Het gouden uur van respons op incidenten

Incidentrespons Nachrichten

Als CSIRT-consultant kan ik niet genoeg benadrukken hoe belangrijk het is om het eerste uur van een kritiek incident effectief te beheren.

Uitzoeken wat te doen is vaak een ontmoedigende taak bij een kritiek incident. Bovendien verhindert het gevoel van onbehagen een analist voor incidentrespons vaak om effectieve beslissingen te nemen. Het koel houden van het hoofd en het plannen van acties is echter cruciaal voor het succesvol afhandelen van een beveiligingsincident. Deze blog gaat dieper in op enkele belangrijke punten om lezers te helpen bij het faciliteren van betere procedures voor incidentrespons.

Incidentrespons

Voorbereiding is essentieel

Alvorens incidenten aan te pakken, zouden beveiligingsanalisten veel informatie moeten hebben. Om te beginnen moeten analisten voor incidentrespons zich vertrouwd maken met hun rollen en verantwoordelijkheden. De IT-infrastructuur is de afgelopen jaren snel geëvolueerd. Zo zagen we een toenemende beweging naar cloud computing en dataopslag. De snel veranderende IT-omgeving vereist vaak dat analisten hun vaardigheden bijwerken, zoals het leren over cloudbeveiliging. Bijgevolg zullen analisten hands-on moeten oefenen en een volledig beeld moeten behouden van de topologie van alle systemen. In de echte wereld moeten externe CSIRT-analisten snel alle activa onder hun verantwoordelijkheid identificeren. Tegelijkertijd moeten de interne CSIRT-analisten ook actief deelnemen aan het kwetsbaarheidsbeheer en de scanprocessen voor ontdekkingen.

De kwaliteit van de verzamelde informatie bepaalt de uitkomsten van incidentrespons. Daarnaast moeten de CSIRT-analisten ook inzicht hebben in de bedreigingen waarmee ze te maken zullen krijgen. Aangezien defensieve cyberbeveiligingstechnologieën elke dag worden geüpgraded, staan ​​de bedreigingsactoren klaar om te evolueren. Volgens een paper uit 2020 gebruiken bijvoorbeeld vier van de top tien actieve ransomware-actoren nu het bedrijfsmodel “Ransomware as a service”. [1]. Dit patroon geeft aan dat kwaadwillende actoren gemakkelijker ransomware zullen inzetten vanwege het gebrek aan technische vereisten om dergelijke aanvallen te benutten. CSIRT-teams moeten immers de belangrijkste bedreigingen identificeren waarmee ze waarschijnlijk te maken zullen krijgen.

Een CSIRT-specialist kan bijvoorbeeld veelvoorkomende malware zien en concluderen dat er geen aanvullende bedreigingen zijn. Maar wanneer deze situatie zich voordoet voor meer gevoelige scenario’s, zoals een aanval in de energiesector, zullen ze kritisch moeten denken en uitkijken naar onconventionele aanvalsmethoden. Om zich effectief voor te bereiden op incidentrespons, moeten de analisten bekend zijn met de infrastructuur waarmee ze zullen werken en het landschap van cyberbeveiligingsdreigingen waarmee ze te maken zullen krijgen.

Incidentrespons

Zorg voor robuuste procedures

Weten is slechts het halve werk. Wanneer het alarm afgaat, moeten we onszelf snel kalmeren en plannen om de eerste vraag te beantwoorden, “wat moet ik in het eerste uur doen?” De paper “Fases van een kritiek incident” verwijst naar het eerste uur van een kritiek incident als de “crisisfase” en wordt “gekenmerkt door verwarring, paniek, haasten naar het toneel en patstelling.”[2] Goed geoefende CSIRT-analisten doen er goed aan onderscheidingsvermogen aan de dag te leggen bij hun onderzoek.

Aan de andere kant kunnen ze in veel scenario’s gevoelig zijn voor de onduidelijkheid van informatie, het onvermogen om een ​​oplossing binnen een beperkt tijdsbestek tot stand te brengen en een gebrek aan operationele jurisdictie. In dergelijke tijden moet het incidentresponsteam het heft in eigen handen nemen, hun professionele kennis duidelijk uiten en doorgaan met hun activiteiten.

Bij het uitvoeren van het onderzoek en de analyse van de oorzaak blijft het incidentresponsteam vaak steken bij het vinden van ontbrekende puzzelstukjes. Deze moeilijkheden leiden tot twijfel en besluiteloosheid.

In dergelijke gevallen speculeren de analisten vaak dat het incident wordt veroorzaakt door een of meer mogelijkheden van een inbreuk zonder zekerheid. In deze omstandigheden wordt hen geadviseerd om de meest waarschijnlijke oorzaak aan te nemen en dienovereenkomstig te handelen. In het eerste uur is tijd absoluut noodzakelijk. Net als bij het afleggen van een examen, waar de tijd beperkt is, sla je eerst de vragen over waarmee je vastzit.

Tegenwoordig is het inperkingsproces van incidenten vaak vereenvoudigd dankzij de algemeen aanvaarde Endpoint Detection and Response (EDR)-technologieën, die netwerkinperkingsmogelijkheden bieden met een druk op de knop. Desalniettemin is het, zelfs met traditionele netwerkinsluitingstools, niet altijd gemakkelijk om het netwerk in bedwang te houden. Mensen kiezen niet altijd voor de veiligere optie als die beschikbaar is. Maar zoals het gezegde luidt, het is altijd beter om veilig te zijn dan sorry!

Incidentrespons

Ontdek wat er echt is gebeurd en dicht de gaten

Misschien ontbreken er na een uur nog stukjes van de puzzel. Nu is het een goed idee om even de tijd te nemen om alle mogelijkheden te overdenken en een lijst af te werken.

Ik heb bijvoorbeeld een beveiligingsincident afgehandeld waarbij de aanvaller een omgekeerde shell op een server lanceerde. Ik besloot onmiddellijk de server in bedwang te houden en verzamelde al het bewijsmateriaal. Maar mijn teamgenoten en ik konden er nog steeds niet achter komen hoe de server was gecompromitteerd, dus we maakten een lijst van alle toegankelijke services en onderzochten relevante logs voor elke service.

Aanvankelijke speculaties plaatsen een IT-operatietool als de indicator van een compromis. Maar uiteindelijk hebben we deze speculatie tenietgedaan door alle mogelijkheden te schrappen en tot de conclusie te komen dat er een inherent beveiligingslek in de webservice moet zitten.

Van tijd tot tijd, tijdens de analyse na de inbreuk, kunnen CSIRT-analisten tegenslagen tegenkomen bij het verbinden van de punten. Maar de waarheid zal altijd zegevieren met voldoende geduld en een juiste mentaliteit.

Waar u rekening mee moet houden?

Kortom, het effectief beheren van het cruciale tijdsinterval van één uur na een kritiek incident vereist meer dan ter plaatse leren.

Naast technische specialiteiten zullen ervaren CSIRT-analisten ook profiteren van een uitgebreide voorbereiding op hun activa en hun tegenstanders, het prioriteren van taken en het nemen van snelle beslissingen wanneer dat nodig is, evenals de mogelijkheid om nuchtere feiten te onderscheiden met behulp van het eliminatieproces .

Dit is slechts een ander fragment van de verhalen in de Beveiligingsnavigator. Andere interessante dingen zoals daadwerkelijke CSIRT- en pentesting-operaties, evenals massa’s feiten en cijfers over het beveiligingslandschap in het algemeen zijn daar ook te vinden. Het volledige rapport is te downloaden op de Orange Cyberdefense-website, dus neem een ​​kijkje. Het is het waard!

[1] Midler, Marisa. “Ransomware as a Service (Raas)-bedreigingen.” SEI Blog, 5 okt. 2020, https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/

[2] “Fasen van een kritiek incident.” Eddusaver, 5 mei 2020, https://www.eddusaver.com/phases-of-a-critical-incident/

Opmerking – Dit artikel is geschreven en bijgedragen door Tingyang Wei, beveiligingsanalist bij Orange Cyberdefense.

David
Rate author
Hackarizona