Waarom een reconstructie na een security incident een must is
Na het ontdekken van een cyberaanval willen getroffen organisaties graag in detail weten wat er gebeurd is. Hoe zijn de aanvallers binnengekomen? Welke acties hebben de aanvallers uitgevoerd? Is er (gevoelige) data van de organisatie ingezien of gestolen? Je kunt je voorstellen dat er bij een cyberaanval grote zorgen en ongerustheid heerst bij de getroffen organisatie.
Deze vragen worden door de getroffen organisaties gesteld vanuit de wens om gerustgesteld te worden met antwoorden als “er is minimale schade” of “de aanvallers hebben geen data gestolen”. Maar ook om vervolgacties te bepalen.
Vervolgacties hangen af van wat er precies gebeurd is. Moet er nu een melding bij de Autoriteit Persoonsgegevens gedaan worden vanwege een datalek? Of moeten we onze klanten informeren? Uiteindelijk leidt de reconstructie van het security incident tot aanvullende security-maatregelen om een herhaling te voorkomen. Om antwoord op de vragen te kunnen geven, gaan wij samen met de getroffen organisatie op zoek naar bewijs van de cyberaanval.
Wat is bewijsmateriaal?
Als er een fysieke inbraak heeft plaatsgevonden binnen een organisatie gaat de recherche aan de slag om erachter te komen wat er is gebeurd. Ze verzamelen informatie over de huidige situatie en onderzoeken sporen die te maken kunnen hebben met de inbraak. Voorbeelden hiervan zijn vingerafdrukken, beelden van de bewakingscamera’s en afdrukken van sporen in het gras.
Na een digitale inbraak wordt informatie over het security incident verzameld en sporen veilig gesteld. Dit bewijsmateriaal kan gebruikt worden voor politieonderzoek en in een rechtszaak.
Lisa de Wilde, Business Unit Director - Incident Response
Ditzelfde wordt gedaan na een digitale inbraak binnen een organisatie. Wij, Incident Responders, gaan aan de slag om informatie over het incident te verzamelen en sporen veilig te stellen. Dit wordt gedaan op een manier waarbij de bedrijfsoperatie zo min mogelijk beïnvloed wordt, het bewijsmateriaal niet aangetast wordt en het bewijsmateriaal eventueel gebruikt kan worden voor politieonderzoek en in een rechtszaak.
Wij verzamelen logs uit de IT-omgeving. Als alles goed ingericht is, bevatten deze logs alle acties die op een bepaald systeem plaatsgevonden hebben. Denk hierbij aan de firewall logs; deze bevatten informatie over de verbindingen tussen interne en externe systemen, waaronder die van de aanvallers. Zo kan de onderzoeker achterhalen vanaf welk moment de aanvallers actief geweest zijn en het onderzoek beter kaderen.
Daarnaast maken wij exacte digitale kopieën van digitale systemen, zoals de harde schijf van een laptop. Een digitale kopie bevat sporen van zowel legitieme gebruikers als aanvallers. Deze sporen geven aan wat er zoal op het systeem heeft afgespeeld. Door middel van analyse kan bepaald worden wat afwijkend gedrag is en komt al snel naar voren welke acties (vermoedelijk) door de aanvallers uitgevoerd zijn. De logs kunnen bijvoorbeeld aantonen dat er een admin account is aangemaakt om 3 uur ‘s nachts.
Hoe vindt een onderzoek plaats?
Zoals uitgelegd in het vorige blog is er niet één vaste manier die aanvallers gebruiken om organisaties te hacken. Er zijn wel patronen te herkennen in de manier waarop aanvallers te werk gaan. Dit zorgt ervoor dat we onze onderzoeksmethodieken kunnen optimaliseren en onderzoeksvragen beter en sneller kunnen beantwoorden.
Tijdens een onderzoek proberen we op basis van informatie die beschikbaar is over het incident, de puzzel zo compleet mogelijk te maken. Hierbij werken we met een tijdslijn en proberen terug te gaan naar de eerste actie van de aanvallers. Oftewel we brengen de route die aanvallers hebben afgelegd in kaart samen met datums en tijdstippen.
Uiteindelijk leidt de reconstructie van een security incident bij een getroffen organisatie tot aanvullende security-maatregelen om een herhaling te kunnen voorkomen.
Lisa de Wilde, Business Unit Director - Incident Response
Nadat een onderzoek is uitgevoerd, leg ik graag stap voor stap aan een getroffen organisatie uit welke acties de aanvallers in hun IT-omgeving hebben uitgevoerd, zodat we samen vervolgacties kunnen bepalen. Deze vervolgacties kunnen betrekking hebben op het hoe weer operationeel te worden, maar ook welke aanvullende security-maatregelen er geïmplementeerd kunnen worden om een nieuwe aanval te voorkomen.
Helaas is een volledige puzzel maken niet altijd mogelijk. Zo werd ik recentelijk gevraagd een aanval te onderzoeken die ongeveer vier weken daarvoor had plaatsgevonden. Bij het verzamelen van de logs bleek dat deze slechts een retentieperiode van zeven dagen hadden. Regelmatig maak ik mee dat de logs niet of slechts beperkt beschikbaar zijn. Hierdoor kan niet de volledige aanval gereconstrueerd worden en kunnen de onderzoeksvragen niet volledig beantwoord worden. Dit kan leiden tot aannames over bijvoorbeeld de scope van de data-exfiltratie zodat op basis van een aanname wordt besloten welke betrokkenen op de hoogte worden gebracht.
Wat doen de aanvallers?
Ook kan het zijn dat er minder informatie over de aanval beschikbaar is, omdat de aanvallers moeite hebben gestopt in het wissen van hun sporen. Dit doen de aanvallers om zo lang mogelijk ongezien in de omgeving van de organisatie te blijven, en de organisatie een stap voor te blijven. Wanneer logs niet centraal worden opgeslagen en de aanvallers toegang hebben tot het systeem, kan het mogelijk zijn de logs te verwijderen, aan te passen of het opslaan van de logs uit te zetten.
Wat kan ik doen?
Tijdens de gesprekken die ik met organisaties heb om ze voor te bereiden op een incidenten, komt ook de beschikbaarheid van bewijsmateriaal aan bod:
- Voor welke systemen zijn logs ingericht?
- Welke loginformatie wordt opgeslagen?
- Wat is de retentieperiode van de logs en is dit voldoende?
- Waar worden de logs opgeslagen?
- Voor wie zijn de logs toegankelijk?
- Is er een back-up van de logs?
- Wie kan een kopie van een digitaal systeem maken?
- Hoe zorg je ervoor dat het bewijsmateriaal beschikbaar is voor de afdeling of partij die onderzoek gaat uitvoeren?
Dit zijn vragen die elke organisatie al vóór een incident voor zichzelf moet kunnen beantwoorden om ervoor te zorgen dat het bewijsmateriaal beschikbaar is na een security incident.
Alles went, behalve een security incident. Laten we ervoor zorgen dat de voorbereiding op een security incident wél went.
Lisa de Wilde adviseert en ondersteunt organisaties die zich willen voorbereiden op security incidenten en crisissen en/of die slachtoffer zijn geworden van cybercriminelen.