5 signalen dat er hackers binnen zijn

Pas je beveiligingsstrategie aan met deze tips voor efficiëntere monitoring.

Aanvallers zijn allang binnen de muren gekomen, zo ontdekken we de laatste jaren keer op keer. Moderne strategieën gaan uit van malafide activiteiten binnen het netwerk die aanvallers proberen te verhullen. Zo merk je ze op.

Volgens sommige schattingen hebben aanvallers zelfs tot aan 96 procent van netwerken op de een of andere manier gepenetreerd. Omdat je ervan uit kunt gaan dat de vijand al binnen is, richt moderne beveiliging zich meer op schadebeperking dan op het buitenhouden van aanvallers. Houd ze tegen voor ze rechten escaleren, waardevolle resources vinden en data stelen. Het goede nieuws is dat een aanval niet is uitgevoerd op het moment dat een systeem wordt geïnfecteerd of een endpoint is overgenomen: dat is eerder het begin. Vanaf dat beginpunt is een aanvaller actief binnen het netwerk en dan zijn er kansen om hem te detecteren en tegen te houden – als je weet waar je op moet letten. Dit zijn vijf strategieën om je daarmee te helpen.

Analyseer aftastende activiteiten

Wees op je hoede voor portscans, veelvuldig mislukte inlogpogingen en andere tekenen dat een aanvaller het netwerk in kaart probeert te brengen. Hackers moeten voor het echte werk begonnen kan worden een beeld hebben van de topologie van het netwerk dat geïnfiltreerd moet worden. Ze gaan op zoek naar kwetsbare endpoints en servers, en merken gebruikers met adminrechten en waardevolle databronnen op.

De meeste IDS-tools kunnen portscanners detecteren, maar de uitdaging ligt erin de stiekeme gerichte aftastende partijen te onderscheiden van de andere scans, waaronder legitieme scans, van het netwerk. De meeste computers en applicaties praten veelvuldig met verschillende bronnen. Maar je kunt de afwijkingen die wijzen op een aanvalspoging beter vinden als je weet hoeveel en welke poorten onder normale omstandigheden worden aangesproken door apparaten binnen het netwerk.

Tools en bronnen: Netwerkmonitoring- of netwerkbeheertools, NetFlow-aggregatie.

Uitdagingen: Aanvallers kunnen ook heel voorzichtig te werk gaan en over een lange periode, dus het kan voorkomen dat je zelf ook moet analyseren over een langere tijd. Daarnaast kunnen een hoop tools en protocollen behoorlijk spraakzaam zijn, waardoor het tijd kost om de ruis eruit te filteren.

Let op normale gebruikers die admintaken uitvoeren

Aanvallers gebruiken steeds vaker de tools die al aanwezig zijn op het systeem in plaats van bekende aanvalstools en malware. Een methode die nu populair is, is bijvoorbeeld de inzet van PowerShell in een aangevallen netwerk. Met schijnbaar legitieme opdrachten en tools omzeilen ze antivirus en endpoint- en response (EDR) software. Maar dit is op zichzelf afwijkend gedrag dat je kunt detecteren.

Probeer te bepalen wie de admins zijn. Met directorysoftware als Active Directory bepaal je gebruikersrollen en de daaraan gekoppelde rechten. Stel vervolgens op welke tools admins gebruiken en welke applicaties of apparaten ze doorgaans beheren, bijvoorbeeld een ERP-database of intranetsite. Gewapend met die kennis kun je zien wanneer er ongebruikelijke adminactiviteiten plaatsvinden.

Tools en bronnen: Een combinatie van netwerkinformatie (packets of NetFlow-data) en directory-services geven je een houvast om malafide admingedrag op te merken.

Uitdagingen: Er is helaas geen enkele informatiebron die je vertelt wie je admins zijn en welke assets ze beheren. Maar door het SSH en RPC-gebruik te monitoren heb je een goed beginpunt. Je begint waarschijnlijk met veel false posititives maar met het verfijnen van goedgekeurde admins krijg je een steeds helderdere baseline.

Monitor credential-gebruik

Aanvallers gebruiken credentials om hun processen te automatiseren en onopgemerkt te blijven. Ze stelen accounts of maken ze aan in de omgeving om verder toegang te krijgen. Geautomatiseerd credential-gebruik zie je zowel bij aanvallen buitenaf en interne aanvallen. Analyseer credential-gedrag om dit soort activiteiten op te merken.

Tools en bronnen: De beste manier om credential-misbruik te zien is door netwerkverkeer te monitoren of de logs van je authenticatie-infrastructuur te analyseren. Haal daar de data uit en analyseer het om een idee te krijgen van hoeveel systemen een gebruiker gemiddeld aanspreekt. Let vervolgens extra op de gebruikers die daarvan afwijken.

Uitdagingen: Er zit wat dit betreft veel variatie tussen gebruikers, maar je kunt een gemiddelde baseline opzetten. Zelfs als je enkel monitort op de gebruikers met het hoogste interactievolume, krijg je een duidelijker beeld op authenticatie. Als je een nieuwe naam ziet opduiken of eentje opeens stijgt in het aantal systemen dat hij aanraakt, is dat een reden om op nader onderzoek uit te gaan.

Herken aanvallers die data zoeken

Een stap die een aanvaller doorgaans neemt is uitzoeken welke gedeelde mappen te benaderen zijn om ofwel te jagen op belangrijke data – zoals intellectueel eigendom of bankgegevens – of om data te versleutelen om er losgeld voor te eisen. Afwijkend gedrag in het toegangsbeheer van gedeelde bronnen kan een waardevol signaal zijn en je ook waarschuwen als een werknemer een diefstalpoging onderneemt.

Tools en bronnen: Logs van je bestandservers zijn de beste bron om jezelf te beschermen. Maar het vereist enige analyse om te zien hoe gebruikers hiermee omgaan voor je ziet wat afwijkend gedrag is.

Uitdagingen: Sommige bronnen worden door vrijwel iedereen aangesproken, waardoor je bij het aanvankelijk instellen van drempelwaardes behoorlijk wat false positives ontvangt. Daarbij zijn de gegevens ietwat rommelig en moeilijk te analyseren. Dat zie je ook bij netwerktools en het vergt wat moeite om de informatie die er echt toe doet te destilleren.

Herken C&C-activiteiten in je toegangsmechanismen

Aanvallers moeten in een later stadium communiceren van de besmette endpoints naar het internet. Er wordt tegenwoordig minder malware gebruikt dan vroeger, maar er kunnen nog steeds Remote Access Trojans en andere malware actief zijn. Houd daarom ook het uitgaande verkeer in de gaten, specifiek op de signalen dat malafide software contact legt met de thuisbasis.

Tools en bronnen: Veel perimiter beveiligingssoftware is al op zoek naar command-and-control-activiteiten. Maar gerichte malware neemt mogelijk contact op met resources op AWS of Azure, of nieuwe servers die niet worden opgemerkt door traditionele Threat Intelligence.

Je kunt je bestaande beveiliging verbeteren door de DNS-logs na te speuren op zoek naar look-ups die signaleren dat malware command-and-controlservers probeert te bereiken. Malware die is geprogrammeerd om reputatiemanagement te omzeilen levert vaak mislukte DNS-requests op of requests naar domeinnamen die eruitzien alsof ze door een machine zijn gegenereerd.

Uitdagingen: Aanvallers hebben een heleboel methoden om C&C-verkeer te verbergen, dus hoewel het goed is om een oogje in het zeil te houden, moet je niet afhankelijk zijn van deze detectiemiddelen om malware te ontdekken. Je weet nooit welke combinatie van webverkeer, inclusief naar doorsnee sites als Twitter, Markplaats, Gmail en dergelijke gebruikt worden door malware voor C&C-communicatie. Het is waardevol om hier aandacht aan te besteden, maar het is lang zo belangrijk niet als zoeken naar laterale bewegingen of credentials-gebruik, wat lastiger voor aanvallers is om te verhullen.

Geen paniek: er is tijd

Er zijn dus veel tools en procedures om je te helpen een aanvaller te spotten. Er zijn veel activiteiten die ze moeten ondernemen om door een netwerk te bewegen en meer toegang te krijgen. Het binnenkomen is pas de eerste stap. Op zijn minst moet een bot verbinden naar buiten toe om de aanval te gelde te maken met bitcoint minen, klikfraude, spam, of andere kwaadaardige middelen.

In serieuzere gevallen is de eerste inbraak slechts het brughoofd waarmee de echte aanval wordt gepleegd om data te bemachtigen. In alle gevallen is de strijd nog lang niet verloren na penetratie – er is genoeg tijd om aanvallers te vinden en malware te verwijderen voor er aan de haal wordt gegaan met belangrijke informatie.

Het is verder mogelijk om deze netwerkactiviteiten op te merken als je de juiste metadata uit de pakketstromen kunt plukken. Het is moeilijker om dit handmatig te doen, dus een geautomatiseerde tool is een goede optie. Door netwerkverkeer met Deep Packet Inspection te monitoren, kan een goed afgestelde tool de afwijkingen die gepaard gaan met een aanval opmerken.

Als je deze detectie en meer wilt automatiseren, ga dan voor een tool die machine learning gebruikt om de baseline van netwerkactiviteiten te verfijnen. Zo kun je aanvallers die traditionele beveiligingsmiddelen omzeilen sneller vinden en tegenhouden.