Stap 1 toelichting

Voor het vinden van bedreigingen zoals malware, APT’s (Advanced Persistent Threats) en ongeoorloofde toegang die door alle beveiligingen heen zijn gekomen heb je een speciale manier van detectie nodig. Bijna alle oplossingen zijn erop gericht om aanvallen af te weren of te detecteren. Wij gaan ervan uit dat je netwerk of endpoints al gehackt zijn en dat er al bedreigingen aanwezig zijn, zonder dat je dit weet. Om deze op te sporen gaan we dus een zeer geavanceerde vorm van verstoppertje spelen, waarbij we software inzetten om te helpen de bedreigingen zo snel mogelijk te vinden.

Het doel is om de zogenaamde Attacker Dwell Time of Breach Detection Gap (dit is de tijd tussen dat infectie en detectie) zo sterk mogelijk te reduceren, zodat de aanvaller minder tijd krijgt om te spioneren, te kopiëren, te verkennen of om andere vervelende dingen te doen die je bedrijf schade aan kunnen richten. Gemiddeld ligt deze tijd namelijk op 6 maanden en dat is natuurlijk veel te lang voor veel bedrijven.

Stap 1 in dit proces is dus om de HUNT agents naar de endpoints te sturen. Dit is software Infocyte, ontwikkeld door ex-militairen van de Amerikaanse luchtmacht die belast waren met het opsporen van verborgen bedreigingen. We installeren de server software binnen je netwerk en sturen vervolgens de jagers op pad. Dit proces is niet ingrijpend en het is een schaalbaar proces, dus geschikt voor kleine en zeer grote omgevingen.

Stap 2 toelichting

De HUNT agent start met het verzamelen van de informatie die nodig is om de juiste diagnose te kunnen stellen over de status van je eindpoints. Denk hierbij aan onderstaande zaken:

  • Actieve processen (modules, drivers, scripts, etc.)
  • In-Memory Executable Code (volatile memory analysis)
  • Auto-runs (Enumerate persistence mechanisms)
  • Executions Artifacts (shim cache, prefetch, superfetch)
  • OS Subversion (API hooks, abnormal configurations, disabled controls)
  • Privileged Accounts
  • Active Host Connections & Listeners

Alle informatie wordt in een database opgeslagen die zich binnen je network bevind. De HUNT agents verdwijnen automatisch van de endpoints wanneer ze klaar zijn met hun werk. Zo hoeft de IT afdeling geen tijd en energie meer te steken om de boel ‘op te ruimen’.

Technische details zijn HIER inzichtelijk

Stap 3 toelichting

Door Forensic State Analysis (FSA) toe te passen is het mogelijk om honderden of duizenden eindpoints te controleren in een paar minuten per endpoint (simultaan uiteraard). Dit om de conclusie te trekken of een endpoint ‘Gecompromitteerd’ of ‘Niet gecompromitteerd’ is.

Op het hoogste niveau graven we diep in het endpoint om te valideren 1) wat draait er actief op 2) wat is getriggerd om te starten (door een volhardend mechanisme).

Vervolgens kijken we of het OS of actieve processen gemanipuleerd zijn. Bijvoorbeeld; wat doet een rootkit om zijn aanwezigheid te verbergen, of wat een bedreiging die al aanwezig is doet om de security policies van het systeem uit te zetten.

Dit brengt zaken boven water zoals OS configuratie instellingen, of een API aanroep die door een verborgen proces wordt ‘gehaakt’ binnen het (volatile) geheugen.

Deze manier van detectie verschild sterk van analyses die gebaseerd zijn op gedrag, zoals Endpoint Detection and Response (EDR) of User Behavior Analytics (UBA) oplossingen. Deze houden alleen wijzigingen in het systeem of netwerk bij als events (nieuwe processen die opdoemen, een wijziging van een registry key, user privileges die ineens hoger worden, etc.)

FSA gaat een stuk dieper dan dat.

Voor een diepgaander vergelijk is HIER een datasheet beschikbaar die de verschillen duidelijk verwoord.

Neem voor meer informatie contact met ons op