Search
Lees Voor
CVD melden Deelnemer worden
NL EN
Search

Stap 3: SIEM

Detectie van ransomware

Dit artikel is het derde artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Logging, alerting en correlatie

Om een aanval te detecteren of de anatomie van de aanval vast te kunnen stellen is het belangrijk dat er logging is van zowel de computers (zowel het operating systeem als applicaties) als netwerkdevices en medical devices binnen uw netwerk. Ook moet deze logging op een centrale plek verzameld worden. Als deze informatie aanwezig is, kunnen incident responsenders sneller een beeld krijgen van wat er aan de hand is en sneller handelen. Traditioneel gezien gebruiken security professionals een SIEM (security information and event management ) systeem. In een SIEM komt al de logging van vele devices binnen de organisatie samen in één systeem. Op basis van deze logging worden er correlaties gelegd tussen logging van verschillende bronnen en op basis daarvan worden verdachte activiteiten gedetecteerd en alerts gegenereerd.

SIEM voordelen en nadelen

De sterke kanten van een SIEM is de reikwijdte van het product en de mogelijkheid om verschillende gegevensbronnen met elkaar te correleren. Om te zien hoe hackers binnendringen kunnen verschillende bronnen worden gebruikt. Als verschillende bronnen elkaar bevestigen en op elkaar aansluiten, wordt het steeds duidelijker hoe de aanval is opgebouwd en welke systemen mogelijk gecompromitteerd zijn.
Indien u de data die binnenkomt een wat langere tijd bewaart, dan kunnen aanvallen die een tijd geleden begonnen zijn ook nog opgemerkt worden. Als u bijvoorbeeld een account heeft op de MISP server van Z-CERT en er komen IOC’s binnen waarvan u kunt zien in uw SIEM dat zij 2 maanden geleden in uw omgeving waargenomen zijn. Dan heeft u wellicht met terugwerkende kracht een aanvaller in uw netwerk gedetecteerd die mogelijk nog actief is.

Een SIEM zelf, kan out of the box vaak niets of niet veel. Om aanvalspatronen te kunnen detecteren moeten er in een SIEM usecases gebouwd worden. Dit is zeer gespecialiseerd werk en het blijkt lastig te zijn usecases te bouwen die niet veel false positives opleveren. Dit is mede zo lastig omdat een SIEM ook zeer veel niet-relevante data verzamelt.
Ook is het tunen en kalibreren van een SIEM-oplossing een “ongoing” proces omdat de IT-infrastructuur en de methodieken die hackers gebruiken ook steeds veranderen. Bepaalde wijzigingen in de infrastructuur kunnen zorgen voor een hoos aan false positives. Ook kan een SIEM te ‘strak’ zijn afgesteld en hierdoor legitieme alerts gemist worden.

Een ander nadeel is dat bij de alerts die wel relevant zijn, het kan zijn dat er teveel context ontbreekt. Als een verdachte activiteit wordt geconstateerd in een bepaald deel van het netwerk waarbij bijvoorbeeld een verdachte connectie op een workstation wordt geconstateerd, zou je eigenlijk een doorsnede willen hebben van wat er op dat moment aan processen draaiden op een workstation, of de registry activiteit die zich afspeelde. Een SIEM kan wel de logging gebruiken van het endpoint, maar niet alle relevante informatie wordt gelogd in Operating systems en applicaties. Dit kan binnen Windows verbeterd worden met de eerder genoemde gratis tool Sysmon van Microsoft, de logging van powershell en het activeren van auditpolicies.

SIEM: Beperkte response functionaliteiten

Als er eenmaal een aanval is vastgesteld zal een SIEM u ook in staat stellen om vervolgens de stappen van de aanvaller netwerkbreed vast te stellen. Een SIEM geeft echter niet (of beperkt) de mogelijkheid om direct vanuit de SIEM-oplossing actie te ondernemen. Op dit vlak zijn er wel ontwikkelingen zoals SOAR (Security Orchestration Automation Response) die o.a. alerts van SIEM’s en andere securityproducten inlezen en op basis daarvan automatisch acties onderneemt.

SIEM en personeel

Zoals u wellicht heeft kunnen vaststellen is het beheren, onderhouden en afstellen van een SIEM geen geringe taak. Daar is zeer gespecialiseerd personeel voor nodig.

De moderne SIEM-oplossing

SIEM-leveranciers hebben niet stil gestaan. Steeds meer SIEM-leveranciers integreren UEBA (User and Entity Behavior Analytics) functionaliteit (Gartner, 2019). Bij UEBA worden machine learning algoritmes gebruikt die afwijkingen in het gedrag van gebruikers en andere entiteiten op het netwerk detecteren.
Deze analyse op basis van gedrag is belangrijk bij het detecteren van “living of the land” activiteiten van kwaadwillenden door bijvoorbeeld verdachte powershell activiteiten te detecteren (Splunk, 2018).

Deze gebruiken immers bestaande Microsoft tools en moeten op basis van gedrag gedetecteerd worden. UEBA functionaliteit kan van meerwaarde zijn in uw anti-ransomware strategie.
Naast SIEM-oplossingen, kunnen andere type security-oplossingen ook gebruik maken van UEBA functionaliteit (Gartner, 2019). Bij het kiezen van security-oplossingen zou u kunnen controleren of UEBA functionaliteit aanwezig is.

Samengevat: het blikveld van een SIEM is breed, een SIEM is beperkt tot de logging die beschikbaar is op een device en het is vaak niet of beperkt mogelijk om een maatregel te kunnen nemen. Echter, de mogelijkheid om logs van verschillende bronnen te correleren maakt het wel belangrijk voor uw security team. Ook kan een SIEM geoptimaliseerd worden om relevante alerts te geven, kunnen ze inzicht krijgen in gebruikersgedrag door UEBA functionaliteit en is het voor de analyse van een vastgesteld incident, essentieel.

Ga naar: Detecteer ransomware – Stap 4: Endpoint Detection and Response

Terug naar het thema malware

Malware

We zijn de hele dag bezig met het digitaal veiliger maken van de Nederlandse zorg