Netwerk flowdata monitoring: hoe werkt het?

Het is logisch dat het spoedig detecteren en het oplossen van cyberdreigingen van groot belang is. Hoe minder tijd een cybercrimineel heeft, hoe meer kans de onderneming of zorginstelling heeft om business impact te minimaliseren. Precies hier komt netwerk flowdata monitoring om de hoek kijk. Maar hoe werkt dit nu precies?

Netwerk flowdata monitoring: hoe werkt het?
Netwerk flowdata monitoring; een begrip dat je steeds vaker tegenkomt. Vaak wordt de term Detectie & Respons gebruikt of Managed Detection & Response (MDR). Door de meta data uit je netwerkverkeer te analyseren kan in een vroegtijdig stadium verdacht of ongewenste activiteiten worden gedetecteerd en schade voorkomen of geminimaliseerd.

De oplossing bestaat uit een software component die dient als netwerk sensor en een stuk dienstverlening om de verzamelde resultaten te analyseren en hulp te bieden bij eventueel benodigde incident response. De klant kan er voor kiezen de installatie van de, voor de sensor benodigde software op een fysiek apparaat te installeren of deze te installeren op een virtuele machine (VM). De oplossing dient vervolgens aangesloten te worden aan de, aan het internet aangesloten firewall/router. Hierdoor kan de sensor meeluisteren met het in- en uitgaande netwerkverkeer (ook wel flowdata genoemd). De sensor wordt niet fysiek tussen alle netwerksystemen en de internet break-out geplaatst maar luistert enkel mee waardoor deze geen verstoring of performance verlies kan veroorzaken. In de meest ideale opstelling ontvangt de sensor een kopie van alle flowdata uit de firewall/router, die zo dicht mogelijk bij de internet break-out is aangesloten.

Op het moment dat de flowdata aankomt bij de netwerksensor zal deze eerst de data omzetten naar een standaardformaat genaamd IPFIX. De informatie wordt naar een centrale console gestuurd en daar automatisch worden geanalyseerd en opgeslagen. Deze informatie is mogelijk in een later stadium nog nodig; bijvoorbeeld als er een uitgebreide analyse door een SOC-analist benodigd is tijdens een beveiligingsincident. Belangrijk hierbij om te weten is dat de oplossing alleen kijkt naar uitgaand internetverkeer en geen versleuteld (encrypted) verkeer kan inzien. Dit is geen probleem doordat de analyse juist wordt gedaan met de meta data. Er wordt onder andere gekeken naar:

Hoeveel data wordt er verstuurd?
Waar wordt het naar verstuurd?
Waar is het van afkomstig?
Via welke URL werd er gecommuniceerd?

Gaat bovenstaande iets te snel? Lees dan onderstaand voorbeeld en het is je gelijk duidelijk waarom data monitoring zo belangrijk is.

Historisch inzicht
De data die wordt bewaard dient niet alleen voor een mogelijk toekomstig onderzoek, maar biedt ook historisch inzicht. Neem als voorbeeld de ransomware uitbraak bij Universiteit Maastricht. Hier werd achteraf duidelijk dat er veel eerder een besmetting had plaatsgevonden, maar dat cybercriminelen handig hebben gewacht tot een geschikt moment om toe te slaan (de start van de Kerstvakantie). Dit betekent dat de malware al geruime tijd voordat deze toesloeg klaargezet was door de cybercrimineel. Dit is een goed voorbeeld waarbij een volwassen monitoringdienst zijn meerwaarde bewijst om nog voor de daadwerkelijke schade werd toegebracht deze door tijdige detectie en adequaat ingrijpen te voorkomen. Daarnaast biedt de oplossing meerwaarde tijdens forensisch onderzoek om de reikwijdte en impact van de aanval te bepalen. Hiermee kan beter worden ingeschat welke systemen zijn gecompromitteerd en welke mitigerende maatregelen er moeten worden genomen om de omgeving afdoende te herstellen.

Alarmfase
Wanneer een verdachte situatie zich manifesteert wordt er een alarm gegenereerd en wordt bijvoorbeeld het SOC van Navaio hiervan op de hoogte gebracht. De experts van het SOC analyseren de situatie en bepalen of er daadwerkelijk sprake van een dreiging is. Op het moment dat deze geclassificeerd wordt als een daadwerkelijk beveiligingsincident treedt het incident response proces van Navaio in werking. Voor elke situatie ligt een playbook klaar met afspraken tussen Navaio en de klant compleet met processen die zullen worden uitgevoerd om het incident te mitigeren. Voorbeelden hierbij zijn:

Geautomatiseerde acties.
Telefonisch contact.
Helpen met het verder identificeren van de dreigingen gelieerd aan het huidige incident.
Helpen met bedenken en uitvoeren van mitigerende maatregelen.
Escaleren naar de juiste personen en instanties waar nodig.

Het spoedig detecteren en het oplossen van cyberdreigingen is van groot belang. We begonnen deze blog er al mee, maar hoe minder tijd een cybercrimineel heeft, hoe meer kans de onderneming of zorginstelling heeft om business impact te minimaliseren. Dit kunnen we niet vaak genoeg zeggen. Indien een cyberdreiging tijdig gedetecteerd is kan men zich blijven concentreren om de kerntaken van de organisatie. De taken waar de organisatie goed in is.

Wil je weten waar je moet beginnen? Of wil je met één van onze experts sparren over dit onderwerp? Neem dan contact met ons op. Wij helpen je graag vrijblijvend op weg.

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
sp_landing	1 day	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.
sp_t	1 year	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.

Cookie	Duration	Description
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_S3S4QWSG9R	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_110801228_1		This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	16 years 5 months	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Cookie	Duration	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	14 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Netwerk flowdata monitoring: hoe werkt het?

Netwerk flowdata monitoring: hoe werkt het?

About the Author: van der Mark

Webinar ‘Managed Detection & Response’ gemist? Kijk nu terug!

De 9 grootste cybersecurity problemen

Het belang van detectie

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Leave A Comment Cancel reply

Netwerk flowdata monitoring: hoe werkt het?

Deel dit verhaal, kies je platform!

About the Author: van der Mark

Related Posts

Webinar ‘Managed Detection & Response’ gemist? Kijk nu terug!

De 9 grootste cybersecurity problemen

Het belang van detectie

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Leave A Comment Cancel reply