Tijdig detecteren van een security hack: Hoe doe je dat?

 | Security

Vrijwel dagelijks haalt er wel een onderneming de media doordat deze het slachtoffer is van een security hack. VDL en Mediamarkt staan nog op ons netvlies, maar daar is in het weekeinde van 30 januari een grootschalige, gecoördineerde inbraak bijgekomen. Deze vond plaats op meerdere havenbedrijven die actief zijn in laden, lossen en opslag van gas- en olieproducten in België, Duitsland en Nederland. Door uitval van productiesystemen zijn duizenden tankstations in Duitsland genoodzaakt om over te schakelen op alternatieve leveranciers. Het is opmerkelijk dat juist nu, met de dreiging van een oorlog in Oekraïne en afsluiting van brandstofleidingen vanuit Rusland naar Europa, zo’n grootschalige aanval plaats heeft gevonden. Of niet…

Dreiging over langere periode
Bij security hacks van deze omvang is meestal sprake van een dreiging die zich manifesteert over een langere periode. Hierbij maakt de aanvaller gebruik maakt van meerdere tactieken en technieken om toegang te verkrijgen tot het netwerk en daarmee zijn weg te vinden naar de ‘kroonjuwelen’ van een onderneming. Na het verschaffen van toegang via bijvoorbeeld een phishing campagne of gelekte inloggegevens, zullen cybercriminelen pogingen ondernemen om vaste voet te verkrijgen in het netwerk. Zij zullen de toegang tot informatiesystemen verder uitbreiden, hun sporen wissen en uiteindelijk een aanval plaatsen. Deze aanval kan meerdere doelen dienen, waaronder afpersing met geld als motief, maar ook geopolitieke doelen. Zoals doet vermoeden bij de aanval van januari. Zo’n dreiging noemt men in vaktermen een Advanced Persistent Threat (APT).

Zijn inbraak en afpersing tijdig te detecteren?
Aanvallen, zeker die met een grote maatschappelijk impact, worden door cybersecurityspecialisten uitgebreid geanalyseerd op patronen, technieken en gebruikte gereedschappen. De vele onderzoeken op dit gebied hebben uitgewezen dat hackers inmiddels zeer professioneel zijn georganiseerd en niet snel afwijken van hun modus operandi. Zoals vergelijkbaar met traditionele criminele organisaties. Gereedschappen en toegepaste technieken zijn relatief eenvoudig te wisselen, maar de werk- en organisatiewijze niet. Zeker als een eerdere aanval succesvol was, zal de hacker bij een volgende aanval dezelfde werkwijze hanteren. Daaraan is hij ook te herkennen, vergelijkbaar met een vingerafdruk. Een gerichte aanval neemt vanaf verkenning tot uiteindelijke kwaadaardige actie meestal vele maanden in beslag, waarin de hacker bovengenoemde stadia doorloopt. Mits op systeem-, netwerk- en securitycomponenten logging op een correcte wijze is geïmplementeerd, kunnen de activiteiten van de hacker in een vroegtijdig stadium worden ontdekt.

Wat is er nodig om een hack tijdig te ontdekken?
Een mogelijkheid om een hack tijdig te ontdekken is door per systeem de logdata te analyseren. Dit is echter tijdrovend, om maar niet te spreken van het vinden van een samenhang tussen de verzamelde data binnen het totale infrastructuur landschap. Het is bijzonder moeilijk patronen van een aanval te herkennen over een langere tijdperiode. Essentieel is het dan ook om deze logdata op een centrale plek te verzamelen, te controleren en te interpreteren mét de juiste tooling, door ervaren analisten.

Managed Security Monitoring
Deze dienst, Managed Security Monitoring, wordt vanuit Stepco geleverd in samenwerking met een van onze ervaren partners. Zij beschikken over een 7 x 24 uur bemand Security Operation Center (SOC) met moderne detectietechnologie, ervaren eerste- en tweedelijns analisten en technische specialisten. Samen met Stepco voeren zij het ontwerp, de plaatsing en inregeling van de dienst uit bij bedrijven. Daarbij vervult Stepco een belangrijke spilfunctie: we voorzien de analisten van de juiste klantcontext zodat zij onregelmatigheden correct kunnen interpreteren en vertalen naar business risico’s van de klant.

 

Meer weten over Managed Security Monitoring?
Wilt u meer informatie over Managed Security Monitoring? Wij adviseren u graag. Neem contact op met uw Stepco relatiemanager of met Rob Zouteriks, CISO bij Stepco. U kunt Rob bereiken via r.zouteriks@stepco.nl.

Neem contact op met Rob Zouteriks!

Deel dit bericht:
Schrijf je in voor de Stepco update!

Op de hoogte blijven van ons laatste nieuws op het gebied van Workspace, Network & Security?
Schrijf u dan nu in!

Bij inschrijving gaat u akkoord met
de algemene voorwaarden.