Vaak weten organisaties dat zij doelwit kunnen zijn van een hackaanval. Eén van de securitymaatregelen die hiervoor getroffen zijn is Security Monitoring. Met behulp van een Security Incident and Event Management (SIEM)-tool kan de IT-infrastructuur van een organisatie gemonitord worden, waarbij de netwerkactiviteiten van zowel gebruikers, applicaties en andere IT-systemen verzameld en geanalyseerd worden om vast te stellen of er sprake is van een hackaanval. Dit is dan ook een beveiligingsmaatregel die door vrijwel alle organisaties zijn geïmplementeerd, al dan niet vanwege de Algemene Verordening Gegevensbescherming (AVG)-wetgeving.
Echter komt het in de praktijk vaak voor dat de SIEM-implementatie ertoe leidt dat er wel netwerkactiviteiten verzameld worden, maar dat organisaties eigenlijk niet begrijpen wat er binnen de IT-infrastructuur plaatsvindt. In de praktijk weet men dan ook niet hoe de verzamelde netwerkactiviteiten in een context geplaatst moeten worden, waardoor de verzamelde data geen betekenis lijkt te hebben.
In 2022 is de gemeente Hof van Twente slachtoffer geweest van een hackaanval waarbij negentig virtuele servers en back-ups van data zijn vernietigd. Hierbij bevatte het beheerdersaccount van de systeembeheerder het wachtwoord “Welkom2020” en liet de firewall al het inkomende netwerkverkeer toe. Deze kwetsbaarheden in de IT-infrastructuur van de gemeente maakte het eenvoudig voor hackers om toegang te kunnen verkrijgen en hun hackaanval te realiseren.
Use cases: wat zijn het?
Met een adequate SIEM-implementatie had de hackaanval op de gemeente Hof van Twente gedetecteerd kunnen worden, zodat vervolgens de juiste stappen genomen konden worden om de hackaanval te escaleren en te mitigeren. Organisaties moeten dit vastleggen aan de hand van zogenaamde SIEM/SOC Use Cases. In deze use cases dienen organisaties te formuleren wat het doel is van de use case, welke dreigingen gedetecteerd moeten worden, welke informatiebronnen daarbij van toepassing zijn en wat de vervolgstappen zijn in het geval van een gedetecteerde dreiging. Door use cases te formuleren, bereiden organisaties zich voor op potentiële dreigingen en staan de vervolgstappen ter voorkoming van verdere schade, gereed.
Organisaties hebben in de praktijk vaak geen adequate SIEM-implementatie. Hierdoor worden netwerkactiviteiten van de IT-omgeving wel verzameld, maar begrijpt men niet wat de verzamelde netwerkactiviteiten betekenen. Dit is een gevolg van het niet of matig toepassen van SIEM/SOC Use Cases. Door de matige toepassing van use cases, zijn organisaties ook niet voorbereid op potentiële hackaanvallen en weten ze niet welke stappen genomen moeten worden in het geval van een hackaanval. Dit leidt vervolgens tot verdere schade op de organisatie in de vorm van dataverlies, reputatieschade en financiële schade.
Use Case: waar te beginnen?
In deze blog wordt dieper ingegaan op de ontwikkeling en toepassing van SIEM/SOC Use Cases, met als doel om organisaties bewust te maken over de voordelen van use cases en om hen aan te sporen om zelf use cases te ontwikkelen ter voorbereiding op hackaanvallen.
Voor de ontwikkeling van use cases zijn er verschillende best-practices en frameworks beschikbaar, zoals de methode van RSA. Organisaties moeten zelf bepalen welke methode of framework het beste binnen hun organisatie past. De kern van deze methoden en frameworks komen vaak met elkaar overeen, waarin dezelfde aandachtspunten naar voren komen. Hieronder worden de belangrijkste aandachtspunten benoemd waarmee organisaties rekening moeten houden bij de ontwikkeling van use cases:
– Wat is het doel van de use case? En waarom is de use case nodig?
Door vast te leggen waarom de use case benodigd is en wat men ermee wil bereiken, kan men begrijpen hoe de use case aansluit op de business van de organisatie. Maak daarom gebruik van risicoassessments waarin de risico’s van de organisatie zijn bepaald.
– Welke dreigingen wilt de organisatie detecteren?
Organisaties zouden dreigingen moeten formuleren die men wil detecteren. Hiermee is er meer sprake van doelgerichte security monitoring. Verder wordt aangeraden om scenario’s van dreigingen te omschrijven om een realistisch beeld te kunnen scheppen over de hackaanval. Ook hiervoor kan gebruik worden gemaakt risicoassessments van de organisatie.
– Welke databronnen zijn relevant bij de detectie van dreigingen?
Naast het vastleggen van de dreigingen, zouden organisaties ook moeten bepalen welke databronnen binnen de IT-infrastructuur relevant zijn voor de detectie van dreigingen. Vaak worden binnen de databronnen logs en andere netwerkactiviteiten gegenereerd die gebruikt kunnen worden voor de detectie van dreigingen.
– Hoe kunnen dreigingen gedetecteerd worden?
Organisaties dienen zich af te vragen hoe dreigingen gedetecteerd kunnen worden. Vaak wordt er gebruik gemaakt van een SIEM-tool, waarmee netwerkactiviteiten van diverse databronnen bijgehouden en opgeslagen worden. Binnen de SIEM-tool kunnen organisaties aan de hand van filters en alerts de geformuleerde dreigingen opzoeken, detecteren en, afhankelijk van de tool, op automatische wijze mitigeren.
– Wat moet men doen in het geval van een gedecteerde dreiging?
Wellicht het belangrijkste aandachtspunt bij de ontwikkeling van use cases. Organisaties zouden moeten nadenken over de stappen die men moet nemen in het geval van een incident. Door de vervolgstappen van een gedetecteerde dreiging en/of incident vast te leggen, zal er een ‘crisisplan’ beschikbaar zijn die gevolgd kan worden om zo snel mogelijk de dreiging te mitigeren.
Nadat de use cases ontwikkeld zijn, zouden organisaties de use cases moeten onderhouden door de betreffende use cases te testen, te prioriteren en te reviewen. Het is namelijk mogelijk dat er in de toekomst gebruik wordt gemaakt van andere IT-systemen, zoals de migratie naar clouddiensten, waardoor de use cases verouderd raken. Het is dus van belang om de use cases mee te laten veranderen met het IT-omgeving en de threat landscape, het landschap waarin cyberdreigingen zich continu verder ontwikkelen en toegepast worden in het dagelijkse bedrijfsleven.
De nut en noodzaak van een use case
Uiteindelijk dienen de kroonjuwelen van de organisatie beschermd te worden. Door diverse SIEM/SOC Use Cases vast te leggen, waarin verschillende dreigingen en de bijbehorende vervolgstappen geformuleerd zijn, zal men voorbereid zijn tegen dreigingen die verdere schade kunnen aanrichten op de organisaties. Dit zal ertoe leiden dat de mitigerende stappen efficiënter uitgevoerd kunnen worden, waardoor de schade op de organisatie beperkt blijft.
Wil je weten waar je moet beginnen? Of wil je met één van onze experts sparren over dit onderwerp? Neem dan contact met ons op. Wij helpen je graag vrijblijvend op weg.
Leave A Comment