Home » Technology » Security » Waan je niet veilig met een nieuwe firewall of SIEM!

Waan je niet veilig met een nieuwe firewall of SIEM!

Tech Page One

Main Article Image

Organisaties die next-generation firewalls en zogenaamde ‘security information event management’(SIEM)-software inzetten, wanen zich vaak onterecht veilig. Cybercriminelen vinden namelijk steeds nieuwe manieren om die beveiliging te omzeilen of lange tijd onopgemerkt te blijven. Zeker als er door het security team gefocust wordt op de verkeerde informatie of bronnen.

Daar waar traditionele virusscanners vooral naar de eigenschappen van een bepaald bestand kijken, gaan next-generation firewalls een stuk verder. Als medewerkers bijvoorbeeld uitvoerbare bestanden (zoals .exe) downloaden of openen, plaatsen deze firewalls het bestand eerst in een virtuele omgeving om te controleren hoe het programma zich gedraagt. Dat lijkt slim, maar virusschrijvers spelen daar handig op in. Ze schrijven bijvoorbeeld virussen die de eerste 24 uur niets doen, of pas actief worden als ze ‘normaal’ gebruikersgedrag detecteren, zoals bepaalde toetsaanslagen of muisbewegingen. Pas als het virus merkt dat er na de eerste 24 uur een echte gebruiker op het systeem zit, openbaart de aanval zich in het netwerk.

Gevoel van veiligheid

Preventieve maatregelen zoals next-generation firewalls zullen altijd nodig blijven om kwaadaardige software tegen te gaan. Ze helpen echter niet tegen medewerkers die lukraak overal op klikken. Organisaties vullen deze preventieve maatregelen daarom aan met een scala aan security-tools en systemen die gericht zijn op het detecteren van aanvallen. Voorbeelden hiervan zijn SIEM (security information event management), IDS (intrusion detection system), IPS (intrusion prevention system) en HIPS (host intrusion prevention system).

Al die security-middelen ten spijt, zie ik dat er in de praktijk vaak veel misgaat met het detecteren en opvolgen van mogelijke incidenten. Organisaties wanen zich onterecht veilig, omdat deze middelen niet worden ingericht om de kroonjuwelen (meest waardevolle data voor een organisatie) te beschermen of om activiteiten te detecteren die kunnen duiden op mogelijk misbruik. Daardoor kunnen grote beveiligingsrisico’s ontstaan en blijven incidenten vaak voor lange tijd onopgemerkt.

SIEM-systemen worden meestal ingezet om alle activiteiten op het netwerk te loggen en op te slaan. Zo ontstaat een enorme lijst met events en alerts. Maar omdat de correlatie tussen events niet vanzelfsprekend is en er geen prioriteiten worden gesteld aan bepaalde meldingen, zien de security-verantwoordelijken door de bomen het bos niet meer. Hierdoor blijft het onduidelijk waar de grote risico’s schuilen. Daarnaast is het bekijken van netwerkverkeer slechts één deel van de vergelijking. Wat er zich op laptops van medewerkers en op de servers afspeelt, zie je zo bijna niet, terwijl dat minstens zo belangrijk is. Bijna alle hedendaagse aanvallen beginnen met het binnenbrengen van malware via eindgebruikers en end-point apparaten, zoals laptops.

Een grote uitdaging is het ontdekken van verschillen in gedrag van malafide en legitieme software, zeker als het om gerichte aanvallen van georganiseerde criminelen (of overheden) gaat. Zo worden wij tijdens zogenaamde ‘red teaming’-opdrachten, waarbij we in opdracht van een bedrijf of organisatie de beveiliging testen, nauwelijks opgemerkt door deze next-gen firewalls en de verantwoordelijke security-teams. Onze zelfgemaakte malware doet namelijk niets anders dan een versleutelde (HTTPS) verbinding opzetten naar onze command & control server, wat feitelijk elk computerproces kan doen.

A fool with a tool is still a fool

Om hedendaagse dreigingen het hoofd te bieden, brengen organisaties steeds vaker hun beveiliging onder bij een externe partij of richten een intern security operation center (SOC) op. In zo’n SOC zie ik vaak allerlei query’s draaien op bijvoorbeeld inkomende IP-adressen en allerlei schermen met knipperende lampjes van geografische gebieden waar aanvallen plaatsvinden. Dat soort SOC-diensten verkopen goed, maar met alleen het vaststellen en opsommen van die feitelijke informatie in het netwerkverkeer ben je er nog lang niet. Het zegt niets over een daadwerkelijke aanval. Het is veel belangrijker om te focussen op events of stukjes informatie die zowel vanuit het netwerk, de systemen én de organisatie zelf komen. Welke specifieke combinatie van informatie duidt nou echt op een gevaar voor je digitale kroonjuwelen? Daarom moet er in een SOC naast technische kennis over aanvallen en dreigingen ook veel kennis aanwezig zijn over de bedrijfsrisico’s en business-processen van de organisatie zelf. Alleen dan kun je risico’s op tijd detecteren en te lijf gaan. Maar ook nu geldt nog steeds: “a fool with a tool is still a fool.” Waarvan akte!

 

Martijn Sprengers

Martijn Sprengers

Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.

Laatste Artikels:

 

Tags: Security