Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Detectie van ransomware – stap 3: SIEM

Bril voor computerschermen
Kennisbank

Dit artikel is het derde artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Om een aanval te detecteren of de anatomie van de aanval vast te kunnen stellen is het belangrijk dat er logging is van zowel de computers (zowel het operating systeem als applicaties) als netwerkdevices en medical devices binnen uw netwerk. Ook moet deze logging op een centrale plek verzameld worden. Als deze informatie aanwezig is, kunnen incident responsenders sneller een beeld krijgen van wat er aan de hand is en sneller handelen. Traditioneel gezien gebruiken security professionals een SIEM (security information and event management ) systeem. In een SIEM komt al de logging van vele devices binnen de organisatie samen in één systeem. Op basis van deze logging worden er correlaties gelegd tussen logging van verschillende bronnen en op basis daarvan worden verdachte activiteiten gedetecteerd en alerts gegenereerd.

De sterke kanten van een SIEM is de reikwijdte van het product en de mogelijkheid om verschillende gegevensbronnen met elkaar te correleren. Om te zien hoe hackers binnendringen kunnen verschillende bronnen wordengebruikt. Als verschillende bronnen elkaar bevestigen en op elkaar aansluiten, wordt het steeds duidelijker hoe de aanval is opgebouwd en welke systemen mogelijk gecompromitteerd zijn.
Indien u de data die binnenkomt een wat langere tijd bewaart, dan kunnenaanvallen die een tijd geleden begonnen zijn ook nog opgemerkt worden. Als u bijvoorbeeld een account heeft op de MISP server van Z-CERT en er komen IOC’s binnen waarvan u kunt zien in uw SIEM dat zij 2 maanden geleden in uw omgeving waargenomen zijn. Dan heeft u wellicht met terugwerkende kracht een aanvaller in uw netwerk gedetecteerd die mogelijk nog actief is.

Een SIEM zelf, kan out of the box vaak niets of niet veel. Om aanvalspatronen te kunnen detecteren moeten er in een SIEM usecases gebouwd worden. Dit is zeer gespecialiseerd werk en het blijkt lastig te zijn usecases te bouwen die niet veel false positives opleveren. Dit ismede zo lastig omdat een SIEM ook zeer veel niet-relevante data verzamelt. Ook is het tunen en kalibreren van een SIEM-oplossing een “ongoing” proces omdat de IT-infrastructuur en de methodieken die hackers gebruiken ook steeds veranderen. Bepaalde wijzigingen in de infrastructuur kunnen zorgen voor een hoos aan false positives. Ook kan een SIEM te ‘strak’ zijn afgesteld en hierdoor legitieme alerts gemist worden.

Een ander nadeel is dat bij de alerts die wel relevant zijn, het kan zijn dat er teveel context ontbreekt. Als een verdachte activiteit wordt geconstateerd in een bepaald deel van het netwerk waarbij bijvoorbeeld een verdachte connectie op een workstation wordt geconstateerd, zou je eigenlijk een doorsnede willen hebben van wat er op dat moment aan processen draaiden op een workstation, of de registry activiteit die zich afspeelde. Een SIEM kan wel de logging gebruiken van het endpoint, maar niet alle relevante informatie wordt gelogd in Operating systems en applicaties. Dit kan binnen Windows verbeterd worden met de eerder genoemde gratis tool Sysmon van Microsoft, de logging van powershell en het activeren van auditpolicies.

Als er eenmaal een aanval is vastgesteld zal een SIEM u ook in staat stellen om vervolgens de stappen van de aanvaller netwerkbreed vast te stellen. Een SIEM geeft echter niet (of beperkt) de mogelijkheid om direct vanuit de SIEM-oplossing actie te ondernemen. Op dit vlak zijn er wel ontwikkelingen zoals SOAR (Security Orchestration Automation Response) die o.a. alerts van SIEM’s en andere securityproducten inlezen en op basis daarvan automatisch acties onderneemt.

Zoals u wellicht heeft kunnen vaststellen is het beheren, onderhouden en afstellen van een SIEM geen geringe taak. Daar is zeer gespecialiseerd personeel voor nodig.

SIEM-leveranciers hebben niet stil gestaan. Steeds meer SIEM-leveranciers integreren UEBA (User and Entity Behavior Analytics) functionaliteit (Gartner, 2019). Bij UEBA worden machine learning algoritmes gebruikt die afwijkingen in het gedrag van gebruikers en andere entiteiten op het netwerk detecteren. Deze analyse op basis van gedrag is belangrijk bij het detecteren van “living of the land” activiteiten van kwaadwillenden door bijvoorbeeld verdachte powershell activiteiten te detecteren (Splunk, 2018).

Deze gebruiken immers bestaande Microsoft tools en moeten op basis van gedrag gedetecteerd worden. UEBA functionaliteit kan van meerwaarde zijn in uw anti-ransomware strategie. Naast SIEM-oplossingen, kunnen andere type security-oplossingen ook gebruik maken van UEBA functionaliteit (Gartner, 2019). Bij het kiezen van security-oplossingen zou u kunnen controleren of UEBA functionaliteit aanwezig is.

Samengevat: het blikveld van een SIEM is breed, een SIEM is beperkt tot de logging die beschikbaar is op een device en het is vaak niet of beperkt mogelijk om een maatregel te kunnen nemen. Echter, de mogelijkheid om logs van verschillende bronnen te correleren maakt het wel belangrijk voor uw security team. Ook kan een SIEM geoptimaliseerd worden om relevante alerts te geven, kunnen ze inzicht krijgen in gebruikersgedrag door UEBA functionaliteit en is het voor de analyse van een vastgesteld incident, essentieel.

Detectie van ransomware – stap 4: Endpoint Detection and Response