Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Verbeter en toets je detectievermogen en train je incident response team

Self assessment en training

Stel je hebt je ziekenhuis toegerust met de benodigde detectiemiddelen. Echter je wilt graag kunnen “meten” hoe goed je daadwerkelijk in staat bent om een geavanceerde aanvaller op te sporen. Je wilt ook vooruitgang kunnen boeken, en je wilt de managementlaag statistieken laten zien van de vooruitgang die je securityteam heeft geboekt en zo een return of investment aantonen. Of je wilt juist meten in hoeverre je MSSP in staat is om daadwerkelijk bepaalde hacktechnieken te kunnen opsporen.

Dit kan je doen door gebruik te maken van het MITRE ATT@CK framework te gebruiken. In dit framework is uitgebreid gedocumenteerd wat voor tactieken, technieken en procedures APT-groepen gebruiken. Daarbij komen zowel technieken in Windows, Linux als MacOS aanbod.

Het MITRE ATT@CK framework is groot en bevat vele technieken. Wat securityteams vaak doen is dat ze bijvoorbeeld één fase pakken uit de aanvalscyclus en kijken hoe goed ze in staat zijn de technieken die daarin gedocumenteerd zijn, te detecteren.
Of ze pakken een APT-groep en testen de technieken die deze groep gebruikt. Op basis van de bevindingen kan detectie aangescherpt worden door het maken van bijvoorbeeld specifieke SIEM usecases. Op deze manier kan je je voortgang meten en rapporteren. Het testen van de technieken van een APT groep kan ook direct een aanleiding hebben. Soms gebeurt het een bepaalde APT-groep weer zeer actief is en van sommige van dezer groepen is bekend dat ze interesse hebben in healthcare (FireEye, 2020).

Je kan in een testomgeving zelf de technieken uitvoeren. Red Canary heeft voor een groot aantal van deze technieken een aantal tests ontworpen die je handmatig kunt uitvoeren (Red Canary, 2020) en waarbij er logging wordt geproduceerd door het Windows OS of Sysmon die typerend is voor deze aanval. Echter bij Red Canary zijn het vooral technieken die je handmatig moet uitvoeren. MITRE heeft voor het automatisch testen van TTP’s een tool genaamd Caldera. Bij deze oplossing draait er een client op de endpoints en kunnen via een server tests uitgevoerd worden. Het is aan te raden om deze tests te runnen in een testomgeving en wel de detectiemiddelen in te zetten die uw productieomgeving ook heeft. U zou bijvoorbeeld de logs van de testomgeving wel kunnen laten opnemen in de SIEM die u gebruikt en kijken of de aanvallen gedetecteerd worden.

Trainingen

Naast dat het MITRE ATT@CK framework gebruikt kan worden om uw detectie te optimaliseren, is het ook een goed framework om te gebruiken bij trainingen. Je securityteam kan zien welke technieken door geavanceerd hoogstaande hackergroepen worden gebruikt en hoe de aanvallen zijn opgebouwd. Deze kennis kan goed van pas komen bij incident response waarbij bijvoorbeeld logs geanalyseerd moeten worden. Een incident response team kan op basis van de gedetecteerde technieken ook vaststellen in welke fase een aanval zich bevindt. Dit is belangrijk voor het incident response proces. Indien bijvoorbeeld een incident response team vaststelt dat een aanval zich in al in een ver gevorderd stadium, wordt het extra belangrijk om de kroonjuwelen te beveiligen of zelfs (tijdelijk) in quarantaine te zetten.