Incidentresponse: de digitale brandweer moet op steeds grotere schaal werken

Als je je been breekt, bel je een ambulance. Als er ingebroken wordt in je huis, bel je de politie en als dat huis in brand staat, bel je de brandweer. Maar als je bedrijf wordt getroffen door ransomware? Dan bel je een incidentresponseteam dat met een laptop vol handige tools langskomt. Bij die 'digitale brandweer' zijn de laatste jaren interessante nieuwe ontwikkelingen te zien.

Incidentresponse is bij lange na geen nieuwe ontwikkeling in cybersecurity, maar lijkt in Nederland de laatste jaren aan een opmars bezig in zowel omvang als professionalisering. De securitybedrijven die zich erin specialiseren, groeien hard en er komen er steeds meer op de markt. Die groei wordt, misschien vanzelfsprekend, grotendeels gedreven door een groei in het aantal aanvallen. Dat stijgt jaar na jaar en bedrijven zoeken een manier om daarop in te spelen.

Er is een ander aspect dat meespeelt in de popularisering. Verzekeraars eisen namelijk vrijwel standaard bij iedere polis dat er professionele securityhulp wordt ingezet bij een incident voordat het overgaat tot uitbetaling. De meeste grote verzekeraars in Nederland bieden aan zowel grote als kleine bedrijven een vorm van cybersecuritybescherming aan. Het aantal bedrijven met zo'n polis stijgt, al begint de houding van verzekeraars tegenover ransomwarevergoedingen wel langzaam te veranderen. Daarnaast spelen juridische aspecten een rol. Een ransomware-infectie betekent in 2022 vrijwel altijd dat je ook een datalek omhanden hebt. Een bedrijf dat dan bijvoorbeeld door de Autoriteit Persoonsgegevens wordt onderzocht, kan met een goed forensisch rapport aan het onderzoek meewerken.

Digitale brandweer

Incidentresponse, of IR, wordt ook wel de digitale brandweer genoemd. Het is een onderdeel van de diensten die securitybedrijven of -experts aanbieden aan externe bedrijven; ze komen helpen op het moment dat er een cyberaanval plaatsvindt. Meestal gebeurt dat als het al 'te laat' is. "Ons bellen ze meestal pas als de netwerken geïnfecteerd zijn", zegt Ralph Horn, die betrokken is bij het Dutch Institute for Vulnerability Disclosure, een vrijwilligerscollectief van securityexperts die onder andere zoeken naar kwetsbaarheden in software en bedrijven daar via coordinated vulnerability disclosure van op de hoogte stellen.

Professionalisering

De professionalisering van cybercrime in de laatste paar jaar zorgt er ook voor dat de bestrijding professioneler wordt, of misschien gebeurt het juist andersom; het is een kat-en-muisspel tussen aanvallers en verdedigers. Experts noemen al jaren voorbeelden van hoe ransomwarebendes steeds efficiënter te werk gaan. Horn erkent dat. "Ransomwareverspreiders maken gebruik van verschillende specialismen om binnen te komen. Je hebt initial access, waar de criminelen binnenkomen, er zijn datamanagers die gegevens stelen en je hebt de operators zelf." Door die specialismen wordt ransomware steeds sneller verspreid. Dat is geen trendbreuk met eerdere jaren, maar wel een van de gebieden waarop de evolutie van ransomware overduidelijk te zien is. Enkele jaren geleden zagen securityexperts vooral nog dat ransomwarebendes na een infiltratie dagen of zelfs weken in een systeem rondhingen. Ze zoeken daar naar meer toegang tot andere systemen, openen achterdeurtjes en proberen zo de optimale aanval uit te voeren. Die tijden zijn anno 2022 voorbij, zien experts zoals Horn. "Ik heb aanvallen gezien waarbij hackers binnen 12 uur binnenkwamen en toesloegen."

Ook Fox-IT ziet die snelheid veranderen bij ransomwarecriminelen. "Ransomware is een smash and grab", noemt Erik Schamper, analist bij het beveiligingsbedrijf, het. Criminelen gebruiken vaak off-the-shelftooltjes en komen weinig subtiel binnen bij een bedrijf. Steeds vaker gaan die ransomwarecriminelen direct door het netwerk om zo snel mogelijk bestanden te versleutelen. Ze hebben geen tijd en ook niet echt noodzaak om lang te wachten en subtiel te werk te gaan.

Die nieuwe snelheden dwingen incidentresponders ook om sneller te werken, of tenminste anders, zegt zowel Ralph Horn als Erik Schamper. "Voor een onderzoek moet je een forensische kopie maken van een heel netwerk; dat kostte altijd veel tijd", zegt die laatste. "Aan één systeem was je soms twee dagen aan het werk met analyse. Dat werkt in kleine onderzoeken nog wel, met twee of vijf systemen, maar tegenwoordig zijn er genoeg bedrijfsnetwerken waar tientallen of honderden systemen aanwezig zijn."

Schaalvergroting

Incidentresponders zien dan vooral ook het belang van werken op schaal, zeggen experts. Fox-IT heeft vorige maand een framework genaamd Dissect open source beschikbaar gesteld. Dat is bedoeld voor het verzamelen en analyseren van grote hoeveelheden forensische data, en de tool werkt met verschillende bestandsformaten. Het bedrijf heeft verschillende parsers en scripts die het over de jaren heen heeft verzameld voor forensisch onderzoek in dat framework ondergebracht. Dat framework kan in de toekomst met andere tools worden aangevuld, zowel door het bedrijf zelf als door externe beveiligingsonderzoekers en -bedrijven. "We zagen de afgelopen jaren steeds meer vraag bij grote bedrijven naar incidentresponse. Die bedrijven worden groter en daarmee worden ook de cyberinbreuken weer groter", zegt Schamper. "Omdat je tijdens een incident begint met het in kaart brengen van een netwerk, is het belangrijk dat snel te kunnen doen, maar door de groeiende netwerken werd dat steeds moeilijker."

Ook Ralph Horn zegt dat het belangrijk is om snel te kunnen analyseren. Niet alleen voor het eindrapport dat incidentresponders moeten opleveren over een aanval, maar vooral ook om het bedrijf snel bij te kunnen staan. Dat incidentresponders meestal pas worden ingeschakeld als de schade al is gedaan, maakt dan niet zoveel uit. "Je moet snel te weten komen welke computers er nog meer geraakt zijn", zegt Horn. "Als ik zie dat een verdachte gebruiker ergens exploitatietool Cobalt Strike heeft geïnstalleerd, wil ik weten waar die gebruiker nog meer is geweest. Welke machines heeft hij nog meer geïnfecteerd? Hoeveel kun je vinden? Hoe hoppen ze van punt A naar punt B?" Zulke informatie kan voorkomen dat een aanval verder doorzet, of dat een systeem daadwerkelijk schoon is nadat een aanvaller is verwijderd.

"Zonder dat inzicht heb je geen goed antwoord op de vraag of een aanvaller ook echt weg is en of er geen achterdeur is achtergelaten", zegt Erik Schamper. Ralph Horn noemt daarnaast back-ups bij ransomwareaanvallen: "Misschien heeft een bedrijf wel offline back-ups of staan die back-ups op een schijf die nog niet is getroffen. Dan is het goed dat zo snel mogelijk te weten te komen." De snelheid om een netwerk in kaart te brengen, wordt dus steeds belangrijker voor digitale hulpverleners.

Advanced persistent threats

Die situatie geldt voornamelijk voor ransomwaregevallen. Dat is nog steeds een van de grootste risico's voor bedrijven, maar zeker niet het enige. Sommige beveiligers, zoals Fox-IT, specialiseren zich meer in advanced persistent threats of APT's. Die vereisen een andere aanpak. In zo'n geval, zegt analist Erik Schamper, is het vooral ook belangrijk onder de radar te blijven. Dat zijn bijvoorbeeld staatshackers uit China met een heel ander doel dan ransomwareverspreiders, die toch vooral op snel geld uit zijn. APT's doen bijvoorbeeld aan spionage. Zij moeten dus wél zo lang als mogelijk onopgemerkt in een netwerk rondsnuffelen. Die groepen hebben ook vaak een dead man's switch opgezet, die alle forensische sporen verwijdert als ze uit het netwerk vertrekken. "Als zo'n APT weet dat een incidentresponder hem op het spoor is, wordt die switch geactiveerd", zegt Schamper.

Bij geavanceerde hackers is het belangrijk onopgemerkt te blijven tijdens een onderzoekHet framework dat Fox-IT nu openbaar maakt is daarom ook specifiek gemaakt om onopgemerkt te blijven. Dat kan bijvoorbeeld door het omzeilen van besturingssysteemfunctionaliteit waar aanvallers mogelijk controle over kunnen hebben, of door ongemerkt direct vanuit de hypervisor data te verzamelen waardoor een aanvaller dat niet doorheeft.

Tools

De rol van bepaalde software en tools in het proces van incidentresponse is lastig te kwantificeren. Volgens Ralph Horn zijn die 'uitermate belangrijk', vooral als het gaat om het in kaart brengen van een netwerk. Daar zijn naast Fox-IT's nieuwe Dissect-tool ook veel bestaande tools voor, zoals Velociraptor, maar experts als Horn lijken onder de indruk van wat Dissect kan. "Zulke tools worden vooral nuttig als het gaat om lowleveltoegang tot applicaties als Hypervisor." Maar Erik Schamper zegt dat tools voornamelijk nog steeds ter ondersteuning dienen van het forensisch onderzoek. "Met Dissect is nu data-acquisitie op duizenden systemen binnen enkele uren mogelijk, ongeacht de aard en omvang van het ict-systeem dat tijdens en na een aanval onderzocht moet worden. Dissect stuurt die forensische data vervolgens naar een analist. Die moet kijken wat hij er precies in ziet."

Sommige tools zijn volgens hem vooral te gericht op een specifiek type onderzoek. Je ziet juist een trend in tools zoals Dissect dat die eerst kijken naar wat er nodig is voor een forensisch onderzoek. "Welke stappen worden er in een aanval in welke volgorde gezet? Je begint dan eerst bij de aanvalsvector, daarna bij hoe aanvallers persistence krijgen."

Volgens Schamper is het ook belangrijk dat tools zoals Dissect een deel van het werk van een analist kunnen automatiseren. De software kan bijvoorbeeld de runkeys van Windows uitlezen en zo snel zien welke programma's er op welk moment zijn opgestart. Daar hoeft een analist dus niet helemaal de logs voor in te duiken. "Dat automatiseren maakt het werk van een incidentresponder ook veel sneller", zegt Schamper. "Tegenwoordig hebben we al binnen 48 uur een duidelijk beeld van wat er ongeveer tijdens een incident is gebeurd."