Rapport Intel Security benoemt belangrijkste factoren in het voorkomen van data-inbraken

McAfee, onderdeel van Intel Security, presenteert een nieuw rapport, genaamd When Minutes Count. Daaruit blijkt onder andere dat slechts een kwart van de organisaties vertrouwen heeft in het eigen vermogen om een aanval binnen enkele minuten te detecteren. Bijna de helft van organisaties denkt dat het dagen, weken of zelfs maanden kan duren voordat verdacht gedrag op het netwerk wordt gedetecteerd. Het rapport bekijkt in hoeverre organisaties in staat zijn om doelgerichte aanvallen te detecteren en af te slaan. Het rapport benoemt ook de acht belangrijkste aanvalsindicatoren (‘Indicators of Attack’) en onderzoekt wat de beste aanpak is om proactief te kunnen reageren bij incidenten. Verder wordt duidelijk hoeveel effectiever organisaties zijn wanneer ze aanvalsactiviteiten in real-time analyseren en beschikken over actuele informatie. Zo kunnen ze de ernst van dreigingen beter inschatten en zijn ze beter in staat om prioriteiten toe te kennen aan incidenten.

In het kader van dit rapport is er in opdracht van Intel Security een onderzoek uitgevoerd door Evalueserve. Uit dit onderzoek blijkt dat het merendeel van de organisaties betwijfelt dat ze in staat zijn om doelgerichte aanvallen tijdig af te slaan. Zelfs organisaties die zeer goed zijn voorbereid op dergelijke doelgerichte aanvallen, hebben tijd nodig om de grote aantallen beveiligingsmeldingen te analyseren. Dit draagt bij aan een gevoel van urgentie en wijst de behoefte aan creatieve benaderingen om aanvallen eerder te detecteren en effectiever tegen te gaan.

Enkele van de belangrijkste uitkomsten van het onderzoek:
•    74% van de respondenten geeft aan dat doelgerichte aanvallen een primaire beveiligingszorg zijn voor hun organisatie.
•    58% van de organisaties heeft vorig jaar 10 of meer aanvallen onderzocht.
•    Slechts 24% van de organisaties heeft vertrouwen in het eigen vermogen om een aanval binnen enkele minuten te detecteren. Bijna de helft zegt dat het dagen, weken of zelfs maanden kan duren voordat verdacht gedrag op het netwerk wordt gedetecteerd.
•    78% van de organisaties die wel aanvallen binnen enkele minuten weet te detecteren, maakt gebruik van een proactief, real-time Security Information and Event Management (SIEM) -systeem.
•    De helft van de ondervraagde organisaties geeft aan weliswaar adequate tools en technologieën voor een snellere respons in huis te hebben, maar dat belangrijke aanvalsindicatoren niet worden gefilterd uit de berg beveiligingsmeldingen. Daardoor komt de last van het doorzoeken van dit enorme volume aan dreigingsinformatie terecht op de schouders van de IT-teams.

“Je kan alleen de overhand krijgen op aanvallers wanneer je de tijd terugdringt die verstrijkt voordat een aanval wordt gedetecteerd”, zegt Wim van Campen VP McAfee Noord- en Oost-Europa, onderdeel van Intel Security. “Wanneer het filteren van een enorme hoeveelheid beveiligingsmeldingen en aanvalsindicatoren kan worden vereenvoudigd via real-time analyses, krijg je beter en eerder inzicht in relevante events. Op basis daarvan kan je vervolgens sneller stappen nemen om aanvallen af te slaan.”

Omdat het erg belangrijk is om de belangrijkste indicatoren van een aanval snel te identificeren, heeft Intel Security een lijst van de acht meest voorkomende aanvalsactiviteiten opgesteld:

1.    Interne systemen communiceren met bekende kwaadaardige bestemmingen op het internet, of met een land waarmee de organisatie op dat moment helemaal geen zaken doet.
2.    Interne systemen communiceren met externe systemen via ongebruikelijke netwerkpoorten of via poorten die normaal gesproken niet bij het gebruikte protocol horen. Een voorbeeld is het verzenden van command shell (SSH) opdrachten via poort 80, een poort die normaal gesproken alleen voor webverkeer (HTTP) wordt gebruikt.
3.    Publiek toegankelijke systemen of systemen die in een ‘demilitarized zone’ (DMZ) zijn geplaatst, proberen te communiceren met interne systemen. Op deze manier proberen aanvallers via deze systemen van buiten naar binnen te komen en weer terug. Zo kan data naar buiten worden gebracht of zijn interne systemen op afstand toegankelijk. Hiermee wordt de beschermende waarde van een DMZ teniet gedaan.
4.    Malware-detectiemeldingen buiten de reguliere kantoortijden (bijvoorbeeld ’s nachts of in het weekend), kunnen een indicatie zijn van een besmet systeem.
5.    Netwerkscans door interne systemen die in korte tijd proberen te communiceren met meerdere andere systemen, kunnen een indicatie zijn dat een aanvaller zich binnen het netwerk aan het verplaatsen is.
6.    Meerdere beveiligingsmeldingen van hetzelfde systeem of meldingen van verschillende systemen binnen hetzelfde subnet in een periode van 24 uur, zoals meerdere mislukte pogingen om in te loggen.
7.    Nadat malware van een systeem is verwijderd, wordt het binnen enkele minuten opnieuw besmet. Dit soort herhaaldelijke malwarebesmettingen zijn een signaal dat er een rootkit of een persistente dreiging actief is.
8.    Een gebruikersaccount dat binnen enkele minuten vanaf meerdere regio’s op meerdere systemen probeert in te loggen, is een indicatie dat de logingegevens van deze gebruiker zijn gestolen, of dat deze gebruiker kwaad in de zin heeft.

“Real-time, geïntegreerde SIEM-technologieën zorgen ervoor dat er minder tijd verstrijkt tussen de detectie van een aanval en een proactieve respons. Dit is mogelijk door aanvalsindicatoren contextueel te analyseren en vervolgens automatisch – volgens vooraf gedefinieerde beleidsregels – maatregelen te laten nemen”, vervolgt Wim van Campen. “Wanneer organisaties in staat zijn om sneller aanvallen te detecteren en te reageren, en te leren van meldingen, zijn ze niet langer een prooi, maar worden ze de jager.”