Slechts een kwart van de organisaties heeft er vertrouwen in dat ze een cyberaanval binnen enkele minuten kunnen detecteren. Bijna de helft meent dat het dagen, of zelfs maanden kan duren voordat verdacht gedrag wordt gedetecteerd. Zelfs organisaties die goed voorbereid zijn doelgerichte cyberaanvallen hebben relatief veel tijd nodig om beveiligingsmeldingen te analyseren. Dat blijkt uit een recent rapport van McAfee, inmiddels onderdeel van Intel Security. Het stuk draagt de naam ‘When Minutes Count‘.
Uit het rapport blijkt dat 74% van de respondenten doelgerichte aanvallen een primaire beveiligingszorg vindt. 58% van heeft vorig jaar 10 of meer aanvallen onderzocht. Slechts 24% van de organisaties heeft vertrouwen in het eigen vermogen om een aanval binnen enkele minuten te detecteren. De helft geeft aan weliswaar adequate tools en technologieën voor een snellere respons in huis te hebben, maar dat belangrijke aanvalsindicatoren niet worden gefilterd uit de berg beveiligingsmeldingen. Doorzoeken van dit enorme volume aan dreigingsinformatie komt zo terecht op de schouders van de IT-teams. Van de organisaties die wel aanvallen binnen enkele minuten weet te detecteren, maakt 78% gebruik van een proactief, real-time Security Information and Event Management (SIEM) -systeem.
“Je kunt alleen de overhand krijgen op aanvallers als je een aanval sneller detecteert”, zegt Wim van Campen VP McAfee Noord- en Oost-Europa. “De clou is het filteren van de vele dreigingsmeldingen. Op basis daarvan kun je sneller en effectiever stappen nemen. Als je sneller aanvallen kunt detecteren, erop reageren, en leren van meldingen, ben je niet langer een prooi, maar de jager.””
De acht meest voorkomende aanvalsactiviteiten:
- Interne systemen communiceren met bekende kwaadaardige bestemmingen op internet, of met een land waarmee de organisatie geen zaken doet.
- Interne systemen communiceren met externe systemen via ongebruikelijke netwerkpoorten of poorten die normaal niet bij het gebruikte protocol horen. Een voorbeeld is het verzenden van command shell (SSH) opdrachten via poort 80, een poort die normaal gesproken alleen voor webverkeer (HTTP) wordt gebruikt.
- Publiek toegankelijke systemen of systemen in een ‘demilitarized zone’ (DMZ), proberen te communiceren met interne systemen. Aanvallers proberen zo van buiten naar binnen te komen en weer terug. Data kan dan naar buiten worden gebracht of interne systemen op afstand toegankelijk gemaakt. De beschermende waarde van een DMZ wordt zo teniet gedaan.
- Malware-detectiemeldingen buiten reguliere kantoortijden (bijvoorbeeld ’s nachts of in het weekend), kunnen een indicatie zijn van een besmet systeem.
- Netwerkscans door interne systemen die in korte tijd proberen te communiceren met meerdere andere systemen, kunnen betekenen dat een aanvaller zich binnen het netwerk aan het verplaatsen is.
- Meerdere beveiligingsmeldingen van hetzelfde systeem of meldingen van verschillende systemen binnen hetzelfde subnet in een periode van 24 uur, zoals meerdere mislukte pogingen om in te loggen.
- Nadat malware is verwijderd, wordt het binnen enkele minuten opnieuw besmet. Dit soort herhaaldelijke malwarebesmettingen kunnen een signaal zijn dat er een rootkit of een persistente dreiging actief is.
- Een gebruikersaccount dat binnen enkele minuten vanaf meerdere regio’s op meerdere systemen probeert in te loggen, is een indicatie dat de logingegevens van deze gebruiker zijn gestolen, of dat deze gebruiker kwaad in de zin heeft.
vervolgt Wim van Campen.
Het volledige Intel Security When Minutes Count rapport is te vinden op www.mcafee.com/SIEM.
