RAIN systeem maakt ‘terugspoelen’ van cyberaanval mogelijk
Een nieuw systeem maakt het mogelijk na een cyberaanval de acties van de aanvallers zeer nauwkeurig in kaart te brengen, ook als de aanvallers hebben geprobeerd hun sporen te wissen. Hierdoor kunnen onderzoekers sneller en nauwkeuriger vaststellen hoe aanvallers een bedrijfsnetwerk hebben weten binnen te dringen.
Het systeem heet Refinable Attack INvestigation (RAIN) en is ontwikkeld door het Amerikaanse Georgia Institute of Technology (Georgia Tech). “Je kunt teruggaan en ontdekken wat er fout is gegaan in uw systeem, niet alleen op het moment waarop u ontdekt dat iets fout is, maar ook ver genoeg om te achterhalen hoe de aanvaller het systeem is binnengedrongen en wat hij heeft gedaan”, legt Wenke Lee, mededirecteur van het Institute for Information Security & Privacy van Georgia Tech.
Systeem continu monitoren
Het RAIN systeem monitort een systeem continu en legt gebeurtenissen die potentieel interessant zijn automatisch vast. Door deze selectie is het mogelijk alle relevante informatie over een aanval te verzamelen, zonder dat hiervoor enorm veel rekenkracht en opslagruimte nodig is. De onderzoekers stellen dat het systeem in staat is ongerelateerde processen te doorzoeken en verbanden met een potentiële aanval vast te leggen met een minimale foutmarge.
Het onderzoeken van een cyberaanval is tot nu toe in belangrijke mate een handmatig proces, dat veel tijd in beslag neemt. Het RAIN systeem automatiseert dit proces in belangrijke mate door zelfstandig relevante informatie aan elkaar te koppelen en deze data vervolgens doorzoekbaar te maken. Dit stelt onderzoekers in staat te zoeken naar specifieke gebeurtenissen of handelingen van aanvallers en zo een beter beeld te krijgen van de uitgevoerde cyberaanval.
Aanval terugspoelen
“Gedurende het terugspoelen van een gebeurtenis gebruiken we binaire dynamische instrumentatietools om de juiste informatie te extraheren”, legt Taescoo Kim, assistent-professor van de Georgia Tech’s School of Computer Science en betrokken bij een onderzoekspaper over RAIN, uit. “We organiseren informatie op een hiërarchische manier en passen op iedere laag een ander soort geautomatiseerde analyse toe. Op de diepste laag kunnen we vertellen wat er op byte-niveau gebeurde.”
Kim benadrukt dat RAIN nog steeds een significante hoeveelheid opslagruimte vereist op alle relevante informatie op te slaan. Zo genereert een gemiddeld desktopsysteem al snel vier gigabyte aan systeemdata per dag, wat neerkomt op minder dan twee terabytes aan data per jaar. Kim wijst erop dat een dergelijke hoeveelheid opslagruimte beschikbaar is vanaf zo’n 50 dollar per jaar.
Meer informatie is te vinden op de website van Georgia Tech.
Meer over
Lees ook
Proofpoint's 2024 Data Loss Landscape Report: onzorgvuldige werknemers zijn de grootste oorzaak van dataverlies bij bedrijven
Proofpoint, Inc. publiceert vandaag het eerste Data Loss Landscape-rapport. Hierin staan resultaten naar aanleiding van onderzoek over hoe huidige Data Loss Prevention (DLP)-aanpakken en dreigingen van binnenuit zich verhouden tot huidige macro-uitdagingen zoals de proliferatie van data, geavanceerde dreigingsactoren en generatieve kunstmatige int1
‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’
De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.
Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen
Zerto, een dochteronderneming van Hewlett Packard Enterprise, ziet voor 2024 drie belangrijke trends rond cybersecurity en het dreigingslandschap. De eerste is dat de toenemende complexiteit en regelmaat van cyberaanvallen het steeds moeilijker zullen maken voor bedrijven om een goede cyberverzekering af te sluiten. De tweede trend die Zerto opmer1