Rick Hofstede over threat intelligence tijdens de cybersecurity meetup bij Novel-T.

By | Nieuws

Op 4 april jongstleden organiseerde Novel-T haar maandelijkse cybersecurity meetup met als doel: de maakindustrie in Oost-Nederland cyberweerbaar maken. Tijdens deze bijeenkomst spraken Rick Hofstede van Tesorion en Job, hoofd NBV van de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over respectievelijk threat intelligence en cyberspionage.

Rick trapte zijn presentatie af met een concreet voorbeeld dat de kracht van ‘intelligence’ goed weergaf: een onderzoek naar één van de meest gezochte Nederlandse crimineel welke recent, met behulp van in open bronnen beschikbare informatie door onderzoekscollectief Bellincat in Iran, is gevonden.

Met dit voorbeeld in gedachten wijdde Rick verder uit over het toepassen van intelligence in de cyber kill chain. Dit framework bestaat uit een aantal stappen die inzicht geven in de stappen die een cybercrimineel of statelijke actor doorloopt. De stap begint bij ‘ Reconnaissance’, waar het doelwit door de aanvaller wordt verkent (informatie verzamelen). Daarna volgt ‘ Weaponization’, waar het wapentuig wordt ontwikkeld waar de aanval mee wordt uitgevoerd. Vervolgens volgen de uitvoering (‘Delivery’) en binnendringing (‘Exploit’) waarna de malware kan worden geïnstalleerd (‘Installation’). Als laatste stappen volgen ‘ Command and Control’ en ‘Actions’, waar respectievelijk de systemen onder controle van de aanvaller worden gezet die tot (mogelijke) vervolgacties kunnen leiden.

Om de cyber kill chain, als organisatie, goed toe te kunnen passen is het van belang dat in alle stappen voldoende informatie (‘intelligence’) beschikbaar is. Hier kunnen onder andere cybersecurity dienstverleners als Tesorion een rol in spelen (SOC, redteam of bijvoorbeeld CSIRT-diensten), of door de uitwisseling van onderlinge informatie over dreigingen en actoren. Want, zo sloot Rick zijn presentatie af, hoe meer ‘ intelligence’ beschikbaar is, hoe beter je inzicht is over de dreigingen die op je af komen, hoe beter je risico’s kunt verkleinen.

Zelf uw cybersecurity-dienstverlening configureren; toekomstwens of realiteit?

By | Blog

U heeft de afgelopen tijd het Internet afgestruind op zoek naar een puntoplossing die precies in uw laatste restje IT- of security-budget past. Het sales-traject is doorlopen en de gekochte oplossing ligt nu bij u op de plank, in afwachting van implementatie. Ondertussen bent u benieuwd naar de prestaties van uw aankoop binnen uw bedrijfsomgeving. Een bekend verhaal?

Bovenstaande laat direct verschillende uitdagingen van het gebruik van puntoplossingen zien. Aan het begin van het sales-traject heeft u zich uitvoerig verdiept in de materie en wellicht zelfs wel een proof-of-concept-traject (PoC) doorlopen. U zult niet de eerste zijn die na aanschaf van een oplossing pas merkt dat bepaalde functionaliteit niet of minder dan voorgespiegeld voorhanden is. Of u bent tijdens de looptijd van het product een concurrerend product tegen het lijf gelopen dat u wellicht liever had ingezet binnen uw organisatie.

Een andere uitdaging is de implementatie van de oplossing binnen uw organisatie. Dit betreft natuurlijk niet alleen de technische implementatie (fysieke installatie, netwerkconfiguratie, etc.), maar ook de integratie in uw processen, het beheer van de oplossing, alsmede de opvolging van, bijvoorbeeld, gerapporteerde incidenten. We zien bij onze klanten helaas nog geregeld aangekochte IT-/cybersecurity-oplossingen die in het verleden zijn aangeschaft, maar nog niet zijn geïmplementeerd. Dat is natuurlijk jammer!

Om de juiste oplossingen te vinden die nodig zijn om uw bedrijfscontinuiteit te waarborgen, is het noodzakelijk dat u een goed beeld heeft van de ‘assets’ van uw organisatie. Met dit intergrale cybersecurity-beeld, zoals beschreven in mijn vorige blog-post (#LINK#), kunt u vervolgens op zoek gaan naar de juiste producten en diensten. Hierbij is het belangrijk dat u rekening houdt met het volgende:

  • Vergelijken van oplossingen — Elke cybersecurity-oplossing heeft zijn eigen achtergrond en belicht de werkwijze en resultaten op een andere wijze. Middels een PoC kunnen dit soort verschillen binnen uw bedrijfsomgeving worden onderzocht, maar het vergelijken van oplossingen is een tijdrovende bezigheid, om verschillende redenen. Ten eerste dienen alle te vergelijken oplossingen (deels) te worden geïmplementeerd in uw bedrijfsomgeving om een representatief beeld van de waarde van de oplossing te geven. Ten tweede dienen de oplossingen tegelijkertijd te worden ingezet zodat ze opereren op hetzelfde tijdstip, op dezelfde data. Het beheer van zo’n testopstelling brengt veel complexiteit en kosten met zich mee.
  • Complementair inzetten van componenten — Naast het vergelijken van oplossingen die op elkaar lijken, kan het heel waardevol zijn om oplossingen complementair in te zetten. Detectie op basis van ‘signatures’ en ‘anomalies’ is daar een voorbeeld van; waar detectie op basis van ’signatures’ inhoudt dat malafide gedrag wordt gedefinieerd (veelal in de vorm van ‘blacklists’), wordt bij detectie op basis van ‘anomalies’ juist het legitieme gedrag gedefinieerd/geleerd, en worden afwijkingen als mogelijk kwaadaardig gezien. Beide aanpakken hebben voor- en nadelen, en juist het inzetten van beide, naast elkaar, is erg interessant voor het detecteren van veel soorten cyberaanvallen.

Het all•in Platform van Tesorion biedt u — naast een integraal cybersecurity-beeld van uw organisatie — de mogelijkheid om zelf de cybersecurity-oplossingen te kiezen die nodig zijn om de digitale continuïteit van uw organisatie te waarborgen. Deze dienstverlening van Tesorion biedt u het voordeel dat u modulair kunt schakelen met componenten. Klanten die gebruik maken van ons all•in Platform kunnen snel en makkelijk componenten modulair in- en uitschakelen, vanuit de eigen all•in Portal. Dus geen gedoe meer met fysieke implementaties; ons all•in Platform regelt het voor u.

Als klant van Tesorion heeft u de touwtjes in handen voor wat betreft de inrichting van cybersecurity binnen uw organisatie. Moet u dat dan helemaal zelf doen? Natuurlijk niet. Als onderdeel van onze dienstverlening staat uw ‘trusted advisor’ u bij en denkt hij/zij met u mee over de digitale continuïteit van uw bedrijfsvoering. Samen bepaalt u de strategie voor het verbeteren van de cyberweerbaarheid van uw organisatie.

Bent u nieuwsgierig geworden naar de dienstverlening van Tesorion? Neemt u gerust contact met ons op via platform@tesorion.nl

Facebook
Twitter
LinkedIn

Van puntoplossingen naar all-in security

By | Blog

2018. Het jaar van één van de grootste datalekken ooit, namelijk bij hotelketen Marriott, waarbij de persoonsgegevens van een half miljard hotelgasten werden buitgemaakt [1]. Het jaar waarin het aantal DDoS-aanvallen op banken, overheid en bedrijven groter was dan ooit [2]. Maar ook het jaar waarin er nadrukkelijk aandacht werd besteed aan het weerbaarder maken van de Nederlandse maakindustrie (OT), bijv. in de vorm van het Cyber Security Centrum Maakindustrie in Twente [3].

Cybersecurity-incidenten kunnen een grote impact hebben op de continuïteit van uw bedrijfsvoering. Het is dan ook zaak om preventieve maatregelen te hebben genomen om het risico op incidenten, evenals de gevolgschade, zo klein mogelijk te houden. In het specifieke geval van cybersecurity zal elke onderneming vroeg of laat — zonder uitzondering — te maken krijgen met incidenten. Het is dan dus zaak deze problemen zo vroeg mogelijk te detecteren om schade zo veel mogelijk te voorkomen.

Welke puntoplossingen zijn er? De markt van cybersecurity wordt nog steeds sterk gedomineerd door puntoplossingen; oplossingen voor één of enkele aspecten van cybersecurity. Zo hebben anno 2019 praktisch alle ondernemingen ‘end-point security’ (bijv. een virusscanner) ingericht, en de beschikking over een firewall. Is de ‘BV Nederland’ daarmee voldoende voorbereid op een incident? In hoeverre hebben virusscanner en firewall overlap in functionaliteit, en belangrijker: waar zitten de gaten? In welke (andere) aspecten van cybersecurity dient te worden geïnvesteerd? Om antwoord te krijgen op deze vragen dient er een integraal beeld van het security-landschap te worden gevormd dat voortdurend wordt gemonitord en bijgewerkt.

Wat we regelmatig onderschatten is de noodzaak van zo’n integraal security-beeld van een onderneming. Waar elke puntoplossing zich richt op monitoring binnen de door de ontwikkelaar gestelde kaders, ontbreekt het aan samenhang over kaders heen. En dat is gek in een tijd waarin organisaties als het Nationaal Cyber Security Centrum (NCSC) [4] en de Europese politieorganisatie Europol [5] waarschuwen voor het snel toenemende aantal gerichte en Multi-vector aanvallen; aanvallen die vaak lastig te herkennen zijn wanneer slechts één vector wordt waargenomen door een puntoplossing, en juist een bredere, integrale aanpak vereisen. Een voorbeeld:

  1. Door een groot datalek bijeen partij voor ‘social media’ worden uw inloggegevens gelekt. Deze inloggegevens worden vervolgens publiek beschikbaar.
  2. De gelekte inloggegevens worden gebruikt om toegang te verkrijgen tot de Webmail-omgeving van uw organisatie. Er is een aantal pogingen benodigd om achter de juiste gebruikersnaam te komen, maar uw wachtwoord blijkt identiek aan het gelekte wachtwoord (uit stap 1).
  3. Nu er toegang is verkregen tot uw mailbox kan een cybercrimineel in alle rust meekijken met wat er gaande is in het bedrijf. Er wordt kennis vergaard over uw klanten, de orders die in en uitgaan, en over hoe uw netwerkinfrastructuur er uit ziet.
  4. Uit uw naam stuurt de aanvaller een e-mail aan de afdeling van uw organisatie die orders van klanten afhandelt, met het verzoek om toegang te krijgen tot hun dataopslag in de Cloud, waar alle documenten zijn opgeslagen. Dit wekt bij uw collega’s geen argwaan, aangezien de e-mail uit uw naam is verstuurd.
  5. Niet lang daarna wordt er via e-mail een order naar uw bedrijf gestuurd door een klant, waarna de order in de dataopslag wordt geadministreerd.
  6. De cybercrimineel ziet zijn kans schoon en stuurt, in uw naam, een nepfactuur naar uw klant met daarin het bankrekeningnummer van de cybercrimineel, in de hoop dat dit niet opvalt. Het gevolg: uw klant is zijn geld kwijt en u loopt de betaling mis.’

In bovenstaande schets herkent u meerdere vectoren: (a) threat intelligence, bestaande uit informatie over gelekte inloggegevens (stap 1), (b) e-mail (stap 2, 3 en 6), en (c) dataopslag in de Cloud (stap 4 en 5). Dit laat mooi het belang van kaderoversteigend monitoren zien omdat het geavanceerde aanvallen kan detecteren op basis van verrijking en correlatie.

SIEM

Het verkrijgen van een integraal beeld van uw onderneming op het vlak van cybersecurity wordt veelal bewerkstelligd door Security Information & Event Management (SIEM) in te richten. In een SIEM kunnen allerlei gegevensstromen worden ontsloten, geanalyseerd en gecorreleerd. Bij deze gegevensstromen kunt u denken aan het volgende:

  • Actieve gegevensstromen: het scannen van uw netwerk, bijv. in het kader van vulnerabilities.
  • Passieve gegevensstromen: het opvangen van informatiestromen in en uit uw netwerk d.m.v. een sensor die log-stromen opvangt en netwerkverkeer analyseert.

Het mag voor zich spreken dat zo’n systeem de nodige kosten en investeringen met zich meebrengt. In algemene zin wordt er steeds meer data gegenereerd en vergaard om security te monitoren; denk aan kantoorautomatisering en andere IT-infrastructuur, productiesystemen (OT) en natuurlijk de Cloud. Naast de configuratie en het beheer van het SIEM-systeem zelf dient er natuurlijk ook opvolging van meldingen en incidenten te worden ingericht. Voor al deze werkzaamheden zijn specialisten nodig. De vraag naar (échte) specialisten is groot, terwijl het aanbod klein is. Het kan dus lastig zijn specialisten aan uw onderneming te binden, bijv. vanwege de (beperkte) omvang van uw onderneming of de schaarste van specialisten op de arbeidsmarkt. Het uitbesteden van SIEM in de vorm van een ‘managed (security) service’ is dan ook een logische stap, óók voor het MKB.

Tesorion

De dienstverlening van Tesorion bestaat uit een ‘managed (security) service’, waarbij u het inrichten en beheer van uw security-landschap uit handen wordt genomen. Uw ‘trusted advisor’ is bekend met uw bedrijfsvoering en inventariseert uw huidige en gewenste maturiteit op het gebied van cybersecurity. Samen met u stelt hij/zij een plan op voor het uitbouwen van uw cybersecurity-landschap en eventueel het integreren van uw bestaande infrastructuur en componenten. Dit alles op basis van een hypermodern platform waarop uw infrastructuur wordt aangesloten en data wordt geanalyseerd. Dit platform, ontwikkeld door Tesorion, biedt u allerlei voordelen, zoals ‘privacy-by-design’, integrale ondersteuning voor IT, OT en Cloud, automatische mitigatie, etc. In een toekomstige blog-post vertel ik u er graag meer over

2019. Als het aan ons ligt wordt dit het jaar waarin de Nederland een stukje weerbaarder wordt tegen cyber-criminaliteit. Het jaar waarin u niet zelf het Internet hoeft af te struinen op zoek naar een puntoplossing die precies in uw laatste restje IT-budget past, maar kunt profiteren van de all-in dienstverlening van Tesorion. Het wordt tijd om all-in te denken; is mijn onderneming wel veilig? Welke risico’s accepteer ik en welke wil ik afdekken? Wij helpen u graag.

Bronnen

[1] https://www.computable.nl/artikel/achtergrond/security/6524811/1444691/datalek-bij-marriott-is-op-een-na-grootste-ooit.html

[2]https://www.agconnect.nl/artikel/nbip-ddos-aanvallen-blijven-evolueren

[3]https://novelt.com/nl/services/cybersecurity-centrum-maakindustrie/

[4]https://www.ncsc.nl/actueel/Cybersecuritybeeld+Nederland/cybersecuritybeeld-nederland-2018.html

[5]https://www.europol.europa.eu/internet-organised-crime-threat-assessment-2018

Facebook
Twitter
LinkedIn