Jaar na jaar laten cybercriminelen zien dat ze steeds geavanceerdere aanvalsscenario's kunnen ontwikkelen. Bestandsloze malware, detectie van sandbox-omgevingen, uitbuiten van zero-day kwetsbaarheden, veel technieken hebben in het verleden bewezen dat ze in staat zijn om alle of een deel van de bestaande cybersecurity-oplossingen van een bedrijf te omzeilen. Om een aanval te kunnen detecteren en stoppen, maken professionals steeds vaker gebruik van een framework zoals MITRE ATT&CK, een framework waarmee de bewegingen van de aanvaller kunnen worden begrepen, verklaard en uiteindelijk - geanticipeerd.
Werkstations, mobiele telefoons en tablets zijn belangrijke doelwitten voor cybercriminelen. Om deze IT-middelen te beschermen, hebben antivirussen plaatsgemaakt voor zogenaamde EPP-technologie, een acroniem voor Endpoint Protection Platform. Een EPP is een softwareagent die als doel heeft om cyberbedreigingen zoals aanvallen door ransomware, malware en andere kwaadaardige programma's te voorkomen. Zelfs als deze technologie een eerste niveau van beveiliging biedt, heeft het een beperking, namelijk dat het geen telemetrische gegevens verzamelt en daarom niet kan worden gebruikt voor gedragsdetectie, opsporing of forensische doeleinden.
Om aan deze behoefte te voldoen is EDR-technologie (Endpoint Detection and Response) ontwikkeld. EDR is een aanvullende oplossing op EPP en observeert en detecteert verdacht gedrag waardoor de bedreiging kan worden afgewend. Eenvoudig gezegd, EPP detecteert bedreigingen stroomopwaarts terwijl EDR de bedreiging stroomafwaarts afhandelt. Om dit te doen, vertrouwt EDR op cyberbeveiligingsbenchmarks zoals MITRE ATT&CK. Dankzij de modellering van tactieken, technieken en procedures (TTP) en op basis van de sporen die de aanvaller heeft achtergelaten, maken detectiescenario's het mogelijk om het begin van de aanval te identificeren en dus te reageren.
Op het moment van schrijven is de modus operandi van cybercriminelen in de MITRE ATT&CK repository onderverdeeld in 14 tactieken:
Daarbij komt de identificatie van 193 technieken en 401 gebruikte subtechnieken, zoals het compromitteren van de infrastructuur, DHCP spoofing, browser extensie hijacking of brute force attacks. Een goudmijn waarmee bedrijven hun detectie- en reactiearsenaal kunnen versterken.
Hoewel EPP- en EDR-technologieën een eerste verdediging vormen tegen cyberbedreigingen, staan ze alleen monitoring toe van de machine waarop de softwareagent is geïnstalleerd. Om te voorkomen dat cyberaanvallers misbruik maken van apparatuur die niet door deze technologieën wordt beveiligd, is de XDR-technologie voor eXtended Detection and Response ontwikkeld.
Door eventlogs van alle soorten apparatuur te verzamelen, maakt XDR het mogelijk om de activiteit van alle onderdelen van het informatiesysteem te analyseren. Het XDR-platform is niet afhankelijk van protocollen en merken en kan apparatuur aan de rand van het netwerk (firewall) integreren via interne netwerkapparatuur (router, switch) tot servers en terminals die niet zijn uitgerust met PPE/EDR-agenten.
Op papier lijkt het marketingconcept van XDR duidelijk, maar in werkelijkheid heeft elke uitgever van cyberbeveiliging niet dezelfde definitie. Voor sommigen is XDR-technologie de toevoeging van het verzamelen van logs van EDR's en gebeurtenissen van gebruikerstoegang (IAM), terwijl het voor anderen de associatie is van gebeurtenissen van EDR's en netwerkverkeeranalyse (NTA) door een verzamelfirewall.
Door de gegevens die worden gerapporteerd als indicators of compromise (IoC) of indicators of attacks (IoA) te correleren en dankzij het MITRE ATT&CK framework, heeft XDR-technologie de mogelijkheid om een laterale beweging, een poging om privileges te escaleren of een exfiltratie van gegevens te herkennen. XDR maakt het mogelijk om de te beveiligen omgeving holistisch te rangschikken en detectiescenario's te definiëren op basis van geïdentificeerde tactieken, technieken en procedures. Deze scenario's vereisen meestal de ontwikkeling van automatiseringsscripts via een orkestratiesysteem genaamd SOAR (Security Orchestration, Automation and Response). Een technologische bouwsteen die niet standaard is geïntegreerd in alle XDR-aanbiedingen op de markt.
MITRE ATT&CK is een uitgebreide verzameling TTP's waar we al op hebben gezinspeeld. Maar welke van de belangrijkste use cases kunnen XDR-platforms tot leven brengen en de verzameling mogelijkheden omzetten in een echte, actieve verdediging?
Kennis van de werkwijze van een aanval in combinatie met de identificatie van een IP-adres van een cybercriminele infrastructuur maakt het mogelijk om een poging tot inbraak te detecteren. Door een firewall te integreren met een XDR-platform kan automatisch een actie (IP verbieden) worden gestart om de poging tot inbraak te stoppen. We moeten natuurlijk voorzichtig zijn en we kunnen niet volledig vertrouwen op kunstmatige intelligentie. In de overgrote meerderheid van de gevallen moet er nog steeds een menselijke tussenkomst zijn, want elk grijs gebied betekent een kans op false positives en dus onterechte blokkeeractiviteiten. Het gemakkelijker maken voor een analist is echter een goede use case voor efficiëntie en snelheid - twee belangrijke elementen bij het afhandelen van cyberbeveiligingsinbraken.
Door gebruikersprocessen te analyseren kan het XDR-platform een poging tot privilege-escalatie detecteren, zoals het uitvoeren van een proces met administratorrechten door een gebruiker die normaal gesproken niet over dit niveau van rechten beschikt. Om deze bedreiging in te dammen, kan een herstelactie worden gestart vanuit het XDR-platform door het proces PID te stoppen, de betrokken gebruiker uit te schakelen en vervolgens de geïnfecteerde machine te isoleren.
94% van de bedreigingen gebruikt e-mail als primaire aanvalsvector. Door de links in de e-mails in de inbox van het bedrijfsberichtenverkeer te analyseren, kan het XDR-platform de URL's bezoeken en analyseren of de pagina's legitiem zijn of niet. In het geval van een phishingpagina kan een antwoordactie worden gestart met de webproxy om de resolutie van het beledigende domein te stoppen. Deze herstelactie is transparant voor de gebruiker en kan in enkele seconden worden uitgevoerd (maar nogmaals, met zorg en met deskundige kennis om de beslissing te nemen).
Om detectiemechanismen te omzeilen, verbergen cybercriminelen informatie zoals configuratie-instellingen in gewijzigde bestanden (JPG, PNG). Door de levenscyclus van bestanden te analyseren, van creatie tot wijziging en verwijdering, kan XDR-technologie deze informatie correleren en contextuele informatie leveren aan de SOC-analist. De functionaliteit voor het onschadelijk maken van bestanden is nu meestal opgenomen in de XDR-oplossingen op de markt.
Wanneer een machine is aangetast door malware, probeert deze meestal zijwaarts te bewegen op het interne netwerk van het slachtoffer. Om dit te doen, start het een herkenningsfase door te proberen verbinding te maken met aangrenzende machines. De detectie van mislukte netwerkverbindingen stelt de XDR-oplossing in staat om een poging tot herkenning of laterale verplaatsing te detecteren.
Of het nu vrijwillig is of niet, het monitoren van de toegang tot een gevoelig bestand is belangrijke informatie voor de SOC-analist. Dankzij de registratie van leesstromen van gegevens (file-read) genereert de XDR-technologie een waarschuwing terwijl het mogelijk is om de kwetsbaarheid van het incident te beoordelen, en dit door alle bestanden te analyseren die door ditzelfde proces (PID) zijn gelezen. Een essentiële functie voor het opsporen van exfiltratie van gegevens.
XDR biedt Threat Hunting teams een vereenvoudigde onderzoeksmogelijkheid. Door RPC-oproepen en systeemoproepen op te nemen, hebben analisten toegang tot alle acties die door een bepaald proces of door een machine op afstand worden uitgevoerd. Dit is vooral handig als men wil begrijpen hoe de "recognition" of "persistence" fasen werden uitgevoerd.
Het MITRE ATT&CK framework is niet alleen nuttig bij het detecteren van bedreigingen, maar helpt ook om inzicht te krijgen in de modus operandi die cybercriminelen gebruiken, hun gedrag en het pad van de aanval, en is bedoeld als hulpmiddel bij de evaluatie van het volwassenheidsniveau van cyberbeveiliging van een bedrijf.
Door de modus operandi te analyseren die door cybercriminelen wordt gebruikt, kunnen bedrijven de beveiligingslekken identificeren die aanwezig zijn in hun detectiearsenaal en in de blinde vlekken in het dagelijks functioneren van hun organisatie. In verband met huidige en toekomstige nalevingsverplichtingen (GDPR, NIS 2, DORA) kunnen besluitvormers corrigerende maatregelen nemen en hun beveiligingsniveau verhogen.
Detectie- en responstechnologieën moeten geleidelijk worden geïntegreerd door middel van geïdentificeerde tactieken, technieken en procedures. De keuze voor XDR-technologie wordt gemaakt door inzicht te krijgen in de aanvalsscenario's die voor het bedrijf prioriteit hebben. Hiervoor kunnen besluitvormers vertrouwen op een framework zoals MITRE ATT&CK. Deze aanpak moet echter worden aangevuld door experts die de mogelijkheden van het XDR-platform hebben geëvalueerd. Als je meer wilt weten en integratieadvies wilt, aarzel dan niet om contact op te nemen met de experts van Orange Cyberdefense. We voeren uitgebreide praktijktests uit in samenwerking met ons SensePost-team om de marketingclaims te scheiden van de realiteit. Daarnaast beheren we zelf deze platforms en maken we gebruik van de kracht van onze eigen beveiligingsanalisten en Threat Intelligence om het potentieel ervan te benutten en om te zetten in een reeks Managed Detection and Response-resultaten die jouw cyberweerbaarheid snel kunnen verbeteren.