Hendelser skjer i tillatt trafikk

Suksessfulle hendelser skjer i tillatt trafikk. Sikre kvaliteten på din RFP

Hvorfor skal man ha IT og IKT-sikkerhet? Hvorfor skal man ha en brannmur? Hva burde man ha med i en RFP?

 

Dette er spørsmål man burde stille seg regelmessig. 

Det kan være flere måter å svare på dette, men man kan ta utgangspunkt i CIA.

  • Confidentiality
  • Integrity
  • Availability

Alle har vært digitale lenge, og alle blir mer digitale for hver dag som går. Da er det viktig at systemene fungerer, stabilt og troverdig. Man må ha tillit til systemene. Derfor har man sikkerhet, for at risikoen for sikkerhetsrelaterte hendelser skal bli så liten som mulig. Derfor er det også viktig hvordan man tenker strategi og taktikk. Vi i Data Equipment tror veldig på Zero Trust, som har flere elementer i seg, blant annet Least Privilege, som betyr at tilganger skal gis basert på behov, og på den måten redusere angrepsflaten mest mulig. For det er i tillatt trafikk at skadelige hendelser skjer. Om noen gjør ting som er tillatt, vil det gjerne ikke kategoriseres som en IOC, Indicator of Comprimise, da det er gitt tillatelse til å gjøre dette. Så da må man inspisere trafikken man tillater for å kunne avdekke IOC’er, men i dag også BIOC’er, Behavioral Indicator of Compromise. La oss forklare litt:

Endepunkt, sky og nettverkssikkerhet. Mange mener at sikkerhet alene skal skje på endepunktet. Men med alle endepunkter uten sikkerhet, som IoT, OT, BYOD, etc, vil nettverkssikkerheten være høyst relevant. I tillegg vil en nettverkssikkerhetsteknologi kunne inneha mange flere sikkerhetsmekanismer enn en endepunktsikkerhetsløsning. Man er derfor avhengig av begge deler, helst i samspill, med utveksling av informasjon for styrking av begge.

 

Logger vs alarmer

  • Logger: Alt man tillater, og alt som skjer, være seg i brannmuren, på endepunktet, på serveren, etc, vil kunne generere logger. Disse er veldig viktige for analyse og feilsøking. Dette er altså logging på det som har skjedd, for å kunne gå inn i ettertid for å undersøke hendelser. Men hva om disse kan brukes av maskinlæring og kunstig intelligens til å avdekke ting som er i ferd med å skje?
     
  • Alarmer: Ting som blir stoppet, fordi de treffer en signatur for en skadelig aktivitet, vil generere en alarm. Dette er det man kaller en IOC, med den tanken at man kan ha en kompromittert enhet, klient, server, IoT, etc. Dette får naturligvis gjerne oppmerksomhet av en SOC, som deretter kan gå inn i loggene for å danne seg et bedre bilde av hva som har skjedd, for å se om det er noe skadelig på gang, eller om noe allerede har skjedd. Utfordringen med denne taktikken er at det ofte kan være for sent, den uopprettelige skaden kan ha skjedd, og man leter egentlig bare etter årsak og skyldige. For statistikken sier at det i gjennomsnitt tar 200 dager fra en hendelse skjer til den blir oppdaget. Ville det ikke da vært bedre om man oppdager disse elementene mye raskere, som innen timer?

 

Utkast til IOC’er (Indicator of Compromise) man bør ha med i en RFP, og hva en BIOC er på toppen

  • Antivirus. Virus, skadevare, malware. Kjært barn, mange navn. Dette er gjerne kode for å gjøre direkte skade, eller for å kunne tilgjengeliggjøre muligheter til å kunne gjøre neste fase i målet for aktørene. Om denne koden er gjenkjennelig av sikkerhetsprodukter, på endepunkt, i nettverket ved hjelp av brannmuren (SSL dekryptering er nødvendig for fullt utbytte av dette i nettverket), i skyen i form av SaaS tjenester (for data lagret i OneDrive, Box, Dropbox, Gdrive, etc), vil dette gi en IOC, som kan dette stoppes og/eller generere en alarm. 

    ​Har Antivirus klart å identifisere et virus, er det mest sannsynlig stoppet. Men er det grunn til å vie det ekstra oppmerksomhet allikevel?
  • IPS/IDS (Intrusion Protection/Detection System) for endepunkt, og for nettverk. Dersom kommunikasjon inneholder forsøk på misbruk av en sårbarhet, vil en IDS/IPS kunne identifisere dette, alarmere på det, og med en IPS også kunne stoppe det. SSL dekryptering er nødvendig for full utnyttelse i nettverket

    Er misbruk av en sårbarhet detektert, og kanskje stoppet, kan det likevel være grunn til å undersøke hva som skjer, og hvorfor. Er det noen som forsøker noe skadelig som du burde avdekke for å kunne stoppe?
     
  • DNS (Domain Name System). Det aller meste av kommunikasjon starter med en DNS-forespørsel. Denne kan manipuleres av uvedkommende for å styre en klient til feil destinasjon. Derfor er det viktig å kontrollere all DNS kommunikasjon for å sikre at denne er tillitsfull. DNS er pt hovedsaklig i klartekst og trenger da ikke SSL dekryptering, som er fint med tanke på alle mulige enheter, som IoT, Scada/ICS, gjester eller andre enheter man ikke har management på, og derfor ikke kan dekryptere. Men DNS blir i stadig høyere grad kryptert, og nå sist med https og SSL, som vil kreve SSL dekryptering for å kunne gi verdi. Treff på en signatur, vil generere en IOC. 

    Også her er det slik at om man identifiserer at uønskede DNS-forespørsler blir stoppet, er det grunn til å analysere. Dette stiller seg i rekken av hendelser som genererer en IoC, som deretter er avhengig av loggene for analyse
     
  • URL. Web Browsing er gjerne tillatt for de fleste, mot det meste. Aktører vil gjerne misbruke dette for skadelige aktiviteter. Derfor finnes URL filtrering, gjerne kategorisert, der produsentene for sikkerhetsteknologi kontinuerlig jobber for å kategorisere alle URL’er, inkludert skadelige kategorier,  som f.eks «malware», «phishing», etc. Oppfordringen til kunder er å sperre all kommunikasjon mot adresser i disse kategoriene for å hindre, eller vanskeliggjøre, hendelser for aktørene. Traff på en skadelig kategori vil generere en IOC. Da det meste av web browsing i dag skjer kryptert, vil SSL dekryptering være helt nødvendig for god nok synlighet og dermed evne til å kunne identifisere og stoppe.

    Om en klient, være seg PC, Server, IoT, forsøker å kommunisere med en URL adresse som er kategorisert som skadelig eller uønsket, er det gjerne grunn til å undersøke dette nærmere.
     
  • Anti Spyware. Om aktørene får fotfeste inne i organisasjonen, vil de gjerne opprette en forbindelse tilbake til seg selv, for å kunne fortsette jobbingen for å nå sitt endelige mål. Derfor er det viktig med sikkerhetsmekanismer, på endepunkt og i nettverket (da ikke alle endepunkter, som f.eks IoT, BYOD, etc, kan ha endepunktsikkerhet), med evnen til å identifisere og stoppe dette fra å skje, og da samtidig generere en IOC. Da denne kommunikasjonen gjerne vil være kryptert, for å unngå tradisjonelle sikkerhetsmekanismer, er det også her elementært å dekryptere all kommunikasjon fra klienter mot internett, alltid. 

    Tenker man på Cyber Kill Chain, vil dette elementet være et stykke ut i prosessen, og en IOC av dette slaget burde få høy oppmerksomhet, også om det er stoppet.
     
  • Sandkasse teknologi. Da skadevare, og lignende, er i stadig utvikling, vil sikkerhetsleverandørene stadig henge litt etter, og må benytte teknologi for å identifisere ukjente skadevarer. Denne skadevaren vil på tidspunktet den treffer sikkerhetsteknologien være ukjent, og slippe igjennom. Men teknologien vil i parallell sende den potensielle skadevaren til en egen teknologi som vil analysere adferden til koden, for å se om den inneholder skadelig adferd. Skulle den vise seg å være skadelig, må dette alarmeres, med en IOC, men samtidig også generere en signatur for all sikkerhetsteknologi, for i fremtiden å kunne stoppes. Da denne koden gjerne overføres i en kryptert kommunikasjon, vil det være elementært å SSL dekryptere all kommunikasjon, alltid, for å kunne se, detektere og være i stand til å gjøre noe med dette.

    IOC’er i denne kategorien, burde/må kreve full oppmerksomhet, da disse har sluppet igjennom sikkerhetsmekanismene, og allerede kan ha gjort skade, som igjen betyr at man trenger analyse av loggene over hva som har skjedd av tillatt trafikk.
     
  • E-post. Den aller største angrepsvektoren er e-post. Angrep og hendelser starter oftest med e-post. Det er derfor naturligvis veldig viktig med løsninger som er i stand til å avdekke skadelige e-poster, med bl.a integrasjon med andre sikkerhetsteknologier på endepunkter og i nettverket. E-poster som blir stoppet, vil generere en IOC, og krever gjerne oppmerksomhet. Er det sendt til mange globalt, er det sendt til mange i organisasjonen, er det sendt til en enkelt person, inneholder det skadelig kode, inneholder det en URL til en potensielt skadelig lokasjon (viktig med integrasjon med nettverkssikkerhetsteknologien dersom e-post sikkerheten ikke har stoppet e-posten, og noen skulle klikke), eller inneholder den bare ren tekst, med det mål å manipulere for deretter å bygge tillit som kan misbrukes? 

  • EDR, Endpoint Detection and Response. Man kan ha all verdens teknologi og sikkerhet, men ting kan allikevel skje. Og da er det viktig med god synlighet. For å skape denne synligheten, trenger man enda mer teknologi. EDR er en kjent løsning for å adressere nettopp dette, ved at en agent installeres på endepunktet, med den hensikt å samle informasjon om hva som faktisk skjer på endepunktet. Det finnes også løsninger for DR på andre plattformer, som i nettverket. NDR begrepet eksiterer ikkem men det kunne vært passende. Denne informasjonen sendes til et sentralt management, gjerne en SIEM løsning, eller annen intelligent løsning, for berikelse til analyse arbeidet. Skulle man f.eks få en IOC, og ønsker å analysere hva som ligger bak denne, vil man være blind uten ekstra hjelpemidler, og man kan som regel bare anta årsak, samt vurdering av om skade faktisk har skjedd.

 

 

BIOC (Behavioral Indicators of Compromise) 

Kjært barn, mange navn. Denne funksjonaliteten har forskjellige navn og omtaler hos forskjellige aktører, men hensikten pleier å være den samme.

Om aktørene klarer å gjøre en hendelse bestående av aktiviteter som er tillatt, samt ikke inneholder nevnte IOC’er, vil det ikke generere alarmer, da tradisjonelle sikkerhetsteknologier ikke har kapabilitet til å identifisere eller stoppe aktiviteten. Og da står man overfor en ny utfordring. Hvordan skal man da kunne avdekke skadelige hendelser? Det er grunnet dette at statistikken viser en gjennomsnittstid på 200 dager fra en hendelse inntreffer til den blir oppdaget. Det er her loggene kommer inn som et viktig element. Ikke bare logger, men detaljerte logger, av så mye som mulig. Ingen mennesker kan følge med på dette for å detektere og avdekke mistenkelig aktivitet.

Derfor er teknologi utviklet for nettopp dette, ved at alle relevante logger samles på et sted, for at maskinlæring og kunstig intelligens skal være i stand til å detektere unormal adferd i tillatt trafikk. Detekteres dette, vil det generere en BIOC alarm. Denne, i motsetning til en IOC, har ikke kapabiliteten til å direkte stoppe ting på samme måte. Man kan enten alarmere, slik at analyse kan gjøres, eller man kan lage automatiserte aktiviteter som vil kunne stoppe elementer, på forskjellige måter. Her er det mange forskjellige varianter, avhengig av flere parametere. BIOC baserer seg på ting som har skjedd, og vil være analyse av både alarmer og logger. BIOC er noe av det nyeste innen Cyber Security, og et direkte svar på at suksessfulle hendelser skjer i tillatt trafikk.

En BIOC vil danne grunnlag for analyse, da den inneholder aktivitet som allerede har skjedd, og tiden er kritisk.

 

Håper dette er oppklarende med tanke på helhetlig sikkerhet. Håper det også bidrar til tankesettet rundt hvordan man burde angripe sikkerheten, og samtidig huske på at teknologi alene ikke er nok, men det viktigste er hvordan man bruker den. Man må ha god synlighet. Uten god synlighet, vil man ikke kunne logge godt nok, man vil ikke være i god nok stand til å detektere IOC’er, man vil ikke være i stand til å alarmere om BIOC’er, og man vil være i dårligere stand til å kontrollere. Alt dette er nødvendig for å danne en god sikkerhet.

 

RFP kravliste for NGFW i tråd med NSM Grunnprinsippper for IKT-sikkerhet

Her kan du be om en liste med anbefalte krav du bør stille i din neste RFP for en NGFW. Disse kravene er laget for å tilfredsstille NSM sine Grunnprinsipper for IKT-sikkerhet, i tråd med helhetlig sikkerhet.

Her er opptak av webinaret vi holdt for å presentere denne listen

 

Gøran sirkel Gøran Tømte
CISO
Data Equipment
LinkedIn

 

Ønsker du mer informasjon, ta kontakt