voeren ook zoekopdrachten uit op netwerkmonitoringtools, bijvoorbeeld met betrekking tot gegevensoverdracht naar servers zonder een volledig gekwalificeerde domeinnaam.
Elke zoektocht leidt tot een van de volgende drie scenario's: we ontdekken iets verdachts, we hebben onvoldoende gegevens of we vinden geen noemenswaardige resultaten.
De resultaten van onze onderzoeken leveren inzichten op die we samenvatten in een rapport voor onze klanten:
Onze SOC-klanten hebben ook toegang tot deze inzichten via het Cegeka Security Observability-dashboard. Zo kunnen ze hun risico's beoordelen en weloverwogen beslissingen nemen om hun beveiliging te verbeteren op basis van concrete gegevens uit onze threat hunts. Als uit onze rapporten bijvoorbeeld blijkt dat ze bepaalde gegevensbronnen missen, kunnen ze ervoor kiezen om te investeren in de implementatie van deze gegevensbronnen om optimaal te kunnen profiteren van onze threat hunts.
Door actief op zoek te gaan naar bedreigingen en dit te combineren met dreigingsinformatie, nieuwsbrieven en voortdurend onderzoek naar bedreigingen, krijgen organisaties de inzichten die nodig zijn om verborgen aanvallen aan het licht te brengen en effectief te reageren op de nieuwste cyberdreigingen. Het is deze proactieve aanpak die helpt om een stap voor te blijven in een steeds veranderend dreigingslandschap.
Threat hunting maakt standaard deel uit van onze Cegeka Modern SOC-diensten. Enerzijds stelt het ons in staat om geavanceerde technieken op te sporen waarvoor continue monitoringregels SOC-analisten zouden overbelasten met valse positieven, en anderzijds is het echt een compenserende controle voor aanvallen die door de mazen van het net zijn geglipt omdat ze zo nieuw of geavanceerd zijn.