Bescherming tegen bekende en onbekende bedreigingen
Cyber Threat Management platform
Management Summary Augustus 2015
Cybersecurity is meer dan technologie Wat hebben Sony, JP Morgan Chase, ASML en AT&T met elkaar gemeen? Deze bedrijven zijn onlangs gehackt. Klantgegevens en bedrijfsgeheimen werden gestolen met grote financiële verliezen, reputatieschade en, in sommige gevallen, het vertrek van het management tot gevolg.
De laatste jaren is het aantal IT-beveiligingsincidenten sterk gestegen. Digitale zwendel, fraude, spionage en afpersing komen veel vaker voor. Ook het soort cyberbedreigingen is veranderd. Bij onze intelligence-operaties zien we steeds vaker internationale criminele organisaties die onder bescherming van nationale overheden, of soms zelfs met behulp van die overheden, opereren. Dit hebben we sinds de oprichting van FOX-IT in 1999 niet op deze schaal meegemaakt. In een aantal opzienbarende spionagezaken hadden wij de leiding over het emergency response-proces. We zagen dat overheden gebruik maakten van zeer geavanceerde malware die speciaal was ontwikkeld om de modernste detectiemethoden te omzeilen. Uiteindelijk wisten criminele organisaties beslag te
Ronald Prins
leggen op deze geavanceerde kwaadaardige software. In handen van hackers die
CTO en medeoprichter
voor deze criminele organisaties werken, vormt malware een groot gevaar voor de
fox-it
economische en financiële belangen van bedrijven. Politiek gemotiveerde hackers kunnen zelfs de nationale veiligheid in gevaar brengen. Het kan de economische groei en geopolitieke relaties in gevaar brengen en via ‘the internet of things’ zelfs onze persoonlijke veiligheid. Wij zijn van mening dat de huidige cybersecurity-oplossingen onvoldoende bescherming bieden tegen dergelijke geavanceerde bedreigingen. Daarvoor is een meer holistische intelligence-gestuurde en operationele aanpak vereist. Bedrijven kunnen cyberdreigingen pas tegengaan als ze inzicht hebben in de specifieke gevaren die van toepassing zijn op hun organisatie. Met die inzichten kan een geïntegreerde cybersecurity-benadering worden ontwikkeld, toegesneden op deze dreigingen en het onderliggende bedrijfsrisico. Niet alleen de technische aspecten van bescherming komen hierbij aan de orde, ook de menselijke en de organisatorische. Want cybersecurity is veel meer dan technologie. In deze brochure vindt u onze benadering van cybersecurity en informatie over het Cyber Threat Management Platform, zodat u beter voorbereid bent als uw bedrijf doelwit wordt van geavanceerde cyberaanvallen.
2 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015
In 1999 richtte Ronald Prins samen met Menno van der Marel Fox-IT op om zich volledig te kunnen richten op het ontwikkelen van innovatieve beveiligingsoplossingen voor zeer kwetsbare omgevingen. Prins was daarvoor als wetenschappelijk onderzoeker verbonden aan het Nederlands Forensisch Instituut (NFI). Hij maakte naam door codes te kraken van cryptografische beveiligingssystemen. Daarnaast leverde Ronald een bijdrage aan nieuwe methoden en best practices voor het verkrijgen van digitale informatie in strafrechtelijk onderzoek. Prins studeerde toegepaste wiskunde aan de TU Delft en specialiseerde zich daarna in cryptografie.
Omgaan met het onbekende Omgaan met het onbekende... daarmee krijgen organisaties te maken als het om bescherming tegen cyberdreigingen gaat. De uitdagingen liggen vooral op het gebied van risicomanagement en -beperking. De mensen, processen en technologie die wij inzetten, zijn bestand tegen deze cyberdreigingen.
Nog maar een paar jaar geleden gebruikten de meeste aanvallers identieke tools en technieken. Door naar overeenkomende gegevens te zoeken en alle bekende informatie op te nemen in halfautomatische detectiesystemen konden we een redelijk ondoordringbare verdedigingslinie opwerpen. Tegenwoordig komt er veel meer bij kijken. We worden
Onbekende dreigingen
Bekende dreigingen Tijd
(Potentieel) risico en impact
Hoog
Laag
Hoog
Omvang intelligence
Laag
voortdurend geconfronteerd met onbekende spelers en nieuwe aanvalsvectoren, veranderde methodes en
afneemt en dat ze organisaties voornamelijk beschermen
tooling op maat. Een organisatie met een hoog risico-
tegen overlast. Ook zijn deze detectieoplossingen niet
profiel beschermen tegen cyberdreigingen is een waar
ontwikkeld als maatwerk voor een specifieke organisatie.
kat-en-muisspel geworden. Zodra een nieuw beveili-
Naarmate aanvallers behendiger worden met hun aan-
gingssysteem is geïmplementeerd, proberen hackers
valsinfrastructuur, wordt de levenscyclus van statische
het onmiddellijk te kraken. Daarom is het van belang om
informatie snel korter. Een ander probleem met de tradi-
de aard van de dreigingen en de bijbehorende risico’s te
tionele en huidige oplossingen is dat ze niet ontwikkeld
begrijpen. Bescherming tegen bekende dreigingen is niet
zijn om beveiligingsanalyses te ondersteunen. Wanneer
langer afdoende om vijanden een stap voor te blijven.
iets geblokkeerd is, verstrekken deze systemen doorgaans
Organisaties moeten ook voorbereid zijn op onbekende
geen context- of meetgegevens die de organisatie kunnen
dreigingen.
helpen het beveiligingsincident helemaal te doorgronden en ervan te leren.
Het verschil tussen bekende en onbekende dreigingen
Advanced Persistent Threats (APTs - geavanceerde
Tijd is de grootste gemene deler. Zelfs nieuwe en zeer
aanhoudende dreigingen) hebben een hoog risicoprofiel,
geavanceerde malware zoals Havex, Regin en technie-
maar zijn zelden bekend. Het duurt relatief lang voordat
ken als Quantum Insert worden uiteindelijk bekend. De
informatie over deze geraffineerde aanvallen bekend wordt.
uitdaging is dan ook het tijdsverschil tussen ‘bekend’ en
De doeltreffendheid van traditionele methodes neemt
‘onbekend’ zo klein mogelijk te maken.
daardoor snel af.
Traditionele en actuele oplossingen proberen zo veel mogelijk informatie over bekende dreigingen op te nemen
Om APTs af te kunnen slaan, dienen organisaties niet
in detectie- en blokkeermechanismen, zoals bijvoorbeeld
uitsluitend op leveranciersinformatie te vertrouwen.
IP-adressen. Op die manier wordt in elk geval een basisbe-
Ze moeten de mogelijkheid hebben om vanuit hun eigen
veiligingsniveau in stand gehouden. Het probleem met deze
omgeving zowel bekende als onbekende dreigingen te
oplossingen is echter dat de doeltreffendheid ervan snel
detecteren.
fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 3
Ken uw tegenstanders
Intelligence Voor een goede bescherming is het noodzakelijk te weten wie de vijand is en wat zijn bedoelingen zijn. Het bedrijfsmanagement moet op de hoogte zijn welke cyberbedreigingen op de organisatie afkomen en hoe die zich verhouden tot hun kritische bedrijfseigendommen. Met die inzichten kan een geïntegreerde cybersecurity-benadering worden ontwikkeld, toegesneden op de specifieke risico’s van de organisatie. Onder een geïntegreerde benadering verstaan we naast de technische aspecten, ook de medewerkers en de organisatie. Op operationeel niveau betekent dit dat alle informatie en kennis over huidige dreigingen en dreigingsactoren wordt opgeslagen. Deze informatie wordt gebruikt om
3 Dreigingsanalyse intelligence
Preve nt
8 r ee nc g ava ana m Ge
d em dreig en ings t -
Intel ligence (R)
7 Emer gency response en recherchewerk
6
in
te formuleren.
verdedigingslinie op te werpen tegen het totale dreigingslandschap en de dekking tegen specifieke dreigingen te verhogen. Daarnaast biedt een gelaagde verdediging
rit na y ge me nt
R e sp o ns
een passende dreigingsdekking bij security-operaties
Preventie Een gelaagde verdediging heeft tot doel een
5 ationele security Oper monitoring
ie
(D) nce ige ell nt
I
)
ie tect De
Intellig enc e( P
Ass et & 2 ma kwe na g
Dr eig in 4 (tr g ia
tie ec et sd e) g
dshei aar tsb ent em
1 ategie, -beleid r t s S C en -architectuur
Doeltreffende security-operaties Ontwikkeld op basis van ervaring met Incident Response
cu Se a tm en cid
meer kans op detectie en snelle, goed getimede mitigatie. Een gelaagde verdediging is de basis voor het formuleren van de cybersecurity-strategie, het architectuurontwerp en het beleid. Na implementatie volgt actieve monitoring en controle van kritieke bedrijfseigendommen. Dit houdt bijvoorbeeld in dat kwetsbare punten voortdurend gescand worden om te voorkomen dat aanvallers toegang krijgen tot de organisatie. Detectie Het opsporen van een aanval valt of staat met de intelligence verweven in de gebruikte oplossing om bedreigingen te detecteren. Steeds vaker betekent dit dat
4 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015
Tegenstanders
Onbekende dreigingen
Bekende dreigingen
bedrijven moeten leren om onbekende dreigingen in hun omgeving op te sporen. Dat vraagt om een operationele mogelijk maakt. Dreigingsinformatie wordt verwerkt in testen op doeltreffendheid en efficiënt gebruik op het
D
ie
Dreigingsinformatie
ctie ete
modellen om dreigingsdekking te kunnen meten en te
Bekende dreigingen
Preve nt
omgeving die intelligence-gestuurde beveiligingsanalyses
managementplatform. Bij inzet van nieuwe dreigingsdekking, onderzoekt en optimaliseert het security analytics team voortdurend de output van de dreigingsdetectie.
R e sp o ns
Het security analytics team bestaat uit specialisten: dreigingsanalisten met een grondige kennis van de dreigingsomgeving (actoren, aanvalsvectoren en modus
Tijd
operandi, etc.). De uitkomsten van het detectieproces worden vervolgens als input gebruikt voor de operationele security-monitoring. Het biedt relevante context aan de analisten die kennis van de IT-omgeving van de
Cyber Threat Management
Traditionele producten
organisatie hebben. Zij zorgen door middel van triage en recherchewerk dat beveiligingsincidenten (op prioriteit) op hun mogelijke bedrijfsrisico worden beoordeeld. Indien nodig, wordt er een passende respons in gang gezet. criminaliteit, spionage of erger. Bij crisissituaties worden Respons Als beveiligingsincidenten door middel van
er noodmaatregelen getroffen en een onderzoeksproces
triage en een eerste onderzoek zijn gevalideerd, wordt
in gang gezet. In sommige gevallen kan het bovendien
het responsproces in gang gezet. Als er geen sprake is
nodig zijn het gedrag van de aanvaller te observeren
van ‘false positives’, is een snelle respons vereist. Het
om intelligence te verzamelen, voordat een specifieke
incident response managementproces is afhankelijk van
dreiging wordt uitgeschakeld. Dergelijke geavanceerde
de ernst van het incident. De meeste incidenten zul-
technieken voor dreigingsmanagement zijn hoofdzakelijk
len relatief weinig invloed op het bedrijf hebben omdat
voorbehouden aan organisaties met een ruime ervaring
ze meteen bij binnenkomst worden ontdekt. Sommige
op het gebied van cybersecurity.
kunnen echter een ernstig bedrijfsrisico met zich meebrengen, zoals grootschalige data-inbreuk, financiële
fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 5
Denial-
Onderzoek naar gegevensinbreuk op we ba
Overige 4 %
age <1 %
Cyberspion
Ge
Preve nt
% es 46 f verli
Point-of-Sale-inbraken 9%
plicaties 3 %
%
De
s t al o ke die f Fysie
6 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015
g
op webap
-o int
%
%
Po
r
75
en recher
ers 15
inb
le -
a f-S
en ak
nia
l-o
aangegeven in het DBIR-rapport.
r insid
f-S e
r vi
grotere spionagedreiging voor de publieke sector dan
Misbru ik doo
ce -a
an v
Cy b
cyberspionage. Op basis van onze gegevens zien wij een
heid szor
2%
na er s pio
r ig ve O
lende uitzondering, namelijk incidenten in verband met
zon d
fout en 1
e
ti e ca
e
met dat van fox-it. Wij constateren slechts één opval-
all
pli
r se
Aa
we
p ba
7 Emerg en c y
% s1
D ive
nv
gevaren wereldwijd en per sector komt exact overeen
p no
8%
<1 %
Het beeld wat in het rapport naar voren komt van cyber-
oo
rs
re 3
M
kd rui isb
e sid r in
ew a
partij.
lie
Crim
(en niet alleen blootgesteld) zijn aan een onbevoegde
v er
% s1
%
l of
a fst die eke i s Fy
Intel lige
dd em reig en ings t
f
en
bevestigd is dat gegevens daadwerkelijk bekendgemaakt
er s e
% en 1 o ut
Ski mm
Div
3. Bekendmaking van gegevens: een inbreuk waarbij
%
R e sp
%
lijke blootstelling van gegevens tot gevolg heeft;
re 1
ew a
ie
<1
Crim
)
8 r ee nc g ava ana m
2. Inbreuk een incident dat de bekendmaking of moge-
e ca h or
gevaar brengt;
en 1 %
Dreigings intellig
Ge
Skimm
3
Aanvallen
en 1 0 %
n2
-aanvall
ge
De
vertrouwelijkheid of beschikbaarheid van informatie in
Service nial-of-
%
1. Incident een beveiligingsvoorval dat de integriteit,
n en Reize
worden als volgt gedefinieerd:
10
het aangevallen bedrijf hebben. Beveiligingsincidenten
alle
tot data-infiltratie leiden, kunnen wel een grote impact op
Intellig enc e( P
Ass et & 2 ma kwe na g tegie, -beleid CS-stra en -architectuur
Publ ieke se
plicaties <1 %
1
professionals in cyberbeveiliging: ook incidenten die niet
n drijve
seid h r aa tsb ent em
Point-of-Sale-inbraken 0%
sinbreuk. Deze ontwikkeling weerspiegelt de ervaring van
e utsb nn e e i erg
%
cto r
op webap
Overige 3 %
En
0%
%
% en 0
%
2%
%
%
Skimm
3%
0
Het DBIR laat zien dat beveiligingsincidenten niet langer beperkt blijven tot bevestigde gevallen van gegeven-
en ak
ers 2 4
es 1 9
1%
rs
r inb le -
f verli
Aanvallen
dan 63.000 bevestigde beveiligingsincidenten.
<1
lies
e sid
a f-S
wereld. Het DBIR is gebaseerd op een dataset van meer
1%
en
<1
ge
e
4%
stal o
r insid
Ski mm
val l en
2%
v er
r in
-o int
Misbru ik doo
an
na
ten
of
oo
Po
tieve publieke en private organisaties van over de hele
ke die f
ce -a
er s pio
fou
t al
d uik sbr
%
Report (DBIR) uit, met bijdragen van vijftig representa-
Fysie
r vi
er s e
Mi
8 s3
Jaarlijks brengt Verizon het Data Breach Investigations
fout en 3
re 2
Cy b f-S e
Div
e ati lic
i ef s ed i ek Fy s
pp
Inzicht in het dreigingslandschap
r se
ew a
l-o
r ig
age 7 % Cyberspion
en
D ive
Crim
nia
ve
14 % vallen ice-aan
all
1% re 3 ew a
nv O
De
of-Serv
Crim
Aa
Het Verizon Rapport
plicaties op webap
v al l en
85% Totaal extern ce -a
an
15% Totaal intern
r vi
65% Verbonden partij
f-S e
en
l-o
Ski mm
De
nia
16% Ordehandhaving 8% Antivirus
%
%
26
22
2% NIDS
r ig ve
Cy b
sanalyse gence
6
%
%
O
inb
en ing
<1
%
Po
-o int
f-S
ale
nv
1
4%
8%
Dr eig ing 4 (tr ia
M
lle
a
Div
y response rchewerk
tal
1% Onbekend
rs
1% Anders v
of
es erli
1% Klant <1% Audit
te fou
n
Crim
Skimm
Stijging van cybersecurity-uitgaven
re
ew a
Diverse studies tonen aan dat er een grotere bewustwor-
en
n -aanvalle Service enial-of24 % D
onage
ding van cyberdreigingen en aanverwante risico’s is en dat de uitgaven aan cybersecurity significant zijn gestegen. Dit heeft echter nog niet geleid tot een evenredige daling van het aantal beveiligingsincidenten (zie diagram). huidige cybersecurity-strategieën en –implementatie te
9 % Overige
wensen overlaat. Organisaties kunnen de toenemende cyberdreiging pas tegengaan als ze inzicht hebben in
1 % Point-of-Sale-inbra
ken
de voor hen specifieke gevaren. Vanuit dat inzicht kan 9 % Aanva
lening
llen op web
6%M 4%F
Za kel ijke die ns
ri an ty ag em en t
1% Logcontrole
ba
We kunnen concluderen dat de doeltreffendheid van de
3% 3%
<1 %
D i ve
Crim
Ski mm
isbruik d
ysieke
r se
oor in
applicaties
l of v e
ontwikkeld, toegesneden op specifieke dreigingen en het onderliggende bedrijfsrisico. Daarbij komen de tech-
siders
diefst a
een geïntegreerde cybersecurity-benadering worden
nische, menselijke en organisatorische aspecten van bescherming aan de orde.
rlies
Organisaties kunnen de risico’s voor hun bedrijfsac-
fout en
tiviteiten aanzienlijk verminderen door gespecialiseerde
ew a
re
en gerichte operationele vaardigheden op te bouwen of in
en
te huren op het vlak van intelligence, preventie, detectie en respons. Deze intelligence-gestuurde, operationele benadering kijkt naar bekende dreigingen en onderzoekt
8
ail Ret
2% Gemeld door gebruiker
s
rspi 30 % Cybe
tver
7
er s e
ti e ca
5
cu Se m nt e d i inc
oo
li pp
e sid r in
i ef s ed i ek Fy s
<1 %
ctie
6
we
9%
du Pro
ence (R)
p no
kd rui isb
2%
tionele security Opera monitoring
p o ns
Aa
4%
tie ec et sd ) ge
ie tect De
(D) nce ige ell nt
I
r
en ak
Bron: Verizon DBIR 2014
3
dien st v er l
<1
Financ iële
e
er s pio
na g
e
r insid ers 3% F ysieke diefst al of v erlies 5% D ive r se fout en 4% Crim ew a re
(n=302)
7% M isbruik do o
27 % Aan vallen
ken 1 % Point-of-Sale-inbra
Top 10 ontdekkingsmethodes binnen cyberspionage
%
O
37 ve
r ig
e
29
%
Cy b
2%
2%
na
aanwijzingen voor onbekende dreigingen. De doeltrefDe
ge
nia
l-o
fendheid van de investeringen in cybersecurity kunnen f-S e
r vi
zodoende sterk worden verbeterd.
ce -a
an
val l en
Div
2% Crim
re
kimm
ew a
6%S en
pionage <1 % Cybers
10 % Overige
en ak br -in ale f-S -o int Po % es ati 31 lic pp ba we op en all nv rs Aa de % nsi i 10 or do uik lies sbr v er Mi of tal 4% i ef s ed i ek Fy s ten fou er s e
er s pio
%
33 % D enial-o e f-Servic -aanvall en
fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 7
Hoe u uw werkzaamheden met succes kunt uitvoeren Aan de hand van de hierboven geschetste uitdagingen en conclusies breidt Fox-IT haar bestaande cybersecurity-technologie uit. Wij ontwikkelen voortdurend extra (geïntegreerde) functies en efficiëntere processen om deze nieuwe uitdagingen aan te gaan.
Gedreven door de geschetste uitdagingen en onderzoe-
1. Cyber Threat Management portal
ken, bouwt Fox-IT voort op de door haar ontwikkelde
Deze portal dient als de gateway naar alle onderliggende
cybersecurity-technologie. Wij voegen voortdurend extra
systemen in de cyber threat management-omgeving.
functies en efficiëntere processen toe als antwoord op
De portal wordt door onze eigen analisten of die van
nieuwe uitdagingen. Ons intelligence-gestuurde Cyber
onze partners (managed service deployment) of door
Threat Management platform is de onderliggende
eindgebruikers (hybrid service deployment) gebruikt om
technologie voor het uitvoeren van geavanceerde
op diverse niveaus cybersecurity-operaties uit te voeren.
cybersecurity-operaties.
Bovendien leidt de portal technische en operationele informatie af voor tactisch en strategisch beheer. Het
Onze ervaring leert dat de meeste klanten al een hele
niveau bepaalt de functionaliteit, informatievorm en
reeks oplossingen hebben geïmplementeerd, zoals anti-
abstractie.
virusprogramma’s, firewalls en basale intrusion preven-
tion. Veel bedrijven kiezen er vervolgens voor de output
voor dreigingsanalyse met een geïntegreerde workflow.
van deze verschillende oplossingen in te voeren in een
Vanuit deze omgeving kunnen ze beveiligingsincidenten
Security Information and Event Management (SIEM)-
bekijken en onderzoeken. Daarnaast biedt de omgeving
toepassing, die de gegevens daarna correleert. En dat
de analisten de mogelijkheid om dreigingsonderzoek te
werkt, tot op zekere hoogte. SIEM-toepassingen blinken
doen en intelligence toe te passen op het totale platform.
De operationele laag biedt analisten een omgeving
uit bij bekende gebruikssituaties, maar hebben niet de vereiste diepgang om de onderzoeks- en intelligence-cycli
Operationeel
te kunnen uitvoeren die nodig zijn voor geavanceerd
De portal biedt een operationele omgeving die de dage-
dreigingsmanagement. Een van de redenen daarvoor is
lijkse beveiligingsoperaties stroomlijnt en de beveiliging
dat SIEM-toepassingen geen feedback-lus hebben naar
doeltreffender maakt door gebruik te maken van een
de bronnen die de gegevens genereren (of logbronnen).
gelaagd beschermingsmodel. Met dit model kunnen
Hiervoor hebt u zichtbaarheid nodig en de mogelijkheid
dreigingen in elk stadium van de aanval worden voor-
om output te controleren en te manipuleren, vooral op
komen of opgespoord. De workflows in deze omgeving
netwerk- en hostniveau. Daarom heeft Fox-IT oplossingen
zijn gebaseerd op onze jarenlange ervaring met het uit-
voor beide niveaus ontwikkeld. De zichtbaarheid kan pas
voeren van cybersecurity-operaties. Ook ons Security
echt goed worden benut als de verschillende oplossingen
Operations Center maakt hier gebruik van.
op een logische manier samenwerken. Om dit mogelijk te maken, hebben we de volgende toepassingen ontwikkeld:
Tactisch & strategisch De portal brengt op tactisch en strategisch niveau intelligence en operationele gegevens samen. Het resultaat
8 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015
Verwerking & operaties Intelligence Contextueel
Toegepast
Gegevensvastlegging Cyber Threat Management
Cyber Threat Management
Onderdelen Forensische bewaring
Intelligence- & analysegestuurd
Bidirectioneel
Operaties SIEM Normale bronnen
SIEM Unidirectioneel
Gebruik casusgestuurd
is een zeer bruikbaar overzicht dat het actuele dreigings-
sector of organisatie). Hierdoor is het vaak mogelijk om
landschap van een organisatie laat zien. Hierdoor neemt
te achterhalen wat de bedoelingen van een aanvaller
het aantal waarschuwingen dat de security-teams tijdens
zijn. Als er een waarschuwing is ontvangen, wordt de
de monitoring en incidentrespons verwerken af en kun-
informatie eerst gecorreleerd en daarna toegankelijk
nen ze eenvoudiger worden geprioriteerd. De tactische
gemaakt voor de analist.
respons profiteert van de samenvoeging van de op intelligence gebaseerde context en beveiligingsincidenten.
Toegepaste intelligence
Op strategisch niveau levert de portal gegevens
Contextuele informatie wordt vertaald in detectiemecha-
aan de Chief Information Security Officer en het senior
nismen voor gebruik in netwerk- en endpoint-systemen. In
management. De informatie over het dreigingsland-
tegenstelling tot contextuele informatie, die de aanvaller
schap kan zowel worden gebruikt voor de beperking van
en zijn of haar modus operandi beschrijft, is toegepaste
cyberdreigingen als voor risicomanagement. Door deze
intelligence erop gericht om deze te kunnen detecteren.
gegevens te combineren met de contextuele intelligence
Deze informatie wordt bijgehouden in een speciaal daar-
ontstaat inzicht in de motieven en bedoelingen van de
voor ontworpen systeem dat een overzicht geeft van de
aanvallers. Met deze inzichten zijn organisaties in staat
dreigingen waartegen de organisatie is beschermd, en
beter en effectiever te reageren op beveiligingsincidenten
hoe dit is vastgesteld. Dit is een belangrijk aspect om de
en kunnen zij proactief risico’s managen.
vertaalslag te kunnen maken van het operationele niveau naar een strategisch overzicht.
2. Intelligence als kernelement
Toegepaste intelligence komt tot stand door waar-
Intelligence vormt de ruggengraat van het platform en
schuwingen en incidenten te correleren, en is on-demand
wordt geleverd via ons Cyber Threat Management portal.
beschikbaar via het Cyber Threat Management portal. Bij
De intelligence-module levert twee soorten input:
zowel de contextuele als toegepaste rapportages is het mogelijk om vragen te stellen aan onze dreigingsanalisten
Contextuele intelligence
over de gepresenteerde informatie.
In combinatie met de ervaring van een analist, stelt contextuele intelligence een organisatie in staat goed
3. Netwerkmodule
geïnformeerde besluiten te nemen over aanvallers, hun
Op basis van onze bestaande netwerkmonitoringservice
werkwijzen en de infrastructuur waarvan zij gebruik
biedt de netwerkmodule een brede dekking voor het hele
maken. Deze informatie bevat vaak zeer gedetailleerde
netwerk. De primaire functie van de netwerkmodule is
beschrijvingen van belangrijke spelers in het huidige
het onderzoeken en detecteren van bekende (regels) en
dreigingslandschap, en is algemeen van aard (toepasbaar
onbekende (heuristiek) dreigingen. De module beschikt
op alle organisaties), of specifiek (toepasbaar op een
daarom over ingebouwde mogelijkheden voor datareten-
fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 9
“De Nucleaire Veiligheidstop in 2014 was een enorme uitdaging voor onze stad. Vanwege het intensieve diplomatieke verkeer wisten we dat de kans bestond dat we zouden worden aangevallen door geraffineerde cybervijanden. Daarom hadden we de beste experts op het gebied van cybersecurity nodig. Voor ons was het vanzelfsprekend om in zee te gaan met Fox-IT, onze vertrouwde partner binnen The Hague Security Delta. Het resultaat was een succesvolle, veilige top, mede dankzij de onvermoeibare inzet van Fox-IT achter de schermen.” Jan Willem Duijzer CIO van de Gemeente Den Haag
tie ten behoeve van forensisch onderzoek. Bovendien kan
zorgt er enerzijds voor dat organisaties een aanval of
het detectiebeleid snel worden aangepast naar aanleiding
inbreuk opmerken, en levert anderzijds nieuwe intelli-
van incidenten uit andere modules.
gence op door onbekende dreigingen zichtbaar te maken.
4. Endpoint module
6. Logmodule voor SIEM-integratie
De endpoint-module biedt preventie en maakt dreigingen
De Cyber Threat Management portal kan via de ‘open
zichtbaar voor hosts (endpoints en servers). Het maakt
common event format’-standaard communiceren met
gebruik van een ‘signature-less’ benadering om hosts te
bestaande SIEM-technologie. We kunnen incidenten
voorzien van robuuste preventie- en detectielagen waar-
invoeren in diverse SIEMs en prioriteiten toekennen aan
mee bekende en onbekende dreigingen kunnen worden
de operationele security-monitoringactiviteiten van de
opgespoord. Daarnaast vormt de module een integraal
klant. De mogelijkheid om specifieke SIEMs te voorzien
onderdeel van de onderzoeks- en responsfunctie. De
van intelligence-context is momenteel in ontwikkeling.
module maakt het mogelijk maatwerkbeleid en -regels
De meeste SIEMs gebruiken correlatieregels, maar wij
te formuleren voor specifieke dreigingen en beschikt
verwachten dat het mogelijk is deze bestaande regels
bovendien over functies voor herstel op afstand. Waar
te verbeteren door zowel contextuele als toegepaste
de netwerkmodule de Cyber Threat Management por-
intelligence toe te passen.
tal de nodige breedte geeft, zorgt de endpoint-module voor diepte. 5. Adaptive Defense module Omdat cyberaanvallen een steeds geavanceerder karakter krijgen, worden organisaties gedwongen om beveiligingstools in te zetten die gerichte aanvallen door onbekende aanvalsvectoren of –methodes kunnen opsporen. De Adaptive Defense-module biedt de mogelijkheid om nog onbekende aanvallen te detecteren en vormt een aanvulling op andere modules.
De Adaptive Defense-module is eigenlijk een ‘loknet-
werk’ dat bestaat uit fake endpoints en servers. Wanneer op deze machines activiteit wordt waargenomen, gaat het per definitie om een afwijking en een directe aanleiding om verder te onderzoeken. De Adaptive Defense-module
10 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015
De tien belangrijkste voordelen Het Cyber Threat Management portal is ontwikkeld in samenwerking met onze klanten. Het oplossingenplatform geeft antwoord op een aantal uiteenlopende uitdagingen:
1. Intelligence over aanvallers wordt op een inzichtelijke manier aangeboden zodat
Als u meer wilt weten
klanten in staat zijn een tactiek te ontwikkelen om hun zakelijke belangen tegen
over Cyber Threat
aanvallers te beschermen.
Management solutions,
2. Verbeterde communicatie tussen de beveiligingsteams, het Security Operations
neem dan contact
Center, het management en de directie.
met ons op:
3. Eén geïntegreerd platform dat netwerk-, cloud- en endpoint-beveiliging samenbrengt
Klanten
in een gemeenschappelijke architectuur, zodat analisten geavanceerde cyberaanvallen
Marcel van Oirschot
kunnen voorkomen, opsporen en erop kunnen reageren.
Sales Director
4. Een operationele omgeving die de dagelijkse beveiligingsoperaties stroomlijnt en
[email protected]
de doeltreffendheid van de beveiliging bevordert. Via een meerlaags verdedigingsmodel Partnerships
kunnen dreigingen in elk stadium van de aanval worden voorkomen of opgespoord. 5. Een omgeving die beveiligingsanalisten in alle aanvalsstadia zichtbaarheid biedt, zodat bekende en onbekende dreigingen trefzeker kunnen worden onderzocht voor ze
Jurjen Harskamp Chief Strategy Officer
[email protected]
het bedrijf raken. 6. Minder security-waarschuwingen: door gebruik te maken van contextuele dreigingsinformatie, prioriteiten toe te kennen aan de waarschuwingen en de tactische respons te verbeteren, wordt overbelasting van beveiligingsteams voorkomen. 7. Overgang van een reactief naar een proactief beveiligingsmodel op basis van risicomanagement, wat leidt tot een effectievere en beter geïnformeerde respons op beveiligingsincidenten. 8. Een hybride service delivery-model biedt klanten de mogelijkheid om te starten met een volledig extern beheerd systeem. Naarmate klanten vaardiger worden in het omgaan met cyberdreigingen, kunnen ze geleidelijk aan de werkzaamheden overnemen. 9. Intelligence voor beveiligingsincidenten om inzicht te krijgen in de motieven en bedoelingen van aanvallers en op basis daarvan prioriteiten toe te kennen aan beleid en beveiligingsinvesteringen. 10. Inzicht in wat de dreigingsinformatie ondervangt door transparantie te bieden over de toegepaste intelligence op het platform en welke aanvallen hiermee worden afgeslagen.
fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 11
FOX-IT • fox-it werd in 1999 opgericht als een consultancybedrijf voor Forensische Expertise de naam fox-it is afgeleid van Forensische Experts. • Niet lang na de oprichting werd fox-it door een grote telecomprovider gevraagd om een netwerkmonitoring-dienst te leveren. Dit leidde tot de opening van het eerste Cyber Security Operations Center in Nederland. Eén van de eerste in Europa. • Sindsdien is fox-it uitgegroeid tot een van de grootste cybersecurity-bedrijven van Europa. • fox-it is werkzaam op drie terreinen: Cyber Threat Management (oplossingen gericht op het beperken van cyberdreigingen met professionele dienstverlening, managed security services en technologie), Web/Mobile event analytics (oplossingen gericht op het beperken van financiële risico’s bij online betalingstransacties) en High Assurance (oplossingen die betrouwbare communicatie mogelijk tot de hoogste rubriceringsgraad mogelijk maken). • fox-it is ingeschakeld bij tal van high profile Incident Response-gevallen. De meeste daarvan zijn geheim, maar DigiNotar en KPN zijn algemeen bekende zaken. • De ervaring die fox-it heeft opgedaan met professionele dienstverlening wordt ingezet voor doorlopende optimalisatie van de managed security services en het onderliggende technologieplatform. Dit stelt ons ook in staat om preventie, detectie en respons met betrekking tot bekende en onbekende cyberdreigingen te verbeteren.
FOX-IT
204-001-NL
Olof Palmestraat 6, Delft
t 015 284 79 99
Postbus 638
f 015 15 284 79 90
2600 AP Delft
e
[email protected]
www.fox-it.com