Home » Technology » Security » “Everybody has a plan until they get punched in the face”

“Everybody has a plan until they get punched in the face”

Tech Page One

“Everybody has a plan until they get punched in the face

 

Een belangrijk onderdeel van ons werkgebied is het verzorgen van security-trainingen. Het betreft dan in het bijzonder de werknemers binnen Security Operations Centers (SOC). Dit levert vaak interessante inzichten op, omdat het cliché toch altijd weer wordt bevestigd: computerbeveiliging draait om mensen! En die moet je trainen, trainen en nog eens trainen.

De omvang van security teams kan sterk verschillen en is afhankelijk van de grootte van de organisatie, de sector waarin men actief is of de aard van de data die beschermd moet worden. Het zijn afdelingen van 5 tot soms wel 100 man, maar uiteindelijk zijn hun uitdagingen gelijk. De eerste is: hoe richt je de beschikbare technologie op de juiste manier in, zodat je snel en proactief nuttige informatie tot je beschikking hebt? De tweede uitdaging is misschien wel de grootste: hoe reageer je op de juiste manier op een security-inbraak of een andere storing? Wat is kritiek en heeft direct opvolging nodig en wat kan worden beschouwd als business as usual? Security-trainingen moeten in de eerste plaats leiden tot betere processen om snel en adequaat te kunnen reageren in het geval van problemen. Maar het is ook uiterst leerzaam voor medewerkers om te ontdekken hoe zij onder druk functioneren. Want in die situaties worden procedures al snel vergeten, en loopt een op het eerste gezicht goed geoliede machine snel vast.

Terrorist aan de telefoon

Safety conceptDe security-trainingen die wij organiseren zijn grotendeels gericht op teamwork. We confronteren teams hierbij binnen korte tijd met zeer veel incidenten. Dat gebeurt op drie verschillende niveaus: het management, de uitvoerende afdeling van het SOC en een combinatie van beide.

De management-training is echt gericht op communicatieprocedures. Wat deel je met de buitenwereld, welke mensen betrek je er binnen de organisatie bij en hoe ver gaat je eigen rol? En wie heeft de bevoegdheid om op welk moment de stekker eruit te trekken? Soms zie je gebeuren dat een CEO of CIO zichzelf een te grote rol toe-eigent in het proces. Of een persoon raakt in crisismode en is daardoor niet meer in staat om de juiste beslissingen te nemen en wel of niet de stekker eruit te trekken. Een simpel voorbeeld van een trainingsscenario is dat er een zogenaamde terrorist opbelt die zegt dat hij een digitale bom heeft achtergelaten (wat een reëel scenario is, denk maar aan de ‘crypto-locker malware’). Hoe reageer je daarop? Ga je wel of niet onderhandelen? Bel je de politie? En hoe weet je dat hij de waarheid spreekt?

Veelgemaakte fouten

Het uitvoerende deel van het SOC wordt vooral getraind op samenwerking, vaardigheden om snel de juiste informatie uit de systemen te halen en de oorzaak van een incident te achterhalen. In het SOC is een veel voorkomend probleem dat mensen hun rol vergeten in een crisissituatie. Zo gebeurt het regelmatig dat ineens iedereen rond één monitor geschaard is, terwijl het nu juist de bedoeling is dat iedereen zich focust op zijn eigen taken. Een ander voorbeeld is het doen ‘triage’, ofwel: moet je nou focussen op een SQL-injectie aanval op een extranet server, of op malware die is aangetroffen op een fileserver? Goed reageren op incidenten vereist vooral veel ervaring. Training is een uitstekend middel om ervaring op te doen en te zien hoe mensen onder druk presteren. Zeker als er getraind wordt met methoden en (malafide) software die ook door echte aanvallers wordt gebruikt. Daarnaast zijn er ook goede standaarden en procedures vastgelegd door bijvoorbeeld het SANS Institute. Die zijn overigens uiterst ambitieus. Er zijn maar weinig bedrijven die het zo goed doen.

The Pyramid of Pain

Het uiteindelijke doel van security-training is om mensen in staat te stellen om proactief incidenten te detecteren en hier snel en doelgericht op te reageren. Belangrijk hierbij is om onderscheid te maken tussen zogeheten ‘indicators of attack’ en ‘indicators of compromise’. Hiermee wordt in kaart gebracht welke indicatoren er zijn voor een actieve aanval of welke er zijn voor (resten van) een reeds voltooide inbraak. Aanvullend hierop kan het zogenaamde Pyramid of Pain principe gebruikt. Dit model geeft de relatie weer tussen typen indicatoren die je kunt gebruiken om de zogenaamde ‘tactics, techniques en procedures’ (TTP) van tegenstanders te monitoren. De mate waarin je als organisatie in staat bent hoger in de piramide te monitoren, bepaalt hoe moeilijk het voor (potentiële) aanvallers is om zich aan te passen en dus onopgemerkt te blijven. Een voorbeeld: wanneer je als security-organisatie vooral kijkt naar het gebruik van bekende malafide domeinnamen of IP-adressen, dan zit je laag in de piramide en is je detectie minder adequaat. Een aanvaller kan deze ‘indicatoren’ immers makkelijk wijzigen. Als je echter vooral kijkt naar het gebruik van specifieke tools en technieken (zoals command&control-protocollen en het gebruik van tools om van het ene systeem naar het andere te ‘springen’), zit je hoog in de piramide. Een aanvaller kan namelijk niet snel een nieuwe tool maken of zijn tactieken aanpassen.

Zonder al teveel in detail te treden kunnen beide modellen er verschillend uitzien per organisatie. Het is daarom van groot belang om deze modellen uiterst goed te vertalen naar de situatie binnen een organisatie en ervoor te zorgen dat de juiste informatie in de security-dashboards zichtbaar is. Eenvoudig gesteld, wil je niet zien óf je aangevallen bent, maar dát je aangevallen wordt. Dat kun je alleen doen als je precies weet wat de indicators of attack en compromise zijn binnen de infrastructuur van je organisatie. En alleen dan ben je in staat om ook te trainen zoals je ‘vecht’ en daarmee effectief te reageren op incidenten.

 

 

Martijn Sprengers

Martijn Sprengers

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Laatste Artikels:

 

Tags: Security, Technology