RAIN systeem maakt ‘terugspoelen’ van cyberaanval mogelijk

pixabay-hacker-1944688_960_720

Een nieuw systeem maakt het mogelijk na een cyberaanval de acties van de aanvallers zeer nauwkeurig in kaart te brengen, ook als de aanvallers hebben geprobeerd hun sporen te wissen. Hierdoor kunnen onderzoekers sneller en nauwkeuriger vaststellen hoe aanvallers een bedrijfsnetwerk hebben weten binnen te dringen.

Het systeem heet Refinable Attack INvestigation (RAIN) en is ontwikkeld door het Amerikaanse Georgia Institute of Technology (Georgia Tech). “Je kunt teruggaan en ontdekken wat er fout is gegaan in uw systeem, niet alleen op het moment waarop u ontdekt dat iets fout is, maar ook ver genoeg om te achterhalen hoe de aanvaller het systeem is binnengedrongen en wat hij heeft gedaan”, legt Wenke Lee, mededirecteur van het Institute for Information Security & Privacy van Georgia Tech.

Systeem continu monitoren

Het RAIN systeem monitort een systeem continu en legt gebeurtenissen die potentieel interessant zijn automatisch vast. Door deze selectie is het mogelijk alle relevante informatie over een aanval te verzamelen, zonder dat hiervoor enorm veel rekenkracht en opslagruimte nodig is. De onderzoekers stellen dat het systeem in staat is ongerelateerde processen te doorzoeken en verbanden met een potentiële aanval vast te leggen met een minimale foutmarge.

Het onderzoeken van een cyberaanval is tot nu toe in belangrijke mate een handmatig proces, dat veel tijd in beslag neemt. Het RAIN systeem automatiseert dit proces in belangrijke mate door zelfstandig relevante informatie aan elkaar te koppelen en deze data vervolgens doorzoekbaar te maken. Dit stelt onderzoekers in staat te zoeken naar specifieke gebeurtenissen of handelingen van aanvallers en zo een beter beeld te krijgen van de uitgevoerde cyberaanval.

Aanval terugspoelen

“Gedurende het terugspoelen van een gebeurtenis gebruiken we binaire dynamische instrumentatietools om de juiste informatie te extraheren”, legt Taescoo Kim, assistent-professor van de Georgia Tech’s School of Computer Science en betrokken bij een onderzoekspaper over RAIN, uit. “We organiseren informatie op een hiërarchische manier en passen op iedere laag een ander soort geautomatiseerde analyse toe. Op de diepste laag kunnen we vertellen wat er op byte-niveau gebeurde.”

Kim benadrukt dat RAIN nog steeds een significante hoeveelheid opslagruimte vereist op alle relevante informatie op te slaan. Zo genereert een gemiddeld desktopsysteem al snel vier gigabyte aan systeemdata per dag, wat neerkomt op minder dan twee terabytes aan data per jaar. Kim wijst erop dat een dergelijke hoeveelheid opslagruimte beschikbaar is vanaf zo’n 50 dollar per jaar.

Meer informatie is te vinden op de website van Georgia Tech.

Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"

In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.

Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.

Onderzoek WatchGuard: sterke stijging evasive malware

Onderzoek WatchGuard: sterke stijging evasive malware

Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.