Met Threat Lifecycle Management de cyberbedreigingen te lijf

  1. 24 okt 2018
  2. 0 reacties
Rob_Pronk_062016

Rob Pronk is ‘Regional Director Central-, Northern & Eastern Europe bij LogRhythm

Wereldwijd zorgen geavanceerde cyberaanvallen voor steeds grotere gevolgen voor organisaties. Moderne hackers, waaronder criminele organisaties, ideologische groepen, overheden en andere actoren, worden geleid door verschillende motieven, waaronder financieel gewin, industriële spionage, cyber-oorlogsvoering of terrorisme.

De kans dat een organisatie slachtoffer wordt van een cyberaanval groeit. Tegelijkertijd richt de traditionele benadering van cyberbeveiliging zich nog steeds op de preventie en het blokkeren van aanvallen. Hoewel deze aanpak bedreigingen kan stoppen, zien cybercriminelen steeds betere mogelijkheden om deze verdedigingslijnen te omzeilen met creatieve en gerichte aanvallen die onopgemerkt blijven voor een langere tijd.

Detectie en reactie

De beperkingen van een preventiegerichte beveiligingsstrategie en de uitdagingen van het beveiligen van een steeds complexere en open IT-omgevingen zorgen voor verschillende reacties bij organisaties. Zo zoeken bedrijven nu steeds meer hun heil in strategieën gericht op dreigingsdetectie en -reactie. Helaas zijn de groeiende complexiteit van IT-omgevingen en het steeds vijandigere dreigingslandschap redenen waarom bedrijven het steeds moeilijker vinden om hun doelen op het gebied van Mean Time To Detect (MTTD) en Mean Time to Repair (MTTR) te behalen. Veel organisaties worstelen met grote volumes aan meldingen, waarbij er zowel sprake is van false positives als false negatives. Dat zorgt voor ‘alarmmoeheid’ bij teams en dus voor risico's.

Andere aanpak

Het is duidelijk dat een traditionele aanpak niet langer voldoet. Organisaties zullen moeten werken aan een end-to-end detectie- en reactieproces dat hen de nodige bescherming kan bieden. Zo'n Threat Lifecycle Management (TLF)-benadering kent zes fases:

Fase 1: Het verzamelen van forensische gegevens. Voordat een dreiging kan worden gedetecteerd, moet een organisatie in staat zijn om een aanval aan te tonen. Dat vereist de juiste gegevens, waaronder beveiligingsgebeurtenissen en alarmmeldingen, logbestanden en forensische sensorgegevens. Deze laatste gegevens kunnen hiaten in de zichtbaarheid opvullen, wanneer logboeken niet beschikbaar zijn of het niveau van de forensische gegevens niet voldoende gedetailleerd is.

Fase 2: Het ontdekken van bedreigingen. Zodra er goed inzicht is, zijn bedreigingen te detecteren en kan de organisatie erop reageren. Het ontdekken van potentiële bedreigingen vindt plaats door middel van een mix van zoek- en machine learning-analyses. Een zoekanalyse is nog grotendeels handmatig werk en gebeurt door dashboards te bewaken en gebruik te maken van zoekmogelijkheden. Het omvat ook het beoordelen van rapportages over gedetecteerde uitzonderingen. Machine learning is een nieuwe zelflerende technologie die op basis van algoritmes zelfstandig steeds geavanceerdere analyses kan uitvoeren. Deze technologie wordt beschouwd als het antwoord op de twee grootste uitdagingen van securityteams: het gebrek aan gekwalificeerde medewerkers en een enorme toename van securitymeldingen.

Fase 3: Het kwalificeren van bedreigingen. Een vastgestelde bedreiging moet snel worden gekwalificeerd om de potentiële impact op het bedrijf en de urgentie van extra onderzoeks- en reactie-inspanningen te bepalen.

Fase 4: Het onderzoeken van bedreigingen. Zodra bedreigingen zijn gekwalificeerd, moeten ze onderzocht worden om te bepalen of een beveiligingsincident heeft plaatsgevonden of plaatsvindt. Snelle toegang tot forensische gegevens en informatie over de dreiging is daarom van het grootste belang. Automatisering van routineonderzoekstaken en -tools die samenwerking tussen organisaties mogelijk maken, zijn in dit verband ideaal voor het optimaliseren van de MTTR.

Fase 5: Het neutraliseren. Wanneer een incident gekwalificeerd en onderzocht is, zijn er direct maatregelen nodig om schade te voorkomen. Voor bepaalde bedreigingen zoals ransomware of gehackte privileged user accounts telt elke seconde. Voor een optimale MTTR is gemakkelijke toegang tot incident response-processen en -informatie cruciaal.

Fase 6: Het herstel.  Zodra het incident is geneutraliseerd en de risico's onder controle zijn, kan een organisatie starten met het herstel.  Deze inspanningen zijn minder tijdkritisch en afhankelijk van de scope van het incident. Voor een effectief herstel hebben securityteams toegang nodig tot alle forensische informatie rond de onderzoeks- en incident response-processen. Dat omvat ook het bijhouden van iedere wijziging tijdens de incident response-activiteiten. Veel herstelgerelateerde processen kunnen profiteren van automatisering, Daarnaast is het raadzaam om tijdens het herstelproces maatregelen te treffen ter voorkoming van het terugkeren van een bedreiging.

Met een Threat Lifecycle Management-aanpak kan een organisatie zijn risico's verlagen door snellere en effectievere detectie en response. Daarbij wordt het automatiseren van workflows steeds belangrijer. TLM is weliswaar mogelijk met een combinatie van min of meer losstaande systemen, maar een geïntegreerd platform zal uiteindelijk betere resultaten opleveren.

Wilt u meer weten over hoe u met Threat Lifecycle Management de cyberbedreiging te lijf kunt gaan? Bezoek op 31 oktober en 1 november onze stand op de Infosecurity, Data & Cloud Expo in de Jaarbeurs. Inschrijven kan via deze link.