Bescherming tegen cyberaanvallen-op-maat

infosecurity05-2013HR2

Cybercriminelen maken graag gebruik van standaard off-the-shelf methoden en scripts om hun aanvallen uit te voeren. Nog veel gevaarlijker zijn echter de geheel op maat van specifieke doelwitten ontwikkelde aanvalstools die nog niet bekend zijn bij security-firma’s. De kans is groot dat zo’n aanval niet kan worden tegengehouden of zelfs niet eens bij de eigen IT-afdeling opvalt. Cisco Cyber Threat Defense Solution biedt hier echter een oplossing voor.

Veel security-bedreigingen waarmee bedrijven en overheidsorganisaties worden geconfronteerd, bestaan uit aanvalsmethoden die goed bekend zijn bij beveiligingsdeskundigen. Deze kunnen in de regel worden tegengehouden met bekende tools als firewalls, antivirus-producten, anti-malware tools, intrusion detection-systemen en dergelijke.

Een veel grotere uitdaging vormen de aanvallen waarbij de cybercriminelen speciaal voor een bepaald bedrijf of doelwit een geheel nieuwe aanvalsmethodiek ontwikkelen. Hierbij worden vaak zeer geavanceerde methoden en software-tools gebruikt die bovendien gebruik maken van bugs en problemen in veelgebruikte programmatuur die nog niet gepubliceerd zijn, maar in de ‘underworld’ al wel ontdekt en verspreid zijn. In andere gevallen komen zij binnen’ via social engineering en passeren zij dus zonder problemen de klassieke security-maatregelen.

Binnen de ‘slotwal’

Het is dus logisch dat veel security-firma’s nog geen kennis hebben van dit soort aanvalsmethoden en deze aanvallen dus ook niet kunnen tegenhouden. De aanvallen zijn vaak gemodelleerd op basis van de specifieke kenmerken van het doelwit. Aangezien standaard security-tools de aanval niet herkennen, hebben de cybercriminelen vaak weken- of maandenlang toegang tot bepaalde netwerken of informatie – zonder dat de eigen IT- of business-organisatie dit opmerkt. De schade kan hierdoor zeer groot uitvallen.

De uitdaging waarmee we hier te maken hebben, is dat klassieke security-tools een verdedigingswal rondom de te beschermen organisatie optrekken, maar nauwelijks zicht hebben op wat er binnen de ‘slotwal’ gebeurt. Vaak start zo’n aanval bovendien met social engineering of bijvoorbeeld het gebruik van onbekende externe media als USB-sticks. Hierdoor kan ingebroken worden, ondanks een prima firewall, uitstekende antivirus-aanpak of consequent patchen van softwareprogramma’s.

In dit soort situaties is de enige oplossing een aanpak waarbij gezocht wordt naar patronen in het netwerkverkeer. Dit soort patronen worden ook wel ‘fingerprints’ genoemd en maken verdacht dataverkeer zichtbaar. Het is dus zaak dat deze tools het dataverkeer binnen de organisatie kunnen volgen en analyseren. Afwijkingen in dat verkeer behoeven echter niet per definitie te betekenen dat er sprake is van een aanval, maar dit dient wel met zekerheid te worden vastgesteld. Met andere woorden: van iedere afwijking moet worden bepaald of het om een aanval gaat of slechts een nieuw patroon binnen het normale netwerkverkeer.

1205 Cisco2

Cisco Cyber Threat Defense Solution

Hoe doen dit soort zeer geavanceerde security-oplossingen dat? Cisco’s Cyber Threat Defense Solution is een goed voorbeeld van zo’n modern en op nog onbekende bedreigingen afgestemde oplossing. Het bestaat uit een aantal elementen:

– Een mechanisme dat het netwerkverkeer volgt. Deze zogeheten ‘network telemetry’ is gebaseerd op de NetFlow-technologie in Cisco’s Catalyst switches, Cisco routers, NetFlow Next Generation Appliances en NetFlow Security Event Logging van de Cisco ASA 5500 security appliances.
– Daarnaast is sprake van een engine die zorgt voor het analyseren van het netwerkverkeer. Deze is gebaseerd op het Lancope StealthWatch System.
– Tenslotte is informatie nodig over de in gebruik zijnde identities binnen het netwerk, evenals de binnen het netwerk toegepaste security-maatregelen en applicaties.

Security-analyse

Op basis van deze combinatie van tools en informatie heeft een security-analist vanuit een centraal dashboard een uitstekend beeld van het dataverkeer in het netwerk, maar ook van eventuele verdachte afwijkingen die zich daarin voordoen. Het dashboard maakt deze afwijking zichtbaar en biedt alle mogelijkheden om te ‘down-drillen’ en zo te ontdekken welke gebruiker, welk netwerksegment, welke applicatie en dergelijke dit afwijkende verkeer veroorzaakt.

Hierna kan de analist vaststellen wat er precies aan de hand is. Gaat het bijvoorbeeld om:

– Een poging van cybercriminelen om het netwerk in kaart te brengen?
– Of om een poging om malware binnen het netwerk te verspreiden?
– Gaat het bij het verdachte dataverkeer om zogeheten ‘command and control traffic’ tussen geïnfecteerde computers binnen de firewall en de cybercriminelen buiten de organisatie?
– Of is sprake van gevoelige bedrijfsgegevens die worden weggesluisd?

De praktijk

1205 Cisco1
Achter het dashboard van de Cisco Cyber Threat Defense Solution gaat veel technologische innovatie schuil. Maar wat kunnen we in de praktijk daar nu precies mee?

De voordelen van Cisco’s Cyber Threat Defense Solution zijn groot. Deze oplossing richt zich namelijk op de meeste complexe en gevaarlijke security-bedreigingen. Dat zijn de aanvallen die soms al maanden of jaren in netwerken plaatsvinden, zonder dat de organisatie dit in de gaten heeft. Soms gaat het om het stelen van informatie, maar in andere gevallen wil men geld stelen of de operatie van de organisatie negatief beïnvloeden. De oplossing van Cisco maakt het mogelijk dit soort bedreigingen zichtbaar te maken en bovendien deze aanvallen te stoppen.
Als we de voordelen op een rij zetten:

– Cisco Cyber Threat Defense Solution biedt een uitstekende verdediging van het netwerk binnen de firewall.
– Het detecteert bedreigingen direct op de plaats waar deze plaatsvindt, waardoor de schade kan worden geminimaliseerd en verdere verspreiding direct kan worden voorkomen.
– Het zorgt voor een schaalbaar, breed inzetbaar en kosteneffectief meet- en analysesysteem binnen het gehele netwerk.
– Cisco Cyber Threat Defense Solution voorziet in een drastische vereenvoudiging van voorheen veelal handmatig uitgevoerde onderzoeken. Deze onderzoeken kostten voorheen niet alleen veel mankracht, maar kenden ook een grote kans op fouten en waren hierdoor onnodig duur.
– Het maakt gebruik van de reeds in het netwerk opgenomen Cisco-netwerkapparatuur.

Michel Schaalje, Technisch Directeur, Cisco Nederland