Self assessment en training
Stel je hebt je ziekenhuis toegerust met de benodigde detectiemiddelen. Echter je wilt graag kunnen “meten” hoe goed je daadwerkelijk in staat bent om een geavanceerde aanvaller op te sporen. Je wilt ook vooruitgang kunnen boeken, en je wilt de managementlaag statistieken laten zien van de vooruitgang die je securityteam heeft geboekt en zo een return of investment aantonen. Of je wilt juist meten in hoeverre je MSSP in staat is om daadwerkelijk bepaalde hacktechnieken te kunnen opsporen.
Dit kan je doen door gebruik te maken van het MITRE ATT@CK framework te gebruiken. In dit framework is uitgebreid gedocumenteerd wat voor tactieken, technieken en procedures APT-groepen gebruiken. Daarbij komen zowel technieken in Windows, Linux als MacOS aanbod.
Het MITRE ATT@CK framework is groot en bevat vele technieken. Wat securityteams vaak doen is dat ze bijvoorbeeld één fase pakken uit de aanvalscyclus en kijken hoe goed ze in staat zijn de technieken die daarin gedocumenteerd zijn, te detecteren.
Of ze pakken een APT-groep en testen de technieken die deze groep gebruikt. Op basis van de bevindingen kan detectie aangescherpt worden door het maken van bijvoorbeeld specifieke SIEM usecases. Op deze manier kan je je voortgang meten en rapporteren. Het testen van de technieken van een APT groep kan ook direct een aanleiding hebben. Soms gebeurt het een bepaalde APT-groep weer zeer actief is en van sommige van dezer groepen is bekend dat ze interesse hebben in healthcare (FireEye, 2020).
Je kan in een testomgeving zelf de technieken uitvoeren. Red Canary heeft voor een groot aantal van deze technieken een aantal tests ontworpen die je handmatig kunt uitvoeren (Red Canary, 2020) en waarbij er logging wordt geproduceerd door het Windows OS of Sysmon die typerend is voor deze aanval. Echter bij Red Canary zijn het vooral technieken die je handmatig moet uitvoeren. MITRE heeft voor het automatisch testen van TTP’s een tool genaamd Caldera. Bij deze oplossing draait er een client op de endpoints en kunnen via een server tests uitgevoerd worden. Het is aan te raden om deze tests te runnen in een testomgeving en wel de detectiemiddelen in te zetten die uw productieomgeving ook heeft. U zou bijvoorbeeld de logs van de testomgeving wel kunnen laten opnemen in de SIEM die u gebruikt en kijken of de aanvallen gedetecteerd worden.