Stap 1 toelichting

Voor het vinden van bedreigingen zoals malware, APT’s (Advanced Persistent Threats), etc. die door alle beveiligingen heen zijn gekomen heb je een speciale manier van detectie nodig. Bijna alle oplossingen zijn erop gericht om aanvallen af te weren of te detecteren. Wij gaan ervan uit dat je netwerk of endpoints al gehackt zijn en dat er al bedreigingen aanwezig zijn, zonder dat je dit weet. Om deze op te sporen gaan we dus een zeer geavanceerde vorm van verstoppertje spelen, waarbij we software inzetten om de bedreigingen zo snel mogelijk te vinden.

Het doel is om de zogenaamde Attacker Dwell Time of Breach Detection Gap (dit is de tijd tussen infectie en detectie) zo sterk mogelijk te reduceren, zodat de aanvaller minder tijd krijgt om te spioneren, te kopiëren, te verkennen of om andere vervelende dingen te doen die je bedrijf schade aan kunnen richten. Gemiddeld is deze tijd namelijk 6 maanden en dat is natuurlijk veel te risicovol.

Stap 1 in dit proces is om de HUNT agents naar de endpoints te sturen. Dit is software van Infocyte, ontwikkeld door ex-militairen van de Amerikaanse luchtmacht die belast waren met het opsporen van verborgen bedreigingen. We installeren de server software binnen je netwerk en sturen vervolgens de jagers op pad. Dit proces is niet ingrijpend en is schaalbaar, dus geschikt voor kleine als zeer grote omgevingen.

Stap 2 toelichting

De HUNT agent start met het verzamelen van de informatie die nodig is om de juiste diagnose te kunnen stellen over de status van je endpoints. Denk hierbij aan onderstaande zaken:

  • Actieve processen (modules, drivers, scripts, etc.)
  • In-Memory Executable Code (volatile memory analysis)
  • Auto-runs (Enumerate persistence mechanisms)
  • Executions Artifacts (shim cache, prefetch, superfetch)
  • OS Subversion (API hooks, abnormal configurations, disabled controls)
  • Privileged Accounts
  • Active Host Connections & Listeners

Alle informatie wordt in een database opgeslagen die zich binnen je netwerk bevindt. De HUNT agents verdwijnen automatisch van de endpoints wanneer ze klaar zijn met hun werk. Zo hoeft de IT afdeling geen tijd en energie meer te steken in ‘de boel op te ruimen’.

Technische details zijn HIER inzichtelijk

Stap 3 toelichting

Door Forensic State Analysis (FSA) toe te passen is het mogelijk om honderden of duizenden endpoints te controleren in een paar minuten per endpoint (simultaan uiteraard). Dit om de conclusie te trekken of een endpoint ‘Gecompromitteerd’ of ‘Niet gecompromitteerd’ is.

Op het hoogste niveau graven we diep in het endpoint om te valideren wat er actief op draait en welke processen getriggerd zijn om te starten.

Vervolgens kijken we of er binnen het OS actieve processen gemanipuleerd zijn.

Bijvoorbeeld:

  • wat doet een rootkit om zijn aanwezigheid te verbergen
  • of wat doet een bedreiging die al aanwezig om de security policies van het systeem uit te schakelen

Dit brengt zaken boven water zoals OS configuratie instellingen, of een API aanroep die door een verborgen proces wordt ‘gehaakt’ binnen het werkgeheugen.

Deze manier van detectie verschilt sterk van analyses die gebaseerd zijn op gedrag, zoals Endpoint Detection and Response (EDR) of User Behavior Analytics (UBA) oplossingen. Deze houden alleen wijzigingen in het systeem of netwerk bij als events (nieuwe processen die opdoemen, een wijziging van een registry key, user privileges die ineens hoger worden, etc.)

FSA gaat een stuk dieper dan dat en is een mooie aanvulling op EDR en/of UBA oplossingen.

Voor een diepgaander vergelijk is een datasheet beschikbaar die de verschillen duidelijk verwoord.

Neem voor meer informatie contact met ons op