Threat Analysis Services: een kijk in het onbekende

Threat Analysis Services: een kijk in het onbekende

Waarom kiezen voor een threat analyse

De meeste voorkomende manier om een algemene security architectuur te definiëren, of te verbeteren, begint bij een theoretische benadering van wat men weet over de huidige of toekomstige IT infrastructuur.

Deze BluePrint moet zowel de netwerk infrastructuur, endpoints, servers en andere devices bevatten die enige connectiviteit hebben met organisatie.

De bescherming van data en services zijn cruciaal voor de opzet van een degelijke security strategie. Hiervoor moeten zowel data-flows (mail, corporate/private data, application data, …) , service componenten (databases, web servers, apps,…) als wie heeft toegang tot welke data/services en wanneer, beschreven worden.

We leven echter niet in een ideale wereld.

Beveiliging zonder een degelijke authenticatie of een Disaster/Recovery implementatie is zinloos. Bij een evaluatie van een security strategie moet zowel het risico, impact als waarschijnlijkheid in rekening gehouden te worden. En laten we dan vooral niet de kosten voor een degelijke implementatie en/of het beheer hiervan vergeten.

Bijkomend kunnen we echter niet altijd voorspellen wat er zich wanneer voor zal doen op uw infrastructuur, of met uw applicaties. Niet iedereen heeft goede bedoelingen in deze wereld.

Waarom nemen we dan geen kijkje in het onbekende. Of stappen we af van de theorie en kijken we naar de realiteit. Dit is exact wat wij doen met onze Threat Analysis Services.

Wat doen we tijdens een threat analyse
Tijdens de Threat Analyze Services focussen we op het detecteren en rapporteren van effectieve threats in uw netwerk infrastructuur. Omdat we dit doen door enkel te luisteren naar de netwerk pakketjes die zich op uw netwerk verplaatsen, kunnen we niet enkel gekende, maar ook ongekend gedrag in kaart brengen. We doen dit steeds aan de zijlijn van uw netwerk, zodanig dat we dit op een non-intrusive manier kunnen verwezenlijken.
Hier volgen enkele voorbeelden van incidenten die we in het verleden al eens hebben gedetecteerd op deze manier:
  • Een multifunctional verzendt bij elke print/scan of kopieer-opdracht data naar buiten.
  • Een computer is reeds geïnfecteerd met een botnet, en probeert regelmatig verschillende Command & Control Centers te benaderen.
  • Een interne RDP server wordt van buiten uit aangevallen met een brute-force attack.
  • Een interne applicatie maakt PDF’s aan met embedded java code. Is dit wel noodzakelijk?
  • Bij een interne malware outbreak kunnen we perfect aantonen welke machines geïnfecteerd zijn, en waar de bron van de infectie zit.
  • Een virus verspreidt zich op het netwerk, en komt van een onbeschermde NAS.
  • Een externe persoon komt met zijn eigen toestel (unmanaged) op het netwerk en encrypteert coporate data met een CryptoLocker infectie.
  • Een remote management systeem verstuurt te veel data naar de cloud.
Onze aanpak
1.  Voorbereiding

Wij voorzien een Appliance die tot 500 Mbps effectieve data troughput kan analyseren. Deze Appliance maakt gebruik van zowel network security rules, content security detection rules, als gedrags analyse, om gekende en mogelijk ongekende threats te herkennen. Ook Sandboxing wordt toepast om het gedrag van eventuele ongekende bestanden in kaart te brengen.

De klant dient wel te bepalen welke data (network traffic) er gedupliceerd zal worden naar deze appliance. Dit kan natuurlijk wel besproken worden samen met de security specialist van ShieldIT.

2. System/Network Requirements

Na het bepalen van welke netwerk traffic er gedupliceerd dient te worden, moeten de nodige switches/routers/firewalls hiervoor ook geconfigureerd worden. Indien de klant niet over het geschikte materiaal beschikt, kan ShieldIT hiervoor ook de nodige switch (met preconfigured port mirror) voorzien en in-line zetten. Dit zal echter wel een kleine netwerk onderbreking met zich meebrengen.

Onze toestellen (appliances en switches) maken enkel gebruik van RJ45 connecties.

Onze appliance zal ook regelmatig gebruik maken van het internet voor het downloaden van de meest recente referentie lijsten en detectie methodes.

Even samengevat:

  • Port mirror gedefineerd op de klant zijn netwerk (via RJ45 aansluiting)
  • 1 Netwerk aansluiting voor management console
  • 1 IP adres op de klant zijn netwerk met toegang tot het internet.
  • 2 aansluitingen 230V voor de voeding van onze appliance.
3. Installatie en Learning Fee

Op Dag 1 zullen wij onze appliance komen plaatsen en aansluiten op de klant zijn netwerk. Dit doen we enkel in samenwerking met de IT-verantwoordelijke van de klant. Wij checken of de nodige netwerk-stream gedupliceerd worden naar onze appliance en verifiëren reeds wat er gedetecteerd wordt.

De Appliance zal beginnen met het rapporteren van welke services er via welke IP adressen verstuurd worden. Samen met de klant moeten we deze services erkennen op onze appliance zodanig dat enkel ongekende services op uw netwerk zullen gerapporteerd worden als “verdacht’ gedrag.

Een juiste documentatie van IP adressen en services (DC, DNS, SMTP, DHCP, FTP, WEB,….) kan onze learning fase versnellen.

4. Monitoring, detectie en analyse

Wij raden aan om de appliance gedurende minstens 7 dagen de netwerk activiteten te laten analyseren. Sommige activiteiten vinden namelijk enkel ’s nachts of tijdens het weekend plaats.

5. Evaluatie en rapportage
Omdat wij de business van de klant niet kennen, bespreken liefst de eerste resultaten die uit de appliance komen samen met de klant. Dit doen we tijdens de laatste dag van de detectie. (Dag 7)

Wij komen met een lijst van machines waar naar gekeken dient te worden. Dit kunnen geïnfecteerde systemen, of systemen waar we niet van weten waarom ze bepaald gedrag vertonen op het netwerk, zijn. Door dit reeds te bespreken met de IT deskundige van de klant kunnen we een duidelijk actieplan voorleggen met de juiste prioriteiten.Achteraf wordt er een rapport opgemaakt van onze bevindingen tijdens deze Threat Analyse Service. Een korte to-do lijst, en eventueel enkele architecturale verbeteringsvoorstellen zullen hier mee inbegrepen zitten.

Jouw huidige IT infrastructuur ook onderwerpen aan een threat analyse?
Neem dan contact met ons op. Onze specialisten helpen graag verder!