Cyber Security Essentials Module 1 - Concepts II PDF
Document Details
Uploaded by DazzledChaparral
Howest Hogeschool
null
Kurt Schoenmaekers
Tags
Summary
This presentation details cyber security concepts, including threat agents, tools, and different attack methods. It also covers the generalized attack process, and attributes of an attack in the context of cybersecurity.
Full Transcript
Threat agents in cyberspace Threat agents in cyberspace Hoogtechnologisch Laagtechnologisch Spionage...
Threat agents in cyberspace Threat agents in cyberspace Hoogtechnologisch Laagtechnologisch Spionage (Land of Bedrijf) Script kiddies Jong, ongeschoold Provider/ Ontwikkelaar/ Hacktivist Operator Online social hacker Huidig Weinig geschoold Tools gebruiker Cyberterrorist Insider (werknemer) Voormalig Laag tot medium geschoold Cyberkrijger Consultant Cybercrimineel 12 Threat agents in cyberspace Online sociale hackers - Geschoold in social engineering, zijn vaak betrokken bij cyberpesten, identiteitsdiefstal en het verzamelen van andere vertrouwelijke informatie of accountgegevens (credentials). Motivatie: Deze hackers gebruiken sociale engineering om vertrouwelijke informatie te verkrijgen door mensen te manipuleren. Methoden: Ze doen zich vaak voor als betrouwbare personen of organisaties om slachtoffers te misleiden en gevoelige gegevens te stelen. Voorbeeld: De phishing-aanval op de Democratic National Committee (DNC) in 2016. Hackers stuurden e-mails die eruitzagen alsof ze van betrouwbare bronnen kwamen, waardoor medewerkers hun inloggegevens prijsgaven. Dit leidde tot een groot datalek. Threat agents in cyberspace Scriptkiddies - Scriptkiddies zijn individuen die leren hacken. Ze kunnen alleen of met anderen werken en zijn voornamelijk betrokken bij code-injecties en gedistribueerde denial-of-service-aanvallen (DDoS). Motivatie: Script kiddies zijn meestal onervaren hackers die bestaande scripts en tools gebruiken om cyberaanvallen uit te voeren, vaak voor de kick of om indruk te maken op anderen. Methoden: Ze hebben weinig technische kennis en gebruiken kant-en-klare tools die door anderen zijn ontwikkeld. Voorbeeld: Het Anna Kournikova-virus in 2001. Dit was een e-mailworm die zich voordeed als een foto van de tennisspeelster Anna Kournikova. Het werd verspreid door een 20-jarige Nederlandse script kiddie. Threat agents in cyberspace Werknemers - hoewel ze meestal vrij low-tech methoden en gereedschap hebben, vormen ontevreden huidige of voormalige werknemers een duidelijk cyber security risico. Al deze aanvallen zijn vijandig, maar de meeste zijn niet gerelateerd aan APT- cyberattacks. Motivatie: Ontevreden werknemers of interne consultants kunnen uit wraak of frustratie gevoelige informatie lekken of systemen saboteren. Methoden: Ze hebben vaak toegang tot interne systemen en kunnen deze toegang misbruiken om schade aan te richten. Voorbeeld: De aanval door een voormalige IT-medewerker van de Amerikaanse bank UBS Paine Webber in 2002. Hij plantte een “logische bom” die miljoenen dollars aan schade veroorzaakte nadat hij was ontslagen. Threat agents in cyberspace Provider/ Ontwikkelaar/ Operator – Alhoewel dit weinig gebeurt en er zeer strenge veiligheidsmaatregelen zijn, is een infiltratie door één van de andere categoriën niet onmogelijk. Daarnaast zijn deze bedrijven in bepaalde landen onder overheidscontrole en kunnen ze de CIA van hun gebruikers aantasten. Motivatie: Deze entiteiten kunnen betrokken zijn bij cyberaanvallen door nalatigheid, slechte beveiligingspraktijken of zelfs opzettelijke acties. Methoden: Ze kunnen kwetsbaarheden in hun diensten of producten introduceren die door kwaadwillenden kunnen worden misbruikt. Voorbeeld: Juniper Networks ontdekte een backdoor in hun ScreenOS-software die aanvallers in staat stelde om versleuteld VPN-verkeer te ontsleutelen en toegang te krijgen tot de netwerken van klanten. Threat agents in cyberspace Landen - Landen richten zich vaak op overheids- en privé-entiteiten met een hoog niveau van geavanceerdheid om inlichtingen te verkrijgen of andere destructieve activiteiten uit te voeren. Motivatie: Staten sponsoren vaak cyberaanvallen of hebben een overheids- of militaire organisatie om politieke, economische of militaire doelen te bereiken. Methoden: Ze gebruiken geavanceerde technieken voor spionage, sabotage en cyberoorlogsvoering (Cyber Warfare). Voorbeeld: De Stuxnet-worm die in 2010 Iraanse nucleaire faciliteiten aanviel. Deze aanval wordt toegeschreven aan de Verenigde Staten en Israël en was gericht op het saboteren van het Iraanse nucleaire programma. Threat agents in cyberspace Bedrijven - Het is bekend dat sommige bedrijven de veiligheidsgrenzen overtreden en kwaadwillige handelingen verrichten om een concurrentievoordeel te behalen. Motivatie: Bedrijven kunnen betrokken zijn bij cyberaanvallen om concurrentievoordeel te behalen of bedrijfsgeheimen te stelen. Methoden: Ze kunnen gebruik maken van industriële spionage en andere illegale activiteiten (met digitale tools) om gevoelige informatie van concurrenten te verkrijgen. Voorbeeld: Cadence beschuldigde Avant! van het stelen van broncode voor hun software. De rechtszaak resulteerde in een schikking waarbij ook enkele leidinggevenden van Avant! gevangenisstraffen kregen. Threat agents in cyberspace Hacktivisten - hoewel ze vaak onafhankelijk handelen, kunnen politiek gemotiveerde hackers zich richten op specifieke individuen of organisaties om verschillende ideologische doelen te bereiken. Motivatie: Hacktivisten worden gedreven door politieke of sociale doelen. Ze gebruiken hacking om hun agenda te promoten, corruptie bloot te leggen of verandering te bewerkstelligen. Methoden: Hun acties kunnen variëren van het bekladden van websites en denial-of-service (DoS) aanvallen tot datalekken die bedoeld zijn om bewustzijn te creëren of activiteiten die ze afkeuren te verstoren. Voorbeeld: Groepen zoals Anonymous zijn betrokken geweest bij verschillende hacktivistische activiteiten, gericht op organisaties waarvan zij geloven dat ze tegen het publieke belang handelen. Threat agents in cyberspace Cyberterroristen - Gekenmerkt door hun bereidheid om geweld te gebruiken om hun doelen te bereiken richten cyberterroristen zich vaak op kritieke infrastructuren en overheidsgroepen. Motivatie: Cyberterroristen gebruiken cyberaanvallen om angst te zaaien en politieke of ideologische doelen te bereiken. Methoden: Ze richten zich vaak op kritieke infrastructuur en proberen grootschalige verstoringen te veroorzaken. Voorbeeld: De Cyber Caliphate, een groep gelieerd aan ISIS, voerde verschillende cyberaanvallen uit, waaronder het hacken van de Twitter- en YouTube-accounts van het Amerikaanse Centraal Commando (CENTCOM). Ze plaatsten pro-ISIS berichten en bedreigingen tegen Amerikaanse militairen. Threat agents in cyberspace Cyberkrijgers (Cyber Warriors) Motivatie: Cyber warriors worden meestal geassocieerd met door de staat gesponsorde activiteiten. Ze voeren cyberoperaties uit om de belangen van hun natie te ondersteunen, wat spionage, sabotage of cyberoorlogvoering kan omvatten. Methoden: Hun tactieken kunnen bestaan uit geavanceerde cyberaanvallen op kritieke infrastructuur, het verzamelen van inlichtingen en het verstoren van vijandelijke communicatie. Voorbeelden: Cyber warriors maken vaak deel uit van militaire of inlichtingendiensten en voeren operaties uit die in lijn zijn met nationale veiligheidsdoelstellingen. Operation Cloud Hopper - Deze langdurige spionagecampagne, toegeschreven aan Chinese hackers, richtte zich op het stelen van gevoelige bedrijfsinformatie en intellectueel eigendom. Threat agents in cyberspace Cybercriminelen - Gemotiveerd door het streven naar winst, zijn deze personen betrokken bij onder andere frauduleuze financiële transacties. Motivatie: Cybercriminelen zijn meestal gemotiveerd door financieel gewin. Methoden: Ze gebruiken technieken zoals ransomware, phishing en identiteitsdiefstal om geld te bekomen of waardevolle gegevens te stelen. Voorbeeld: De ransomware-aanval op Colonial Pipeline in 2021. Deze aanval leidde tot een tijdelijke sluiting van een van de grootste brandstofpijpleidingen in de Verenigde Staten, wat resulteerde in brandstoftekorten. Tools gebruikt bij een aanval Voettekst 23 Malware Malware, ook wel kwaadaardige code genoemd, is software die is ontworpen om: Toegang te krijgen tot de getroffen computersystemen. Informatie te stelen of ontoegankelijk te maken. De werking van de computer te verstoren. Er zijn verschillende soorten malware, die zich onderscheiden door de manier waarop ze werken of zich verspreiden. De belangrijkste zijn: Computervirussen Netwerkwormen Trojaanse paarden Malware Virussen Een computervirus is een stukje code dat zichzelf kan repliceren en zich kan verspreiden van de ene naar de andere computer. Het vereist interventie of uitvoering om te repliceren en/of schade te veroorzaken. ILOVEYOU-virus (2000): Dit virus verspreidde zich via e-mail met de onderwerpregel “I love you”. Wanneer de bijlage werd geopend, overschreef het virus bestanden en stuurde het zichzelf door naar alle contacten in het adresboek van de gebruiker. Het veroorzaakte wereldwijd naar schatting 10 miljard € aan schade. CIH-virus (ook bekend als Chernobyl-virus) (1998): Dit virus was bijzonder destructief omdat het niet alleen bestanden op de harde schijf overschreef, maar ook de BIOS van de computer beschadigde, waardoor de computer onbruikbaar werd. Nu vaak Ransomware-virussen: virus dat een Ransomware aanval uitvoert. Malware (Netwerk)worm Een variant van het computervirus, die in wezen een stuk zelf-replicerende code is die is ontworpen om zichzelf te verspreiden over computernetwerken. Het vereist geen interventie of uitvoering om te repliceren. WannaCry (2017): WannaCry is een ransomware-worm die gebruik maakte van een kwetsbaarheid in Microsoft Windows, bekend als EternalBlue. Het versleutelde bestanden op geïnfecteerde systemen terwijl het losgeld eiste voor de ontsleuteling. NotPetya (2017): NotPetya begon als een ransomware-aanval, maar bleek uiteindelijk meer gericht op vernietiging dan op financieel gewin. Het gebruikte dezelfde EternalBlue-kwetsbaarheid als WannaCry om zich zonder gebruikersinteractie over netwerken te verspreiden. NotPetya versleutelde de master boot record (MBR) van geïnfecteerde systemen, waardoor ze onbruikbaar werden. Malware Trojaanse paarden Een stuk malware dat toegang krijgt tot een getroffen systeem door zich te verstoppen binnen een legitieme toepassing. FinSpy: is een Trojaans paard dat vaak wordt verborgen in legitieme software- updates of -downloads. Het wordt gebruikt voor surveillance en spionage en kan worden ingezet door overheden om doelwitten te bespioneren. FinFisher heeft zich bijvoorbeeld verborgen in software-updates van populaire programma’s zoals iTunes en WinRAR. Malware Bot – Afgeleid van “robot”. Een geïnfecteerd apparaat dat op afstand wordt bestuurd door een aanvaller. Botnet - Een groot, geautomatiseerd en gedistribueerd netwerk van eerder gecompromitteerde apparaten (Bots) die tegelijkertijd kunnen worden bestuurd om grootschalige aanvallen zoals DoS te lanceren. Spyware - Een klasse van malware die informatie over een persoon of organisatie verzamelt zonder medeweten van die persoon of organisatie. Adware - Ontworpen om (over het algemeen ongewenste) advertenties te presenteren aan gebruikers. Malware Ransomware - “Gijzelsoftware", een klasse van afpersingsmalware die gegevens of functies vergrendelt of versleutelt en een betaling eist om ze te ontgrendelen. Er zijn verschillende types beschikbaar voor elk besturingssysteem. Double Extortion Ransomware: Naast betaling om de gegevens te ontgrendelen wordt ook data gestolen en gedreigd deze publiek te maken als er niet een tweede betaling volgt. Triple Extortion Ransomware: Hetzelfde als Double Extortion Ransomware met de toevoeging van vraag naar een derde betaling die dan gericht wordt naar de klanten van het slachtoffer. Malware Keylogger - Malware die in het geheim toetsaanslagen van gebruikers registreert en, in sommige gevallen, de inhoud van het scherm. Rootkit - Malware die het bestaan van andere malware verbergt door het onderliggende besturingssysteem te wijzigen (vaak ook de Master Boot record of zelfs de BIOS). Backdoor - Een middel om toegang te krijgen tot een gecompromitteerd systeem door 1) het installeren van software of 2) het configureren van bestaande software om toegang op afstand mogelijk te maken onder door de aanvaller gedefinieerde omstandigheden. Aanvalstechnieken Advanced Persistent Threat (APT) Complexe en gecoördineerde aanval gericht op een specifieke entiteit of organisatie. Een APT vereist een aanzienlijke hoeveelheid onderzoek en tijd, die vaak maanden of zelfs jaren in beslag nemen om volledig te worden uitgevoerd. APT is een term die de klasse van complexiteit aangeeft. Pas nadat een aanval is ontdekt en de mate van complexiteit is bepaald en de hoeveelheid tijd en middelen die aan de aanval is besteed is onderzocht, kan de aanval worden geclassificeerd als een aanval door een APT. Brute Force Attack - Een aanval die wordt uitgevoerd door alle mogelijke combinaties van wachtwoorden of encryptiesleutels te proberen totdat de juiste is gevonden. Aanvalstechnieken Buffer Overflow Vergelijk met een glas water dat overloopt. Het glas is de buffer en het water de data. Het overlopende water kan de omgeving beschadigen. Komt voor wanneer een programma of proces meer gegevens probeert op te slaan in een buffer (tijdelijk opslaggebied voor gegevens) dan de bedoeling was. Aangezien buffers worden aangemaakt om een eindige hoeveelheid gegevens te bevatten, kan de extra informatie overstromen naar aangrenzende buffers, waardoor de geldige gegevens die erin worden bewaard, worden beschadigd of overschreven (bv de rechten van de gebruiker) of de computer crasht. Hoewel het per ongeluk kan gebeuren door een programmeerfout, is buffer overflow vaak een aanval op de gegevensintegriteit. Bij buffer overflow aanvallen kunnen de extra gegevens codes bevatten om de gegevensintegriteit aan te vallen. Aanvalstechnieken Cross-site scripting (XSS) Een type injectie waarbij kwaadaardige scripts worden “geïnjecteerd” in anders goedaardige en vertrouwde websites. XSS-aanvallen treden op wanneer een aanvaller een webapplicatie gebruikt om kwaadaardige code, meestal in de vorm van een browser side script, naar een andere eindgebruiker te sturen. Programmeerfouten die deze aanvallen laten slagen zijn vrij wijd verspreid en komen overal voor waar een webapplicatie gebruik maakt van input van een gebruiker binnen de output die het genereert, zonder deze te valideren of te coderen. Voorbeeld: code invoegen in een commentaar/antwoord op een forum. Aanvalstechnieken DoS DoS betekent Denial of Service. Een aanval op een service vanuit één enkele bron die het overspoelt met zoveel verzoeken dat het overweldigd wordt en ofwel volledig wordt gestopt ofwel aanzienlijk trager werkt. DDoS Bij DDoS wordt een netwerk van aanvallers gebruikt. Oorspronkelijk werd hiervoor een netwerk van de aanvallers gebruikt maar tegenwoordig is dit meestal een botnet. Mirai-botnetaanval in 2016, 600.000 IoT bots, aanval op DNS-provider die zware storingen gaf bij Twitter, Netflix, Reddit, en GitHub. Voettekst 34 Aanvalstechnieken Man-in-the-middle attack - Een aanvalsstrategie waarbij de aanvaller de communicatiestroom tussen twee delen van het systeem van het slachtoffer onderschept en vervolgens het verkeer tussen de twee componenten vervangt door dat van de indringer, waarbij hij uiteindelijk de controle over de communicatie op zich neemt. Vb. Raspberry Pi als Wifi Access Point. Zero-day exploit - Een kwetsbaarheid die wordt uitgebuit (exploit) voordat de software-ontwikkelaar zich bewust is van het bestaan ervan. Logic Bomb – schadelijke code wordt uitgevoerd wanneer bepaalde condities voldaan zijn. Die ontevreden werknemer van UBS Paine Webber die we hiervoor hebben vermeld, gebruikte een logic bomb die alle bestanden op 2000 servers verwijderde op een bepaald tijdstip. Aanvalstechnieken Structured Query Language (SQL) injection - invoegen ('injectie') van een SQL- databasebevraging (query) via de invoergegevens (bijv. een veld om een gebruikersnaam in te voeren) van de client naar de applicatie. Als de SQL- databasebevraging wordt uitgevoerd, kan de aanvaller onder andere het volgende doen: gevoelige data uit de database lezen; databasegegevens wijzigen (Invoegen/updaten/verwijderen); administratieve handelingen op de database uitvoeren (b.v. shutdown); de inhoud van een bepaald bestand op het DBMS-bestandssysteem herstellen; in sommige gevallen bevelen geven aan het besturingssysteem. Social Engineering Social engineering - Elke poging om sociale kwetsbaarheden uit te buiten om toegang te krijgen tot informatie en/of systemen. Het gaat om een "oplichterij" die anderen misleidt om informatie te onthullen of om kwaadaardige software of programma's te openen. Spoofing - Het vervalsen van het verzendingsadres (Noteer: dit betekent het vervalsen van de identiteit van de afzender in de vorm van een e-mailadres, IP-adres, website-adres, telefoonnummer of biometrische gegevens) om illegale toegang te krijgen tot een beveiligd systeem. Social Engineering Phishing - Een soort e-mailaanval die een gebruiker ervan probeert te overtuigen dat de afzender echt is, maar met de bedoeling om informatie te verkrijgen voor gebruik in social engineering. Smishing is hetzelfde, maar maakt gebruik van SMS. Soms met telefoon follow-up. Vishing – Phishing waarbij via de aanvaller via de telefoon zijn slachtoffer probeert te overtuigen om een (schadelijk) programma te downloaden en uit te voeren. Spear phishing - Een meer gerichte versie van phishing waarbij social engineering technieken worden gebruikt om de aanvaller te maskeren als een vertrouwde partij om belangrijke informatie te verkrijgen zoals wachtwoorden van een specifiek slachtoffer. Als dat specifiek slachtoffer zeer rijk of invloedrijk is, spreekt men van whale phishing. Generalized Attack Process - The Cyber Kill Chain https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html Command Acties op het Verkenning Bewapening Levering Exploitatie Installatie and Control Objectief Met hands-on Het benutten van toegang tot het Oogsten van e- Koppeling van de Levering van een kwetsbaarheid Commandokanaal Het installeren van toetsenbord, mailadressen, exploit met een payload aan het om code uit te voor manipulatie malware op de bereiken informatie van backdoor tot een slachtoffer via e- voeren op het op afstand van het asset indringers hun conferenties, enz. payload mail, web, USB systeem van het slachtoffer oorspronkelijke slachtoffer doelen. Attributen van een aanval Aanval (Attack) Daadwerkelijk uitvoeren van een dreiging Verkenning Wordt ook de OSINT fase genoemd (Open Source Intelligence) Exploitatie (Exploit) Gebruik maken van een kwetsbaarheid om de aanwezige controles te verslaan en toegang te krijgen. Voorbeeld: gebruik maken van standaard wachtwoorden (admin/admin) om toegang te krijgen tot een server. Attributen van een aanval Aanvalsvector (Attack Vector) Het pad of de route die wordt gebruikt om toegang te krijgen tot het doelwit (asset). Ingress (deel van Levering): Weg via dewelke een threat agent binnendringt. Dit kan bv. zijn: email, downloaden van software, USB… Egress (deel van Acties op het Objectief): Weg via dewelke een threat agent gegevens van het slachtoffer kopieert. Dit maakt meestal misbruik van een bestaand protocol. Lading (Payload) Nadat de exploitatie is doorgevoerd, “dropt” de aanvaller een schadelijk programma (malware) waarmee hij het computersysteem kan beheersen. Vergelijking: In de luchtvaart is een payload de lading van het vliegtuig. Beveiligingsarchitectuur 42 De beveiligingsarchitectuur Een beveiligingsarchitectuur beschrijft de structuur, de componenten, de verbindingen en de lay-out van de security controles binnen de IT-infrastructuur van een organisatie. Er bestaan verschillende soorten beveiligingsarchitecturen met verschillende details voor componenten zoals subsystemen, producten en toepassingen deze details beïnvloeden de “defense-in-depth” benadering (zie verder). Elke beveiligingsarchitectuur brengt een eigen risico met zich mee -> hierna bespreken we de betrokken variabelen en best practices. De beveiligingsarchitectuur Honeypot Client Machines Mail Server Firewall Router Firewall Client Machines Internet Web Server Database Server RADIUS Directory Server Voettekst 46 De perimeter beveiligen Bij cybersecurity is dit de “Internet Perimeter”. Het is de grens tussen het bedrijfsnetwerk en het Internet. Het is belangrijk deze goed te beveiligen. Twee mogelijke aanpakken: Netwerk- of systeemgerichte aanpak Een goed gedefinieerde (zij het meestal virtuele) grens tussen de organisatie en de buitenwereld. Bijvoorbeeld een kasteel om mensen te beschermen. De controle wordt op netwerk- en systeemniveau geplaatst. Datacentrische beveiligingsaanpak Bescherming van gegevens ongeacht de locatie. Bijv. POTUS reist in een beveiligd vliegtuig, beveiligde auto, hotels zijn beveiligd enz... Internet, outsourcing, mobiele apparaten, cloud… -> de perimeter is aanzienlijk uitgebreid en vaak moeilijk te definiëren. The Internet Perimeter Waar dienen we aan de Internet Perimeter idealiter voor te zorgen? Zorgt voor een veilige toegang tot het internet voor de medewerkers van de onderneming en de gastgebruikers die op alle locaties wonen. Regelt het verkeer tussen de onderneming en het internet. Beheert het gebruikersverkeer in de richting van het internet. Voorkomt dat uitvoerbare bestanden worden verstuurd via e-mailbijlagen of web- browsing. Bewaakt "interne en externe netwerkpoorten" voor schadelijke activiteiten. The Internet Perimeter Detecteert en blokkeert verkeer van geïnfecteerde interne eindpunten. Identificeert en blokkeert abnormaal verkeer en kwaadaardige "pakketten" die als mogelijke aanvallen worden herkend. Elimineert bedreigingen zoals e-mail spam, virussen en wormen. Dwingt een filterbeleid af om de toegang tot websites met malware of twijfelachtige inhoud te blokkeren. Defense in depth - Concentrische ringen Creëert een reeks van genestelde lagen die moeten worden omzeild om een aanval te doen lukken. Elke laag vertraagt de aanvaller en biedt mogelijkheden om de aanval te detecteren. Vaak vergeleken met de verschillende lagen van een ajuin. Voorbeeld: Concentrische kasteelmuren Een controle op het netwerk en op elk apparaat. Defense in depth - Overlappende Redundantie Twee of meer controles die parallel werken (dus niet in serie) om een “asset” te beschermen. Biedt meerdere, elkaar overlappende detectiepunten. Dit is het meest effectief wanneer elke controle verschillend is. Voorbeeld: Muren en ballista’s Anti-virus en persoonlijke firewall oplossingen op eenzelfde PC. Defense in depth - Compartmentalization Richt zich op het verdelen van systemen en gegevens in afzonderlijke compartimenten met eigen beveiligingscontroles om de toegang te beperken en de schade te beperken die een aanvaller kan aanrichten als hij toegang krijgt tot één compartiment. Gaat over toegangscontrole en het beschermen van gegevens door te beperken wie toegang heeft tot wat. Voorbeeld: HR en Finance hebben verschillende toegangsregels voor financiële data van werknemers en zelfs geen toegang tot bepaalde data eigen aan de functie van het andere departement. Defense in depth - Segregation Richt zich voornamelijk op het opdelen van een netwerk in kleinere, geïsoleerde segmenten om de verspreiding van een aanval binnen het netwerk te beperken. Gaat meer over netwerkarchitectuur en het voorkomen van laterale beweging binnen een netwerk. Voorbeeld: VLAN's gebruiken om verschillende netwerken (gast, bedrijfsnetwerk) binnen een organisatie van elkaar te scheiden, zodat een inbreuk in het ene segment niet gemakkelijk gevolgen heeft voor andere. Voorbeeld: een firewall tussen het OT en IT netwerk zetten om te vermijden dat een IT aanval verlies van de integriteit en de beschikbaarheid van het OT netwerk veroorzaakt. Defense in depth – Horizontal & Vertical Een andere indeling van de verdediging in de diepte vanuit een architectonisch perspectief. Vertical defense in depth Controles worden op verschillende lagen (van de IT stack) geplaatst zoals Fysisch: bijvoorbeeld biometrisch slot op serverruimtes Netwerk: bijvoorbeeld firewalls Endpoint: bijvoorbeeld antivirus software Applicatie: bijvoorbeeld veilige codeerpraktijken Data: bijvoorbeeld encryptie van de gehele harde schijf Kan gezien worden als concentrische ringen waar iedere laag overheen komt met een ring. Defense in depth – Horizontal & Vertical Horizontal defense in depth Richt zich op het implementeren van meerdere beveiligingsmaatregelen binnen dezelfde laag of functie om redundantie en back-up te bieden. Bij deze aanpak worden verschillende beveiligingstools en -praktijken binnen dezelfde laag ingezet om ervoor te zorgen dat als één maatregel faalt, andere nog steeds bescherming kunnen bieden. Bijvoorbeeld firewall en IPS op netwerk laag. Bijvoorbeeld wachtwoord en code via telefoon bij authenticatie functie. Heeft direct te maken met overlappende redundantie, omdat het gaat om meerdere beveiligingsmaatregelen die dezelfde laag of functie dekken. Logging 58 Logging Een logboek is een verslag van “gebeurtenissen” die plaatsvinden binnen de systemen en netwerken van een organisatie. Dus een soort "dagboek" dat wordt bijgehouden door een proces of apparaat. Bijvoorbeeld een logboek van gebeurtenissen dat wordt bijgehouden door een firewall. Zeer waardevolle informatie om controles te monitoren risico's te detecteren maar vaak onderbenut. Een voorbeeld – Microsoft Windows Logboek Voettekst 60 Logging Het bekijken van logboeken kan helpen bij het identificeren van risico-relevante gebeurtenissen: Compliance overtredingen Verdacht gedrag Fouten Scans of probes Abnormale activiteit B.v. Een mislukte login af en toe is normaal. Maar als het logboek veel bijna gelijktijdige aanmeldingsfouten vertoont, kan dit wijzen op een aanval. Je zou dit niet weten als je het logboek niet in detail bekijkt. Logging Logging kan een vereiste zijn voor de naleving van de wet- en regelgeving (bijv. ISO27001). Logging is onmisbaar bij forensische analyse. Logbestanden MOETEN worden beschermd: Segregatie van taken (wie controleert de admin anders?) Tijdstempel is essentiële info om informatie uit verschillende bronnen te correleren (verbanden tussen de verschillende gelogde gebeurtenissen zoeken). Blockchain is een mogelijke oplossing om logboeken een degelijke bescherming te geven. Logging Uitdagingen: Te veel gegevens -> Oplossing: gebruik tools om de logs te filteren Moeilijkheid bij het zoeken naar relevante informatie -> gebruik van correlatie-software Wijziging of verwijdering van gegevens voordat ze worden gelezen (bijv. te weinig opslag of logboekgegevens worden maar kort bijgehouden) Onjuiste configuratie (b.v. logboek niet ingeschakeld of niet alle relevante gegevens worden gelogd) Belang van Logging Wat kan er misgaan als je de logs niet ernstig neemt/niet in detail bekijkt? Dit gebeurde bij een van de grootste winkelketens in de VS. Meer dan een miljoen privé-gegevens van personen gestolen Mailingadressen, namen, emailadres, telefoonnummers en credit- en debet-kaart gegevens (inclusief CVV en vervaldata). Aanvalsvector was gestolen inloggegevens van een HVAC-contractant. En één van de cybersecurity controles had hen op tijd gewaarschuwd voor de aanval, maar de melding was verdronken in te veel andere gegevens... Een goede analyse en monitoring van de logging had dit kunnen voorkomen. Security Information and Event Management (SIEM) Uitdaging: Er bestaan veel beveiligingstools, elk met een eigen logboek -> grote hoeveelheden gegevens (letterlijk encyclopedieën met gegevens, elke dag!). -> Hoe gaat men deze overweldigende hoeveelheid gegevens analyseren en interpreteren? Oplossing = SIEM-systemen (combinatie van SEM en SIM) Automatisch aggregeren (samenvoegen) en correleren van loggegevens over meerdere beveiligingsapparaten. Reduceert de informatie tot een hanteerbare lijst van geprioritiseerde gebeurtenissen! Gebruikt in war rooms of het zogenaamde SOC (Security Operations Center) SIEM - Werkwijze 1. Gegevensverzameling Verzamel gegevens van een groot aantal bronnen, waaronder servers, netwerkapparaten, toepassingen en beveiligingsapparaten zoals firewalls en inbraakdetectiesystemen. 2. Gegevensaggregatie Gecentraliseerde opslag en normalisatie: De gegevens worden gestandaardiseerd in een gemeenschappelijk formaat, waardoor de SIEM informatie uit verschillende bronnen effectief kan verwerken en vergelijken. 3. Gegevensanalyse Correlation: De SIEM kijkt naar verbanden tussen verschillende gebeurtenissen. Real-time (incident) of historisch (forensisch onderzoek) SIEM - Werkwijze 4. Alarmen en Rapporten Wanneer de SIEM een potentieel beveiligingsincident detecteert, genereert het geprioriteerde waarschuwingen om het beveiligingsteam op de hoogte te stellen. SIEM-systemen kunnen gedetailleerde rapporten genereren voor compliance, auditing en forensische analyse. 5. Incident Response Integratie: SIEM-systemen integreren vaak met andere beveiligingstools om reacties op gedetecteerde bedreigingen te automatiseren. Bijvoorbeeld acties activeren zoals het blokkeren van een IP-adres. (automatisatie) Onderzoek: Beveiligingsteams gebruiken de gegevens en waarschuwingen van de SIEM om incidenten te onderzoeken en erop te reageren, waardoor de impact van beveiligingslekken tot een minimum wordt beperkt. (menselijke actie) SIEM - Methodes voor het zoeken van verbanden “Beveiligingsincidenten” bestaan vaak uit een reeks gebeurtenissen die zich verspreid over het hele netwerk kunnen voordoen. Een SIEM verzamelt geïsoleerde gebeurtenissen en combineert ze automatisch – waar mogelijk - tot één enkel relevant beveiligingsincident en geeft hiervoor een alarm of melding. Voorbeeld: Aanvallen op de web gateway en de firewall gelijktijdig vanuit gelijkaardige IP adressen kan wijzen op een georganiseerde en gecoördineerde poging om het netwerk binnen te dringen. SIEM - Methodes voor het zoeken van verbanden Regel-gebaseerde correlatie “if-then” regels De SIEM zoekt naar specifieke patronen of opeenvolgingen van gebeurtenissen die overeenkomen met vooraf (door een mens) gedefinieerde regels. Voorbeeld: Als er tien mislukte aanmeldpogingen zijn gevolgd door een succesvolle, kan er een waarschuwing worden geactiveerd. Voorbeeld: als er een bepaald kenmerk (signature) van een gekende malware wordt gedetecteerd, wordt dit gemeld. Voettekst 72 SIEM - Methodes voor het zoeken van verbanden Statistisch verband Gebruik makend van statistiek, verzamelt de SIEM gegevens in de loop van de tijd en stelt vast hoe “normaal” gedrag eruit ziet. Vervolgens worden statistische methoden gebruikt om afwijkingen van deze norm op te sporen. Voorbeeld: Als het gemiddelde aantal aanmeldpogingen per uur gewoonlijk 5 is, maar er plotseling 100 pogingen in een uur zijn, markeert het systeem dit als verdacht want het wijkt af van de aangeleerde norm. Voettekst 73 SIEM - Methodes voor het zoeken van verbanden Neurale netwerken Neurale netwerken kunnen tot op zekere hoogte het menselijk brein imiteren. Het menselijk brein is beter in het zien van verbanden maar neurale netwerken werken zeer snel. Neurale netwerken leren van historische gegevens om patronen te identificeren en toekomstige gebeurtenissen te voorspellen. In tegenstelling tot de andere methodes en speciaal de statistische methodes, kunnen neurale netwerken zich aanpassen aan nieuwe soorten bedreigingen door te leren van incidenten uit het verleden. De firma Darktrace gebruikt bijvoorbeeld neurale netwerken voor correlatie van de gebeurtenissen in hun SIEM. Voettekst 74
