Bescherming tegen bekende en onbekende bedreigingen. Cyber Threat Management platform

Bescherming tegen bekende en onbekende bedreigingen

Cyber Threat Management platform

Management Summary Augustus 2015

Cybersecurity is meer dan technologie Wat hebben Sony, JP Morgan Chase, ASML en AT&T met elkaar gemeen? Deze bedrijven zijn onlangs gehackt. Klantgegevens en bedrijfsgeheimen werden gestolen met grote financiële verliezen, reputatieschade en, in sommige gevallen, het vertrek van het management tot gevolg.

De laatste jaren is het aantal IT-beveiligingsincidenten sterk gestegen. Digitale zwendel, fraude, spionage en afpersing komen veel vaker voor. Ook het soort cyberbedreigingen is veranderd. Bij onze intelligence-operaties zien we steeds vaker internationale criminele organisaties die onder bescherming van nationale overheden, of soms zelfs met behulp van die overheden, opereren. Dit hebben we sinds de oprichting van FOX-IT in 1999 niet op deze schaal meegemaakt. In een aantal opzienbarende spionagezaken hadden wij de leiding over het emergency response-proces. We zagen dat overheden gebruik maakten van zeer geavanceerde malware die speciaal was ontwikkeld om de modernste detectiemethoden te omzeilen. Uiteindelijk wisten criminele organisaties beslag te

Ronald Prins

leggen op deze geavanceerde kwaadaardige software. In handen van hackers die

CTO en medeoprichter

voor deze criminele organisaties werken, vormt malware een groot gevaar voor de

fox-it

economische en financiële belangen van bedrijven. Politiek gemotiveerde hackers kunnen zelfs de nationale veiligheid in gevaar brengen. Het kan de economische groei en geopolitieke relaties in gevaar brengen en via ‘the internet of things’ zelfs onze persoonlijke veiligheid. Wij zijn van mening dat de huidige cybersecurity-oplossingen onvoldoende bescherming bieden tegen dergelijke geavanceerde bedreigingen. Daarvoor is een meer holistische intelligence-gestuurde en operationele aanpak vereist. Bedrijven kunnen cyberdreigingen pas tegengaan als ze inzicht hebben in de specifieke gevaren die van toepassing zijn op hun organisatie. Met die inzichten kan een geïntegreerde cybersecurity-benadering worden ontwikkeld, toegesneden op deze dreigingen en het onderliggende bedrijfsrisico. Niet alleen de technische aspecten van bescherming komen hierbij aan de orde, ook de menselijke en de organisatorische. Want cybersecurity is veel meer dan technologie. In deze brochure vindt u onze benadering van cybersecurity en informatie over het Cyber Threat Management Platform, zodat u beter voorbereid bent als uw bedrijf doelwit wordt van geavanceerde cyberaanvallen.

2 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015

In 1999 richtte Ronald Prins samen met Menno van der Marel Fox-IT op om zich volledig te kunnen richten op het ontwikkelen van innovatieve beveiligingsoplossingen voor zeer kwetsbare omgevingen. Prins was daarvoor als wetenschappelijk onderzoeker verbonden aan het Nederlands Forensisch Instituut (NFI). Hij maakte naam door codes te kraken van cryptografische beveiligingssystemen. Daarnaast leverde Ronald een bijdrage aan nieuwe methoden en best practices voor het verkrijgen van digitale informatie in strafrechtelijk onderzoek. Prins studeerde toegepaste wiskunde aan de TU Delft en specialiseerde zich daarna in cryptografie.

Omgaan met het onbekende Omgaan met het onbekende... daarmee krijgen organisaties te maken als het om bescherming tegen cyberdreigingen gaat. De uitdagingen liggen vooral op het gebied van risicomanagement en -beperking. De mensen, processen en technologie die wij inzetten, zijn bestand tegen deze cyberdreigingen.

Nog maar een paar jaar geleden gebruikten de meeste aanvallers identieke tools en technieken. Door naar overeenkomende gegevens te zoeken en alle bekende informatie op te nemen in halfautomatische detectiesystemen konden we een redelijk ondoordringbare verdedigingslinie opwerpen. Tegenwoordig komt er veel meer bij kijken. We worden

Onbekende dreigingen

Bekende dreigingen Tijd

(Potentieel) risico en impact

Hoog

Laag

Hoog

Omvang intelligence

Laag

voortdurend geconfronteerd met onbekende spelers en nieuwe aanvalsvectoren, veranderde methodes en

afneemt en dat ze organisaties voornamelijk beschermen

tooling op maat. Een organisatie met een hoog risico-

tegen overlast. Ook zijn deze detectieoplossingen niet

profiel beschermen tegen cyberdreigingen is een waar

ontwikkeld als maatwerk voor een specifieke organisatie.

kat-en-muisspel geworden. Zodra een nieuw beveili-

Naarmate aanvallers behendiger worden met hun aan-

gingssysteem is geïmplementeerd, proberen hackers

valsinfrastructuur, wordt de levenscyclus van statische

het onmiddellijk te kraken. Daarom is het van belang om

informatie snel korter. Een ander probleem met de tradi-

de aard van de dreigingen en de bijbehorende risico’s te

tionele en huidige oplossingen is dat ze niet ontwikkeld

begrijpen. Bescherming tegen bekende dreigingen is niet

zijn om beveiligingsanalyses te ondersteunen. Wanneer

langer afdoende om vijanden een stap voor te blijven.

iets geblokkeerd is, verstrekken deze systemen doorgaans

Organisaties moeten ook voorbereid zijn op onbekende

geen context- of meetgegevens die de organisatie kunnen

dreigingen.

helpen het beveiligingsincident helemaal te doorgronden en ervan te leren.

Het verschil tussen bekende en onbekende dreigingen

Advanced Persistent Threats (APTs - geavanceerde

Tijd is de grootste gemene deler. Zelfs nieuwe en zeer

aanhoudende dreigingen) hebben een hoog risicoprofiel,

geavanceerde malware zoals Havex, Regin en technie-

maar zijn zelden bekend. Het duurt relatief lang voordat

ken als Quantum Insert worden uiteindelijk bekend. De

informatie over deze geraffineerde aanvallen bekend wordt.

uitdaging is dan ook het tijdsverschil tussen ‘bekend’ en

De doeltreffendheid van traditionele methodes neemt

‘onbekend’ zo klein mogelijk te maken.

daardoor snel af.

Traditionele en actuele oplossingen proberen zo veel mogelijk informatie over bekende dreigingen op te nemen

Om APTs af te kunnen slaan, dienen organisaties niet

in detectie- en blokkeermechanismen, zoals bijvoorbeeld

uitsluitend op leveranciersinformatie te vertrouwen.

IP-adressen. Op die manier wordt in elk geval een basisbe-

Ze moeten de mogelijkheid hebben om vanuit hun eigen

veiligingsniveau in stand gehouden. Het probleem met deze

omgeving zowel bekende als onbekende dreigingen te

oplossingen is echter dat de doeltreffendheid ervan snel

detecteren.

fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 3

Ken uw tegenstanders

Intelligence Voor een goede bescherming is het noodzakelijk te weten wie de vijand is en wat zijn bedoelingen zijn. Het bedrijfsmanagement moet op de hoogte zijn welke cyberbedreigingen op de organisatie afkomen en hoe die zich verhouden tot hun kritische bedrijfseigendommen. Met die inzichten kan een geïntegreerde cybersecurity-benadering worden ontwikkeld, toegesneden op de specifieke risico’s van de organisatie. Onder een geïntegreerde benadering verstaan we naast de technische aspecten, ook de medewerkers en de organisatie. Op operationeel niveau betekent dit dat alle informatie en kennis over huidige dreigingen en dreigingsactoren wordt opgeslagen. Deze informatie wordt gebruikt om

3 Dreigingsanalyse intelligence

Preve nt

8 r ee nc g ava ana m Ge

d em dreig en ings t -

Intel ligence (R)

7 Emer gency response en recherchewerk

6

in

te formuleren.

verdedigingslinie op te werpen tegen het totale dreigingslandschap en de dekking tegen specifieke dreigingen te verhogen. Daarnaast biedt een gelaagde verdediging

rit na y ge me nt

R e sp o ns

een passende dreigingsdekking bij security-operaties

Preventie Een gelaagde verdediging heeft tot doel een

5 ationele security Oper monitoring

ie

(D) nce ige ell nt

I

)

ie tect De

Intellig enc e( P

Ass et & 2 ma kwe na g

Dr eig in 4 (tr g ia

tie ec et sd e) g

dshei aar tsb ent em

1 ategie, -beleid r t s S C en -architectuur

Doeltreffende security-operaties Ontwikkeld op basis van ervaring met Incident Response

cu Se a tm en cid

meer kans op detectie en snelle, goed getimede mitigatie. Een gelaagde verdediging is de basis voor het formuleren van de cybersecurity-strategie, het architectuurontwerp en het beleid. Na implementatie volgt actieve monitoring en controle van kritieke bedrijfseigendommen. Dit houdt bijvoorbeeld in dat kwetsbare punten voortdurend gescand worden om te voorkomen dat aanvallers toegang krijgen tot de organisatie. Detectie Het opsporen van een aanval valt of staat met de intelligence verweven in de gebruikte oplossing om bedreigingen te detecteren. Steeds vaker betekent dit dat

4 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015

Tegenstanders

Onbekende dreigingen

Bekende dreigingen

bedrijven moeten leren om onbekende dreigingen in hun omgeving op te sporen. Dat vraagt om een operationele mogelijk maakt. Dreigingsinformatie wordt verwerkt in testen op doeltreffendheid en efficiënt gebruik op het

D

ie

Dreigingsinformatie

ctie ete

modellen om dreigingsdekking te kunnen meten en te

Bekende dreigingen

Preve nt

omgeving die intelligence-gestuurde beveiligingsanalyses

managementplatform. Bij inzet van nieuwe dreigingsdekking, onderzoekt en optimaliseert het security analytics team voortdurend de output van de dreigingsdetectie.

R e sp o ns

Het security analytics team bestaat uit specialisten: dreigingsanalisten met een grondige kennis van de dreigingsomgeving (actoren, aanvalsvectoren en modus

Tijd

operandi, etc.). De uitkomsten van het detectieproces worden vervolgens als input gebruikt voor de operationele security-monitoring. Het biedt relevante context aan de analisten die kennis van de IT-omgeving van de

Cyber Threat Management

Traditionele producten

organisatie hebben. Zij zorgen door middel van triage en recherchewerk dat beveiligingsincidenten (op prioriteit) op hun mogelijke bedrijfsrisico worden beoordeeld. Indien nodig, wordt er een passende respons in gang gezet. criminaliteit, spionage of erger. Bij crisissituaties worden Respons Als beveiligingsincidenten door middel van

er noodmaatregelen getroffen en een onderzoeksproces

triage en een eerste onderzoek zijn gevalideerd, wordt

in gang gezet. In sommige gevallen kan het bovendien

het responsproces in gang gezet. Als er geen sprake is

nodig zijn het gedrag van de aanvaller te observeren

van ‘false positives’, is een snelle respons vereist. Het

om intelligence te verzamelen, voordat een specifieke

incident response managementproces is afhankelijk van

dreiging wordt uitgeschakeld. Dergelijke geavanceerde

de ernst van het incident. De meeste incidenten zul-

technieken voor dreigingsmanagement zijn hoofdzakelijk

len relatief weinig invloed op het bedrijf hebben omdat

voorbehouden aan organisaties met een ruime ervaring

ze meteen bij binnenkomst worden ontdekt. Sommige

op het gebied van cybersecurity.

kunnen echter een ernstig bedrijfsrisico met zich meebrengen, zoals grootschalige data-inbreuk, financiële

fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 5

Denial-

Onderzoek naar gegevensinbreuk op we ba

Overige 4 %

age <1 %

Cyberspion

Ge

Preve nt

% es 46 f verli

Point-of-Sale-inbraken 9%

plicaties 3 %

%

De

s t al o ke die f Fysie

6 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015

g

op webap

-o int

%

%

Po

r

75

en recher

ers 15

inb

le -

a f-S

en ak

nia

l-o

aangegeven in het DBIR-rapport.

r insid

f-S e

r vi

grotere spionagedreiging voor de publieke sector dan

Misbru ik doo

ce -a

an v

Cy b

cyberspionage. Op basis van onze gegevens zien wij een

heid szor

2%

na er s pio

r ig ve O

lende uitzondering, namelijk incidenten in verband met

zon d

fout en 1

e

ti e ca

e

met dat van fox-it. Wij constateren slechts één opval-

all

pli

r se

Aa

we

p ba

7 Emerg en c y

% s1

D ive

nv

gevaren wereldwijd en per sector komt exact overeen

p no

8%

<1 %

Het beeld wat in het rapport naar voren komt van cyber-

oo

rs

re 3

M

kd rui isb

e sid r in

ew a

partij.

lie

Crim

(en niet alleen blootgesteld) zijn aan een onbevoegde

v er

% s1

%

l of

a fst die eke i s Fy

Intel lige

dd em reig en ings t

f

en

bevestigd is dat gegevens daadwerkelijk bekendgemaakt

er s e

% en 1 o ut

Ski mm

Div

3. Bekendmaking van gegevens: een inbreuk waarbij

%

R e sp

%

lijke blootstelling van gegevens tot gevolg heeft;

re 1

ew a

ie

<1

Crim

)

8 r ee nc g ava ana m

2. Inbreuk een incident dat de bekendmaking of moge-

e ca h or

gevaar brengt;

en 1 %

Dreigings intellig

Ge

Skimm

3

Aanvallen

en 1 0 %

n2

-aanvall

ge

De

vertrouwelijkheid of beschikbaarheid van informatie in

Service nial-of-

%

1. Incident een beveiligingsvoorval dat de integriteit,

n en Reize

worden als volgt gedefinieerd:

10

het aangevallen bedrijf hebben. Beveiligingsincidenten

alle

tot data-infiltratie leiden, kunnen wel een grote impact op

Intellig enc e( P

Ass et & 2 ma kwe na g tegie, -beleid CS-stra en -architectuur

Publ ieke se

plicaties <1 %

1

professionals in cyberbeveiliging: ook incidenten die niet

n drijve

seid h r aa tsb ent em

Point-of-Sale-inbraken 0%

sinbreuk. Deze ontwikkeling weerspiegelt de ervaring van

e utsb nn e e i erg

%

cto r

op webap

Overige 3 %

En

0%

%

% en 0

%

2%

%

%

Skimm

3%

0

Het DBIR laat zien dat beveiligingsincidenten niet langer beperkt blijven tot bevestigde gevallen van gegeven-

en ak

ers 2 4

es 1 9

1%

rs

r inb le -

f verli

Aanvallen

dan 63.000 bevestigde beveiligingsincidenten.

<1

lies

e sid

a f-S

wereld. Het DBIR is gebaseerd op een dataset van meer

1%

en

<1

ge

e

4%

stal o

r insid

Ski mm

val l en

2%

v er

r in

-o int

Misbru ik doo

an

na

ten

of

oo

Po

tieve publieke en private organisaties van over de hele

ke die f

ce -a

er s pio

fou

t al

d uik sbr

%

Report (DBIR) uit, met bijdragen van vijftig representa-

Fysie

r vi

er s e

Mi

8 s3

Jaarlijks brengt Verizon het Data Breach Investigations

fout en 3

re 2

Cy b f-S e

Div

e ati lic

i ef s ed i ek Fy s

pp

Inzicht in het dreigingslandschap

r se

ew a

l-o

r ig

age 7 % Cyberspion

en

D ive

Crim

nia

ve

14 % vallen ice-aan

all

1% re 3 ew a

nv O

De

of-Serv

Crim

Aa

Het Verizon Rapport

plicaties op webap

v al l en

85% Totaal extern ce -a

an

15% Totaal intern

r vi

65% Verbonden partij

f-S e

en

l-o

Ski mm

De

nia

16% Ordehandhaving 8% Antivirus

%

%

26

22

2% NIDS

r ig ve

Cy b

sanalyse gence

6

%

%

O

inb

en ing

<1

%

Po

-o int

f-S

ale

nv

1

4%

8%

Dr eig ing 4 (tr ia

M

lle

a

Div

y response rchewerk

tal

1% Onbekend

rs

1% Anders v

of

es erli

1% Klant <1% Audit

te fou

n

Crim

Skimm

Stijging van cybersecurity-uitgaven

re

ew a

Diverse studies tonen aan dat er een grotere bewustwor-

en

n -aanvalle Service enial-of24 % D

onage

ding van cyberdreigingen en aanverwante risico’s is en dat de uitgaven aan cybersecurity significant zijn gestegen. Dit heeft echter nog niet geleid tot een evenredige daling van het aantal beveiligingsincidenten (zie diagram). huidige cybersecurity-strategieën en –implementatie te

9 % Overige

wensen overlaat. Organisaties kunnen de toenemende cyberdreiging pas tegengaan als ze inzicht hebben in

1 % Point-of-Sale-inbra

ken

de voor hen specifieke gevaren. Vanuit dat inzicht kan 9 % Aanva

lening

llen op web

6%M 4%F

Za kel ijke die ns

ri an ty ag em en t

1% Logcontrole

ba

We kunnen concluderen dat de doeltreffendheid van de

3% 3%

<1 %

D i ve

Crim

Ski mm

isbruik d

ysieke

r se

oor in

applicaties

l of v e

ontwikkeld, toegesneden op specifieke dreigingen en het onderliggende bedrijfsrisico. Daarbij komen de tech-

siders

diefst a

een geïntegreerde cybersecurity-benadering worden

nische, menselijke en organisatorische aspecten van bescherming aan de orde.

rlies

Organisaties kunnen de risico’s voor hun bedrijfsac-

fout en

tiviteiten aanzienlijk verminderen door gespecialiseerde

ew a

re

en gerichte operationele vaardigheden op te bouwen of in

en

te huren op het vlak van intelligence, preventie, detectie en respons. Deze intelligence-gestuurde, operationele benadering kijkt naar bekende dreigingen en onderzoekt

8

ail Ret

2% Gemeld door gebruiker

s

rspi 30 % Cybe

tver

7

er s e

ti e ca

5

cu Se m nt e d i inc

oo

li pp

e sid r in

i ef s ed i ek Fy s

<1 %

ctie

6

we

9%

du Pro

ence (R)

p no

kd rui isb

2%

tionele security Opera monitoring

p o ns

Aa

4%

tie ec et sd ) ge

ie tect De

(D) nce ige ell nt

I

r

en ak

Bron: Verizon DBIR 2014

3

dien st v er l

<1

Financ iële

e

er s pio

na g

e

r insid ers 3% F ysieke diefst al of v erlies 5% D ive r se fout en 4% Crim ew a re

(n=302)

7% M isbruik do o

27 % Aan vallen

ken 1 % Point-of-Sale-inbra

Top 10 ontdekkingsmethodes binnen cyberspionage

%

O

37 ve

r ig

e

29

%

Cy b

2%

2%

na

aanwijzingen voor onbekende dreigingen. De doeltrefDe

ge

nia

l-o

fendheid van de investeringen in cybersecurity kunnen f-S e

r vi

zodoende sterk worden verbeterd.

ce -a

an

val l en

Div

2% Crim

re

kimm

ew a

6%S en

pionage <1 % Cybers

10 % Overige

en ak br -in ale f-S -o int Po % es ati 31 lic pp ba we op en all nv rs Aa de % nsi i 10 or do uik lies sbr v er Mi of tal 4% i ef s ed i ek Fy s ten fou er s e

er s pio

%

33 % D enial-o e f-Servic -aanvall en

fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 7

Hoe u uw werkzaamheden met succes kunt uitvoeren Aan de hand van de hierboven geschetste uitdagingen en conclusies breidt Fox-IT haar bestaande cybersecurity-technologie uit. Wij ontwikkelen voortdurend extra (geïntegreerde) functies en efficiëntere processen om deze nieuwe uitdagingen aan te gaan.

Gedreven door de geschetste uitdagingen en onderzoe-

1. Cyber Threat Management portal

ken, bouwt Fox-IT voort op de door haar ontwikkelde

Deze portal dient als de gateway naar alle onderliggende

cybersecurity-technologie. Wij voegen voortdurend extra

systemen in de cyber threat management-omgeving.

functies en efficiëntere processen toe als antwoord op

De portal wordt door onze eigen analisten of die van

nieuwe uitdagingen. Ons intelligence-gestuurde Cyber

onze partners (managed service deployment) of door

Threat Management platform is de onderliggende

eindgebruikers (hybrid service deployment) gebruikt om

technologie voor het uitvoeren van geavanceerde

op diverse niveaus cybersecurity-operaties uit te voeren.

cybersecurity-operaties.

Bovendien leidt de portal technische en operationele informatie af voor tactisch en strategisch beheer. Het

Onze ervaring leert dat de meeste klanten al een hele

niveau bepaalt de functionaliteit, informatievorm en

reeks oplossingen hebben geïmplementeerd, zoals anti-

abstractie.

virusprogramma’s, firewalls en basale intrusion preven-



tion. Veel bedrijven kiezen er vervolgens voor de output

voor dreigingsanalyse met een geïntegreerde workflow.

van deze verschillende oplossingen in te voeren in een

Vanuit deze omgeving kunnen ze beveiligingsincidenten

Security Information and Event Management (SIEM)-

bekijken en onderzoeken. Daarnaast biedt de omgeving

toepassing, die de gegevens daarna correleert. En dat

de analisten de mogelijkheid om dreigingsonderzoek te

werkt, tot op zekere hoogte. SIEM-toepassingen blinken

doen en intelligence toe te passen op het totale platform.

De operationele laag biedt analisten een omgeving

uit bij bekende gebruikssituaties, maar hebben niet de vereiste diepgang om de onderzoeks- en intelligence-cycli

Operationeel

te kunnen uitvoeren die nodig zijn voor geavanceerd

De portal biedt een operationele omgeving die de dage-

dreigingsmanagement. Een van de redenen daarvoor is

lijkse beveiligingsoperaties stroomlijnt en de beveiliging

dat SIEM-toepassingen geen feedback-lus hebben naar

doeltreffender maakt door gebruik te maken van een

de bronnen die de gegevens genereren (of logbronnen).

gelaagd beschermingsmodel. Met dit model kunnen

Hiervoor hebt u zichtbaarheid nodig en de mogelijkheid

dreigingen in elk stadium van de aanval worden voor-

om output te controleren en te manipuleren, vooral op

komen of opgespoord. De workflows in deze omgeving

netwerk- en hostniveau. Daarom heeft Fox-IT oplossingen

zijn gebaseerd op onze jarenlange ervaring met het uit-

voor beide niveaus ontwikkeld. De zichtbaarheid kan pas

voeren van cybersecurity-operaties. Ook ons Security

echt goed worden benut als de verschillende oplossingen

Operations Center maakt hier gebruik van.

op een logische manier samenwerken. Om dit mogelijk te maken, hebben we de volgende toepassingen ontwikkeld:

Tactisch & strategisch De portal brengt op tactisch en strategisch niveau intelligence en operationele gegevens samen. Het resultaat

8 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015

Verwerking & operaties Intelligence Contextueel

Toegepast

Gegevensvastlegging Cyber Threat Management

Cyber Threat Management

Onderdelen Forensische bewaring

Intelligence- & analysegestuurd

Bidirectioneel

Operaties SIEM Normale bronnen

SIEM Unidirectioneel

Gebruik casusgestuurd

is een zeer bruikbaar overzicht dat het actuele dreigings-

sector of organisatie). Hierdoor is het vaak mogelijk om

landschap van een organisatie laat zien. Hierdoor neemt

te achterhalen wat de bedoelingen van een aanvaller

het aantal waarschuwingen dat de security-teams tijdens

zijn. Als er een waarschuwing is ontvangen, wordt de

de monitoring en incidentrespons verwerken af en kun-

informatie eerst gecorreleerd en daarna toegankelijk

nen ze eenvoudiger worden geprioriteerd. De tactische

gemaakt voor de analist.

respons profiteert van de samenvoeging van de op intelligence gebaseerde context en beveiligingsincidenten.

Toegepaste intelligence

Op strategisch niveau levert de portal gegevens

Contextuele informatie wordt vertaald in detectiemecha-

aan de Chief Information Security Officer en het senior

nismen voor gebruik in netwerk- en endpoint-systemen. In

management. De informatie over het dreigingsland-

tegenstelling tot contextuele informatie, die de aanvaller

schap kan zowel worden gebruikt voor de beperking van

en zijn of haar modus operandi beschrijft, is toegepaste

cyberdreigingen als voor risicomanagement. Door deze

intelligence erop gericht om deze te kunnen detecteren.

gegevens te combineren met de contextuele intelligence

Deze informatie wordt bijgehouden in een speciaal daar-

ontstaat inzicht in de motieven en bedoelingen van de

voor ontworpen systeem dat een overzicht geeft van de

aanvallers. Met deze inzichten zijn organisaties in staat

dreigingen waartegen de organisatie is beschermd, en

beter en effectiever te reageren op beveiligingsincidenten

hoe dit is vastgesteld. Dit is een belangrijk aspect om de

en kunnen zij proactief risico’s managen.

vertaalslag te kunnen maken van het operationele niveau naar een strategisch overzicht.

2. Intelligence als kernelement

Toegepaste intelligence komt tot stand door waar-

Intelligence vormt de ruggengraat van het platform en

schuwingen en incidenten te correleren, en is on-demand

wordt geleverd via ons Cyber Threat Management portal.

beschikbaar via het Cyber Threat Management portal. Bij

De intelligence-module levert twee soorten input:

zowel de contextuele als toegepaste rapportages is het mogelijk om vragen te stellen aan onze dreigingsanalisten

Contextuele intelligence

over de gepresenteerde informatie.

In combinatie met de ervaring van een analist, stelt contextuele intelligence een organisatie in staat goed

3. Netwerkmodule

geïnformeerde besluiten te nemen over aanvallers, hun

Op basis van onze bestaande netwerkmonitoringservice

werkwijzen en de infrastructuur waarvan zij gebruik

biedt de netwerkmodule een brede dekking voor het hele

maken. Deze informatie bevat vaak zeer gedetailleerde

netwerk. De primaire functie van de netwerkmodule is

beschrijvingen van belangrijke spelers in het huidige

het onderzoeken en detecteren van bekende (regels) en

dreigingslandschap, en is algemeen van aard (toepasbaar

onbekende (heuristiek) dreigingen. De module beschikt

op alle organisaties), of specifiek (toepasbaar op een

daarom over ingebouwde mogelijkheden voor datareten-

fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 9

“De Nucleaire Veiligheidstop in 2014 was een enorme uitdaging voor onze stad. Vanwege het intensieve diplomatieke verkeer wisten we dat de kans bestond dat we zouden worden aangevallen door geraffineerde cybervijanden. Daarom hadden we de beste experts op het gebied van cybersecurity nodig. Voor ons was het vanzelfsprekend om in zee te gaan met Fox-IT, onze vertrouwde partner binnen The Hague Security Delta. Het resultaat was een succesvolle, veilige top, mede dankzij de onvermoeibare inzet van Fox-IT achter de schermen.” Jan Willem Duijzer CIO van de Gemeente Den Haag

tie ten behoeve van forensisch onderzoek. Bovendien kan

zorgt er enerzijds voor dat organisaties een aanval of

het detectiebeleid snel worden aangepast naar aanleiding

inbreuk opmerken, en levert anderzijds nieuwe intelli-

van incidenten uit andere modules.

gence op door onbekende dreigingen zichtbaar te maken.

4. Endpoint module

6. Logmodule voor SIEM-integratie

De endpoint-module biedt preventie en maakt dreigingen

De Cyber Threat Management portal kan via de ‘open

zichtbaar voor hosts (endpoints en servers). Het maakt

common event format’-standaard communiceren met

gebruik van een ‘signature-less’ benadering om hosts te

bestaande SIEM-technologie. We kunnen incidenten

voorzien van robuuste preventie- en detectielagen waar-

invoeren in diverse SIEMs en prioriteiten toekennen aan

mee bekende en onbekende dreigingen kunnen worden

de operationele security-monitoringactiviteiten van de

opgespoord. Daarnaast vormt de module een integraal

klant. De mogelijkheid om specifieke SIEMs te voorzien

onderdeel van de onderzoeks- en responsfunctie. De

van intelligence-context is momenteel in ontwikkeling.

module maakt het mogelijk maatwerkbeleid en -regels

De meeste SIEMs gebruiken correlatieregels, maar wij

te formuleren voor specifieke dreigingen en beschikt

verwachten dat het mogelijk is deze bestaande regels

bovendien over functies voor herstel op afstand. Waar

te verbeteren door zowel contextuele als toegepaste

de netwerkmodule de Cyber Threat Management por-

intelligence toe te passen.

tal de nodige breedte geeft, zorgt de endpoint-module voor diepte. 5. Adaptive Defense module Omdat cyberaanvallen een steeds geavanceerder karakter krijgen, worden organisaties gedwongen om beveiligingstools in te zetten die gerichte aanvallen door onbekende aanvalsvectoren of –methodes kunnen opsporen. De Adaptive Defense-module biedt de mogelijkheid om nog onbekende aanvallen te detecteren en vormt een aanvulling op andere modules.

De Adaptive Defense-module is eigenlijk een ‘loknet-

werk’ dat bestaat uit fake endpoints en servers. Wanneer op deze machines activiteit wordt waargenomen, gaat het per definitie om een afwijking en een directe aanleiding om verder te onderzoeken. De Adaptive Defense-module

10 | fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015

De tien belangrijkste voordelen Het Cyber Threat Management portal is ontwikkeld in samenwerking met onze klanten. Het oplossingenplatform geeft antwoord op een aantal uiteenlopende uitdagingen:

1. Intelligence over aanvallers wordt op een inzichtelijke manier aangeboden zodat

Als u meer wilt weten

klanten in staat zijn een tactiek te ontwikkelen om hun zakelijke belangen tegen

over Cyber Threat

aanvallers te beschermen.

Management solutions,

2. Verbeterde communicatie tussen de beveiligingsteams, het Security Operations

neem dan contact

Center, het management en de directie.

met ons op:

3. Eén geïntegreerd platform dat netwerk-, cloud- en endpoint-beveiliging samenbrengt

Klanten

in een gemeenschappelijke architectuur, zodat analisten geavanceerde cyberaanvallen

Marcel van Oirschot

kunnen voorkomen, opsporen en erop kunnen reageren.

Sales Director

4. Een operationele omgeving die de dagelijkse beveiligingsoperaties stroomlijnt en

[email protected]

de doeltreffendheid van de beveiliging bevordert. Via een meerlaags verdedigingsmodel Partnerships

kunnen dreigingen in elk stadium van de aanval worden voorkomen of opgespoord. 5. Een omgeving die beveiligingsanalisten in alle aanvalsstadia zichtbaarheid biedt, zodat bekende en onbekende dreigingen trefzeker kunnen worden onderzocht voor ze

Jurjen Harskamp Chief Strategy Officer [email protected]

het bedrijf raken. 6. Minder security-waarschuwingen: door gebruik te maken van contextuele dreigingsinformatie, prioriteiten toe te kennen aan de waarschuwingen en de tactische respons te verbeteren, wordt overbelasting van beveiligingsteams voorkomen. 7. Overgang van een reactief naar een proactief beveiligingsmodel op basis van risicomanagement, wat leidt tot een effectievere en beter geïnformeerde respons op beveiligingsincidenten. 8. Een hybride service delivery-model biedt klanten de mogelijkheid om te starten met een volledig extern beheerd systeem. Naarmate klanten vaardiger worden in het omgaan met cyberdreigingen, kunnen ze geleidelijk aan de werkzaamheden overnemen. 9. Intelligence voor beveiligingsincidenten om inzicht te krijgen in de motieven en bedoelingen van aanvallers en op basis daarvan prioriteiten toe te kennen aan beleid en beveiligingsinvesteringen. 10. Inzicht in wat de dreigingsinformatie ondervangt door transparantie te bieden over de toegepaste intelligence op het platform en welke aanvallen hiermee worden afgeslagen.

fox-it | Cyber Threat Management platform | Management Summary | Augustus 2015 | 11

FOX-IT • fox-it werd in 1999 opgericht als een consultancybedrijf voor Forensische Expertise de naam fox-it is afgeleid van Forensische Experts. • Niet lang na de oprichting werd fox-it door een grote telecomprovider gevraagd om een netwerkmonitoring-dienst te leveren. Dit leidde tot de opening van het eerste Cyber Security Operations Center in Nederland. Eén van de eerste in Europa. • Sindsdien is fox-it uitgegroeid tot een van de grootste cybersecurity-bedrijven van Europa. • fox-it is werkzaam op drie terreinen: Cyber Threat Management (oplossingen gericht op het beperken van cyberdreigingen met professionele dienstverlening, managed security services en technologie), Web/Mobile event analytics (oplossingen gericht op het beperken van financiële risico’s bij online betalingstransacties) en High Assurance (oplossingen die betrouwbare communicatie mogelijk tot de hoogste rubriceringsgraad mogelijk maken). • fox-it is ingeschakeld bij tal van high profile Incident Response-gevallen. De meeste daarvan zijn geheim, maar DigiNotar en KPN zijn algemeen bekende zaken. • De ervaring die fox-it heeft opgedaan met professionele dienstverlening wordt ingezet voor doorlopende optimalisatie van de managed security services en het onderliggende technologieplatform. Dit stelt ons ook in staat om preventie, detectie en respons met betrekking tot bekende en onbekende cyberdreigingen te verbeteren.

FOX-IT

204-001-NL

Olof Palmestraat 6, Delft

t 015 284 79 99

Postbus 638

f 015 15 284 79 90

2600 AP Delft

e [email protected]

www.fox-it.com