Het is logisch dat het spoedig detecteren en het oplossen van cyberdreigingen van groot belang is. Hoe minder tijd een cybercrimineel heeft, hoe meer kans de onderneming of zorginstelling heeft om business impact te minimaliseren. Precies hier komt netwerk flowdata monitoring om de hoek kijk. Maar hoe werkt dit nu precies?

Netwerk flowdata monitoring: hoe werkt het?
Netwerk flowdata monitoring; een begrip dat je steeds vaker tegenkomt. Vaak wordt de term Detectie & Respons gebruikt of Managed Detection & Response (MDR). Door de meta data uit je netwerkverkeer te analyseren kan in een vroegtijdig stadium verdacht of ongewenste activiteiten worden gedetecteerd en schade voorkomen of geminimaliseerd.

De oplossing bestaat uit een software component die dient als netwerk sensor en een stuk dienstverlening om de verzamelde resultaten te analyseren en hulp te bieden bij eventueel benodigde incident response. De klant kan er voor kiezen de installatie van de, voor de sensor benodigde software op een fysiek apparaat te installeren of deze te installeren op een virtuele machine (VM). De oplossing dient vervolgens aangesloten te worden aan de, aan het internet aangesloten firewall/router. Hierdoor kan de sensor meeluisteren met het in- en uitgaande netwerkverkeer (ook wel flowdata genoemd). De sensor wordt niet fysiek tussen alle netwerksystemen en de internet break-out geplaatst maar luistert enkel mee waardoor deze geen verstoring of performance verlies kan veroorzaken. In de meest ideale opstelling ontvangt de sensor een kopie van alle flowdata uit de firewall/router, die zo dicht mogelijk bij de internet break-out is aangesloten.

Op het moment dat de flowdata aankomt bij de netwerksensor zal deze eerst de data omzetten naar een standaardformaat genaamd IPFIX. De informatie wordt naar een centrale console gestuurd en daar automatisch worden geanalyseerd en opgeslagen. Deze informatie is mogelijk in een later stadium nog nodig; bijvoorbeeld als er een uitgebreide analyse door een SOC-analist benodigd is tijdens een beveiligingsincident. Belangrijk hierbij om te weten is dat de oplossing alleen kijkt naar uitgaand internetverkeer en geen versleuteld (encrypted) verkeer kan inzien. Dit is geen probleem doordat de analyse juist wordt gedaan met de meta data. Er wordt onder andere gekeken naar:

  • Hoeveel data wordt er verstuurd?
  • Waar wordt het naar verstuurd?
  • Waar is het van afkomstig?
  • Via welke URL werd er gecommuniceerd?

Gaat bovenstaande iets te snel? Lees dan onderstaand voorbeeld en het is je gelijk duidelijk waarom data monitoring zo belangrijk is.

    Historisch inzicht
    De data die wordt bewaard dient niet alleen voor een mogelijk toekomstig onderzoek, maar biedt ook historisch inzicht. Neem als voorbeeld de ransomware uitbraak bij Universiteit Maastricht. Hier werd achteraf duidelijk dat er veel eerder een besmetting had plaatsgevonden, maar dat cybercriminelen handig hebben gewacht tot een geschikt moment om toe te slaan (de start van de Kerstvakantie). Dit betekent dat de malware al geruime tijd voordat deze toesloeg klaargezet was door de cybercrimineel. Dit is een goed voorbeeld waarbij een volwassen monitoringdienst zijn meerwaarde bewijst om nog voor de daadwerkelijke schade werd toegebracht deze door tijdige detectie en adequaat ingrijpen te voorkomen. Daarnaast biedt de oplossing meerwaarde tijdens forensisch onderzoek om de reikwijdte en impact van de aanval te bepalen. Hiermee kan beter worden ingeschat welke systemen zijn gecompromitteerd en welke mitigerende maatregelen er moeten worden genomen om de omgeving afdoende te herstellen.

    Alarmfase
    Wanneer een verdachte situatie zich manifesteert wordt er een alarm gegenereerd en wordt bijvoorbeeld het SOC van Navaio hiervan op de hoogte gebracht. De experts van het SOC analyseren de situatie en bepalen of er daadwerkelijk sprake van een dreiging is. Op het moment dat deze geclassificeerd wordt als een daadwerkelijk beveiligingsincident treedt het incident response proces van Navaio in werking. Voor elke situatie ligt een playbook klaar met afspraken tussen Navaio en de klant compleet met processen die zullen worden uitgevoerd om het incident te mitigeren. Voorbeelden hierbij zijn:

    • Geautomatiseerde acties.
    • Telefonisch contact.
    • Helpen met het verder identificeren van de dreigingen gelieerd aan het huidige incident.
    • Helpen met bedenken en uitvoeren van mitigerende maatregelen.
    • Escaleren naar de juiste personen en instanties waar nodig.

    Het spoedig detecteren en het oplossen van cyberdreigingen is van groot belang. We begonnen deze blog er al mee, maar hoe minder tijd een cybercrimineel heeft, hoe meer kans de onderneming of zorginstelling heeft om business impact te minimaliseren. Dit kunnen we niet vaak genoeg zeggen. Indien een cyberdreiging tijdig gedetecteerd is kan men zich blijven concentreren om de kerntaken van de organisatie. De taken waar de organisatie goed in is.

    Wil je weten waar je moet beginnen? Of wil je met één van onze experts sparren over dit onderwerp? Neem dan contact met ons op. Wij helpen je graag vrijblijvend op weg.