Hoe weet u welke beveiligingsprojecten voorrang moeten krijgen?

Deception-technologieën leveren een ongekend zicht in de activiteiten van hackers en Malware (onder andere Ransomeware). Voor CISO’s en beveiligingsteams levert dit cruciale informatie op, waarmee vastgesteld kan worden welke prioriteiten gesteld dienen te worden bij het verder versterken van de beveiliging van het bedrijfsnetwerk.

De uitdaging? Net als bij de meeste andere bedrijven en overheidsorganisaties wordt uw beveiligingsteam dagelijks geconfronteerd met beloftes van leveranciers van security-oplossingen. Hun product zal - eindelijk - in staat blijken de aanvallers tegen te houden. Veel nieuwe technologieën bieden weliswaar verbeteringen, maar veelal gaat het om incrementele bescherming. Anders gezegd: ze zijn ongetwijfeld nuttig op hun eigen deelgebied, maar het zijn geen wondermiddelen.

Bovendien creëren nieuwe veiligheidstechnologieën aanzienlijke meer werklast voor beveiligingsteams. Elke technologie moet geëvalueerd en geprioriteerd worden. Maar de vraag is: hoe prioriteren we nu precies?

  • Waar investeren uw concurrenten in als het om beveiligingsprioriteiten gaat?
  • Welke druk komt er van het senior management?
  • Heeft u een lijst met waargenomen risico's gebaseerd op algemene veiligheidstendensen?

Wat als u zou kunnen weten welke doelen de aanvallers zoeken? Of welke tactiek ze gebruiken wanneer ze uw verdediging binnen dringen? Op basis van de huidige kennis is het zeer waarschijnlijk dat aanvallers al in uw netwerk aanwezig zijn. Dit binnendringen is uw security-team kennelijk helemaal niet opgevallen. Wat als u zou weten op welke systemen en apparaten aanvallers zich richten? Of in welke servers zij al aanwezig zijn?

Hier helpt deception

Dit is waar deception-technologie grote voordelen kan bieden. Misleiding maakt het mogelijk om nepsystemen en apparaten te creëren, waaronder eindgebruikerswerkstations, servers, IoT-apparaten, netwerkinfrastructuren en gespecialiseerde apparaten - bijvoorbeeld medische apparatuur - die uniek zijn voor uw bedrijfstak.

srctrapx-615x257

Deception kan u helpen ontdekken:

  • Waar aanvallers zich in uw netwerk verstoppen
  • Welke systemen ze ondervragen
  • Welke tactieken ze gebruiken
  • Of ze data proberen te stelen
  • Of ze ransomware proberen te implementeren

Nep-systemen

Dit alles zonder het blootstellen van uw werkelijke systemen en apparaten. Door zogeheten schijn-systemen en -apparaten te installeren die als lokaas voor de aanvallers dienen, toont deception-technologie u welke systemen aanvallers en malware proberen te infiltreren, welke verspreidingstechnieken worden gebruikt en zelfs wat een aanvaller al over uw netwerk te weten is gekomen.

Stelt u zich voor het vermogen te hebben om te zien waar de aanvallers zich in uw netwerk bewegen, wat hun primaire doelen zijn en hoe ze door uw infrastructuur heen verspreiden. TrapX DeceptionGrid behaalt dit niveau van zichtbaarheid door tientallen, honderden of zelfs duizenden decoys (ook wel ‘traps’ genoemd) te maken die identiek zijn aan de authentieke systemen waarbij de enige benodigde bronnen IP-adressen voor elke trap zijn.

De informatie die door de deception-technologie wordt geleverd, kan u helpen bij het vaststellen of verfijnen van uw beveiligingsprioriteiten. Denk aan endpoint security, gebruikersidentiteiten en gedragsanalyse of een IoT-beveiliging. Het is ook waardevol om de beveiligingsuitgaven aan het management te rechtvaardigen.

Endpoint beveiliging

DeceptionGrid kan Windows XP, Windows 7, Windows 10, Mac OSX en open systemen, evenals versies van deze besturingssystemen emuleren. Eenmaal ingezet, waarschuwen de DeceptionGrid Traps het beveiligingsteam als indringers zijn aangetroffen. Als een aanvaller gebruik maakt van aangepaste malware of andere hulpprogramma's om toegang te krijgen tot meerdere endpoints (inclusief bewegingen die zich lateraal verplaatsen via uw netwerk) zullen de endpoint-traps waarschuwingen genereren. U kunt zien waar de aanval ontstond en hoeveel inspanning de aanvaller heeft geleverd om extra endpoints door te breken. Deze gegevens kunnen worden gebruikt om de tekortkomingen van bestaande beveiligingsoplossingen op het endpoint vast te stellen, zo krijgt u de mogelijkheid om extra investeringen in endpoint-beveiliging te doen.

Gedraganalyses

DeceptionGrid kan belangrijke Windows- of Linux-servers emuleren en beveiligingspersoneel waarschuwen voor elke vorm van activiteit van aanvallers. Als een apparaat van een gebruiker wordt gehackt of kwaadwilligen toegang hebben tot een systeem of dit apparaat zelfs hebben overgenomen, waarschuwt TrapX DeceptionGrid niet alleen het beveiligingsteam onmiddellijk over deze activiteit. Ook informatie als de herkomst van de aanval, welke accounts verdacht zijn en alles wat de aanvaller doet wordt beschikbaar gesteld. Inclusief de accounts die de aanvallers proberen te gebruiken.

Doordat DeceptionGrid de aanvallers toegang geeft tot de decoy-systemen (traps) kunt u zien welke gebruikersnamen en wachtwoorden aanvallers mogelijk hebben buitgemaakt. Dit zonder dat legitieme systemen aangeraakt worden. U kunt ook zien waar aanvallers naar op zoek zijn. Zijn dit bijvoorbeeld bestanden op fileservers, database records of nog iets anders?

Internet of Things

DeceptionGrid ondersteunt ook IoT-beveiliging. Door een gespecialiseerd apparaat dat uniek is voor uw bedrijfstak te emuleren, kan snel zichtbaar worden gemaakt of en zo ja waar een crimineel probeert binnen te komen.

SRCSecuretrapx-615x242

TrapX DeceptionGrid is heel breed toepasbaar: van industrieel SCADA-systemen tot SWIFT-systemen voor financiële diensten en van gespecialiseerde medische apparatuur tot vrijwel elk ander gespecialiseerd apparaat. Hier zijn geen separate softwareapplicaties of licenties voor nodig. Wanneer een aanvaller een speciaal hiervoor geëmuleerd apparaat probeert te hacken laat de IoT Trap dit toe, zodat u de bewegingen kunt volgen en leren van zijn acties. U kunt zien of ze zich verspreiden naar andere delen van het netwerk of dat ze direct communiceren met een apparaat.

Deception-infrastructuur

Het is onwaarschijnlijk dat alle systemen en apparaten binnen uw netwerk op dezelfde manier worden aangevallen. Daarom kunt u een zogeheten deception-infrastructuur opzetten dat op maat voor uw organisatie is ingericht. Deception stelt u in staat om aanvallers te lokken door gebruik te maken van zeer realistische lokazen. Waardoor u tijd heeft deze aanvallers uit te sluiten van uw echte systemen en apparaten en hen te verwijderen uit uw infrastructuur. Dit kan allemaal binnen enkele minuten nadat u gewaarschuwd bent over de activiteiten. De - tijdens de aanvalspoging verzamelde - gegevens laten zien welke delen van uw netwerk het meest kwetsbaar zijn. Hierdoor kunt u prioriteiten stellen op basis van het feitelijke risico. U bent bij het verbeteren van uw beveiligingsaanpak dus niet meer afhankelijk van generieke trends, maar van feitelijke informatie over uw eigen omgeving.

Meer weten?

SRC Secure Solutions is reseller van TrapX in de Benelux. Meer informatie over deception-technologie in zijn algemeenheid en TrapX in het bijzonder is te vinden op srcsecuresolutions.eu.

James Cheney, SRC Secure Solutions B.V.