Security Monitoring – hoe een MxDR uw cyberveiligheid vergroot

Het onderwerp cyberveiligheid is in 2023 meer dan ooit in de belangstelling. Geen wonder: hele groepen hackers bieden nu min of meer schaamteloos ‘ransomware-as-a-service’ aan: malware uit de cloud tegen betaling, waardoor de druk op bedrijven toeneemt.

Bent u ooit geconfronteerd met losgeldeisen, gegevensverlies of systeemstoringen als gevolg van cyberaanvallen? Dan bent u waarschijnlijk bekend met de enorme meedogenloosheid waarmee cybercriminelen tegenwoordig kwetsbaarheden in de beveiliging uitbuiten en systemen moedwillig lamleggen of beschadigen. Een doeltreffende tegenmaatregel is Security Monitoring. Hier controleren IT-beveiligingsanalisten voortdurend al het inkomende en uitgaande netwerkverkeer van een bedrijf en zoeken zij naar afwijkingen. Als het ergste gebeurt, helpt een snelle reactie vaak erger te voorkomen. 

Security Monitoring heeft betrekking op het voortdurend bewaken van de beveiliging van IT-systemen. Het doel is anomalieën (afwijkingen) en verdachte gebeurtenissen op te sporen die zouden kunnen wijzen op een cyberaanval. Sinds het begin van het internettijdperk en met steeds meer in netwerken opgenomen computersystemen is het aantal mogelijke bedreigingen vanaf het internet voortdurend toegenomen. Mettertijd zijn niet alleen hackers geraffineerder geworden in hun aanvallen - ook de omvang van de potentiële en feitelijke schade neemt tot op de dag van vandaag toe. Volgens een studie van de Amerikaanse marktonderzoeker IDC zijn de meest voorkomende uitdagingen momenteel onder meer:

• Toegenomen complexiteit van de beveiligingseisen
• Steeds meer ransomware/malware-aanvallen
• Pogingen tot phishing
• Advanced Persistent Threats (APT)

Vooral de nare losgeldeisen bij ransomware-aanvallen illustreren het belang van effectieve beveiligingsbewaking: volgens een analyse van de Britse beveiligingsspecialisten van Sophos gaven bedrijven in 2021 gemiddeld 1,85 miljoen dollar per incident uit om de schade van cyberaanvallen te herstellen. Bovendien zijn steeds meer cyberaanvallen succesvol, vinden ze op georganiseerde wijze plaats en blijven ze niet beperkt tot een eenmalige poging om het systeem over te nemen (trefwoord ‘Ransomware as a Service’). Volgens een studie van het cybersecuritybedrijf Coveware duurde het gemiddeld 21 dagen vanaf het moment van de aanval voordat de server weer normaal functioneerde. 

Het volgende geldt: hoe eerder bedrijven de dreiging onderkennen, hoe eerder ze tegenmaatregelen kunnen nemen. In het ergste geval beperkt dit de downtime van de getroffen systemen en verlaagt het tegelijkertijd de kosten van de aanval tot 30 procent, volgens een studie van IBM.

Wie nu denkt dat dergelijke aanvallen vooral grote bedrijven, overheidswebsites en overheden treffen, vergist zich. Volgens Bitkom zijn vooral aanvallen op bedrijven met 10-99 werknemers tussen 2017 en 2021 gestegen van 52 naar 88 procent. Eén reden hiervoor: Vooral kleine(re) bedrijven hebben vaak noch de tijd, noch de personele middelen of de deskundigheid om de steeds geraffineerdere aanvallen van buitenaf aan te pakken en een echt veilig intern bedrijfsnetwerk op te zetten. Cyberaanvallen hebben het afgelopen jaar schade veroorzaakt bij 86 procent van de door Bitkom onderzochte bedrijven.

Het is niet ongebruikelijk dat zakelijke partners of eindklanten, in plaats van de interne IT-afdeling, bedrijven wijzen op een bestaand beveiligingsprobleem. Dit is bijvoorbeeld het geval wanneer een onvoldoende beveiligd bedrijf plotseling e-mails begint te versturen met verdachte bestandsbijlagen. Maar dit soort Security Monitoring is niet nuttig - en niet alleen wat betreft de mogelijke imagoschade. Afgezien van het feit dat het in zo'n geval vaak al ‘te laat’ is en bijvoorbeeld waardevolle gegevens van het bedrijf en van klanten en zakenpartners allang in handen van onbevoegden kunnen zijn gevallen. Daarom is het beter dat een eigen gespecialiseerd team of betrouwbare leverancier het bedrijf voortdurend onderzoekt op mogelijke zwakke punten en zijn interfaces bewaakt. 

Hier komt Security Monitoring om de hoek kijken: het zorgt niet alleen voor cyberveiligheid van binnenuit via firewalls, virusscanners en beleidsafspraken, maar ook door ‘van buitenaf’ te observeren en te testen op kwetsbaarheden. Vooral deze laatste aanpak - ook bekend als ‘ethical hacking’ - waarschuwt bedrijven voor zwakke plekken in de beveiliging voordat cybercriminelen er misbruik van maken. In dit verband zijn er verschillende componenten van de veiligheidscontrole die in principe onafhankelijk van elkaar werken, maar wel gegevens met elkaar uitwisselen.

Het gevaar van cyberdreigingen is groot. Het voornaamste probleem is het financiële risico als gevolg van bedrijfsonderbreking, inkomstenderving en IT-forensische of vervangende aankopen. Dit wordt nog verergerd door het risico van reputatieschade bij langdurige uitval of gegevensdiefstal. Toch nemen veel bedrijven nog steeds slechts basale beveiligingsmaatregelen en laten daarmee de deur open staan voor criminelen. Bijna geen enkel bedrijf dat al slachtoffer is geworden van een cyberaanval vertrouwt vervolgens alleen op zijn interne firewall of andere geïsoleerde IT-beveiligingssystemen. Het is daarom meer dan de moeite waard om het gevaar van cybercriminelen tot een minimum te beperken.

Een Security Operations Center (SOC) beheert en controleert gewoonlijk een dergelijk systeem voor beveiligingstoezicht. De belangrijkste taak is het bijhouden van een database van bekende en nieuwe bedreigingen - de zogenaamde SIEM-database, waarover u hieronder meer kunt lezen. Bovendien moet het SOC-maatregelen nemen ter verdediging tegen cyberaanvallen. Door zogenaamde correlatie, d.w.z. de identificatie van verbanden tussen opvallende activiteiten, identificeert het SOC voortdurend typische aanvalspatronen en kan het zich zo tijdig verdedigen tegen mogelijke aanvallen. 

Idealiter heeft de aanval geen of slechts geringe gevolgen voor de bedrijfsvoering van het bedrijf. Hetzelfde geldt voor valse alarmen, die vaak voorkomen in conventionele beveiligingsomgevingen: in plaats van bijvoorbeeld een webwinkel tijdelijk door te sturen of zelfs af te sluiten omdat een klant het wachtwoord meerdere malen verkeerd heeft ingevoerd, kan het SOC het specifieke geval na een grondige en handmatige controle als niet verdacht classificeren en geen verdere actie ondernemen. Het is echter noodzakelijk de gehele context van het incident te bekijken. Dit is alleen mogelijk met behulp van gedetailleerde informatie over de interne en externe processen en de IT-structuren. Deze permanente bewaking van de cyberveiligheid is iets voor cyberspecialisten en, althans in kleine en middelgrote ondernemingen, niet voor de interne IT-afdeling. De dreigingssituatie is daarvoor te dynamisch en de cyberbeveiligingseisen zijn te complex.

Wanneer er wordt gesproken over professionele Security Monitoring, valt vroeg of laat de term ‘SIEM’. Dit is de afkorting voor de Engelse term ‘Security Information & Event Management’. Het verwijst naar een benadering van Security Monitoring die een holistisch beeld geeft van de IT-beveiliging in een bedrijf. Een essentiële taak van het SIEM is om veiligheidsrelevante informatie uit verschillende bronnen te verzamelen, deze met elkaar te verbinden en mogelijke cybergevaren tijdig te signaleren. Als een op regels gebaseerd systeem, gewoonlijk ondersteund door statistische correlatiemodellen, legt de SIEM mogelijke verbanden tussen gebeurtenissen in gebeurtenislogboeken. 

Ook worden analyses van typisch gebruiksgedrag uitgevoerd, die soms zelfs typisch systeemgedrag omvatten. Een voorbeeld van een dergelijke contextuele beoordeling is een ticketshop, waar kort na het begin van de voorverkoop voor een concert met grote vraag, er natuurlijk een tijdelijke hoge bezettingsgraad is. Het is te verwachten dat klanten de pagina vaker herladen omdat het laden langer duurt en het boekingssysteem zijn grenzen bereikt. Het is anders wanneer een dergelijke situatie zich ‘uit het niets’ voordoet: dan kan een DDoS-aanval de oorzaak zijn.  

SIEM-systemen kregen voor het eerst een bijzondere betekenis in verband met creditcardfraude en de Algemene Verordening Gegevensbescherming (AVG/GDPR). In het verleden waren cyberaanvallen vaak geïsoleerde incidenten en waren de compliance-eisen voor bedrijven beheersbaar(der). Tegenwoordig is een alomvattend en doeltreffend beveiligingsbeheer echter een essentiële voorwaarde voor duurzaam economisch succes van (online) bedrijven.  

De essentiële taken van een (nu meestal cloudgebaseerde) SIEM omvatten:

• Verzamelen, analyseren en presenteren van netwerk- en beveiligingscomponenten
• Documentatie van de vroegere of gewenste behandeling van beveiligingskwetsbaarheden
• Opslag van logbestanden voor besturingssystemen, databanken en toepassingen
• Detectie en beoordeling van externe cyberbeveiligingsdreigingen
• Real-time systeemanalyse met het oog op onmiddellijke risicopreventie 

Organisaties komen twee belangrijke uitdagingen tegen bij de opzet en het beheer van een SIEM-omgeving. Als eerste koste het opzetten en exploiteren van een eigen SIEM-omgeving bedrijfsmiddelen en vereist de nodige knowhow. Externe aanbieders brengen deze vaardigheden al mee en zetten ze direct in. Dit kan uw bedrijf kosten besparen. Dure opleidingen, de aanschaf van nieuwe hardware en software en extra personeelskosten zijn niet langer nodig. Als tweede hangt het succes van een SIEM-oplossing vooral af van de kwaliteit van de vastgestelde regels. Het is soms moeilijk om up-to-date te blijven en bedreigingen tijdig op te sporen.  

Een Managed Detection & Response-oplossing kan deze SIEM-uitdagingen in combinatie met een SOC op passende wijze aanpakken en bedrijven optimaal beschermen.

SOAR staat voor Security Orchestration, Automation, and Response. Zowel SIEM- als SOAR-platforms verzamelen en structureren loggegevens in de infrastructuur van uw organsiatie en checken deze op potentiële bedreigingen. De term SOAR wordt soms gebruikt om een stap verder te gaan met gegevensverrijking en geautomatiseerde responsmogelijkheden. Dat laatste wordt soms ook separaat Advanced Endpoint Response (AER) genoemd.   

De logs, verrijkt met externe bronnen zoals threat intelligence-feeds en endpoint security-software, worden gevalideerd en geprioriteerd in het SIEM- (of SOAR-) platform. Het SOC monitort en neemt actie. Een deel van de acties kan ook geautomatiseerd worden via Advanced Endpoint Response (AER). Zo kan onmiddellijk actie ondernomen worden op waarschuwingen, waaronder het automatisch isoleren van gecompromitteerde eindpunten, het stoppen van bepaalde applicaties of andere processen voordat bedreigingen zich kunnen manifesteren en verspreiden.

Holistische oplossingen zoals Security Monitoring binnen Vodafone Cyber Security Services, die ook de handmatige analyse van mogelijke bedreigingen omvatten, omvatten altijd ten minste een SIEM-concept. Een commercieel SIEM-systeem dat meerdere klanten tegelijk bedient, is meestal superieur aan losstaande, bedrijfsspecifieke oplossingen, alleen al vanwege de grotere database. De combinatie van een SOC en SIEM door een derde partij wordt ook wel ‘Managed Detection & Response’ (MDR) genoemd. Vrij vertaald betekent dit ‘beheerde opsporing en verdediging’ (van cyberdreigingen). Als daar ook AER aan toegevoegd wordt spreken we ook van Managed extended Detection & Response (MxDR).