Het voorkomen van grootschalige cybercriminaliteit is een kat-en-muisspel. “Zoals wij een red, blue en strategisch team hebben, hebben aanvallers een servicedesk, bouwers en strategen”, zegt Olaf Haalstra (27). Als consultant in het Incident Response Team van Deloitte strijdt hij tegen cybercriminelen die het op grote organisaties hebben voorzien. ‘Kennis is macht’, weet hij als geen ander.
“Cybersecurity is allereerst een kwestie van learning by doing”, vindt Olaf. Hij speelt regelmatig online challenges met andere leden in de wereldwijde community van securityprofessionals. Dat is iets waar hij als student informatica al mee begon. “Tegenwoordig speel ik met de mensen van Challenge the Cyber. Challenges zijn ontzettend belangrijk voor mijn werk. Hoe vaker ik speel, hoe groter mijn mentale bibliotheek wordt. Die kennis neem ik mee naar cases voor onze klanten.”
Web hacking is een van de favoriete onderdelen van Olaf in de online wedstrijden. “Ik probeer graag bij een kwetsbare website te brute forcen welke url’s openstaan. Soms lukt het dan om bij een adminportal te komen en vervolgens kun je naar een andere server springen. Cryptografie vind ik ook leuk. Je gaat daarbij op zoek naar een implementatiefout in een algoritme, die aanvallers kunnen gebruiken om wachtwoorden te hashen.”
Team Vigilant
Olaf werkt binnen Deloitte in het zogenaamde ‘blue team’, Team Vigilant. Het is het verdedigende team, naast het ‘red team’ dat verantwoordelijk is voor de aanval. “Wij werken met vijf teams: Strategy, Secure, Digital Ethics & Privacy, Identity & Access Management en dus ook Vigilant. In ons team houden we ons bezig met monitoring, secure engineering en incident response, oftewel het ingrijpen bij een digitale aanval. Daarbij kan het om een incident op kleine schaal gaan waarbij op één laptop een virusalert is afgegaan en we het risico op meer schade moeten beperken. Maar het kan ook iets op grote schaal zijn, zoals een hack waarbij ransomware is geplaatst.” Olaf ziet dat aanvallers nog volop mogelijkheden hebben om schade te veroorzaken bij bedrijven. “Iets dat nu misschien nog niet heel groot is, maar wel groter zal worden, zijn aanvallen op cloudomgevingen. Aanvallers gaan daarbij op zoek naar configuratiefouten, bijvoorbeeld permissies die te breed staan voor bepaalde gebruikers. Na een succesvolle phishing-aanval hebben ze daarmee direct een voet tussen de deur.”
Teamgevoel binnen de community
De community is belangrijk in dit werk. “Het teamgevoel binnen de community is, ook los van de challenges, heel groot. De kennis die we opdoen in ons vakgebied delen we met elkaar. Elke dag struin ik Twitter af, op zoek naar nieuwe informatie. Als er een nieuwe vulnerability is uitgebracht, zoals in december gebeurde met Log4J, ben je extra alert.”
Volgens Olaf wordt er binnen de community van alles gedeeld. “Red-teamers delen bijvoorbeeld code waarmee je een kwetsbare server kunt exploiteren. En blue-teamers komen vaak met detectiemechanismen. Het gaat een beetje hand in hand, ook bij research is het een kat-en-muis-spel. Wanneer de ene kant een voorbeeld van een exploit schrijft, komt de andere kant een tijdje later met een detectiemechanisme als reactie.” Voorbeelden van (forensische) tools die Olaf veel gebruikt, zijn Zimmerman, Volatility en Autopsy. Wat ook veel gebeurt, is dat hij zelf met Python aan de slag gaat, onder meer om logfiles te bewerken voor de gewenste output. “Een beetje kunnen scripten is geen overbodige luxe. Ik heb onder meer een Log4J-script voor het scannen van servers geschreven, en het gedeeld in de community.”
:strip_exif()/i/2004957934.jpeg?f=imagenormal)
Professioneel ramptoerisme
“Er staat dan wel ‘consultant’ in mijn functietitel, maar mijn werk is diep technisch. Ik sta met mijn voeten in de modder en zit met de handen aan het toetsenbord. ‘Professioneel ramptoerisme’ noem ik het. Voor een klant zijn incidenten natuurlijk echt niet okay, maar ik houd van mijn werk. Ik stel graag eerst de klant gerust om vervolgens vol in de actiemodus te gaan. De technische analyse die daarbij komt kijken, daar ligt echt mijn passie. Wat is de schaal van de hack? Hoe veel en welke delen van een bedrijf zijn geraakt? We bepalen de scope van de klus en de vraagstelling, en vanuit daar gaan we over naar de analyse. Dit is een proces waarin samenwerking met de klanten cruciaal is. Zij zijn onze sleutel naar de informatie die we nodig hebben.”
Terug naar de bron
“Stel, we hebben te maken met een ransomware-aanval. Dan willen we zo snel mogelijk alle login-informatie. Dat werkt het lekkerst als een klant gebruikmaakt van SIEM (Security Information and Event Management). Zo hebben we alle cruciale logs op één centrale plek en vinden we daar hopelijk de infectiebron. Is er geen sprake van centrale opslag, dan vallen we terug op het maken van forensische kopieën van zoveel mogelijk servers en laptops. Als er meer haast geboden is, maken we gebruik van triagescripts; we pakken dan alleen de logs en artifacts van servers en laptops die nodig zijn voor het onderzoek. Dit zetten we vooral in als de klant niet beschikt over een centrale log-omgeving of als die om de een of andere reden niet beschikbaar is. Het is belangrijk om snel terug te kunnen halen waar aanvallers wel of niet zijn geweest en tot welke systemen ze wel of geen toegang hadden.”
Containment, eradication, recovery
“Het oplossen van de security-breach kent drie fasen. Fase één omvat containment, waarmee we verdere verspreiding voorkomen. Daarvoor moeten we eerst vaststellen met de klant wat er precies is gebeurd. Bijvoorbeeld in het geval van een business e-mail compromise zoals het door aanvallers versturen van valse facturen, analyseren we de headers van de oorspronkelijke mails en de logs van de mailserver. Fase twee is eradication: het lossnijden van de toegang van aanvallers, zodat ze niet opnieuw controle kunnen nemen. En ja, soms betekent dat letterlijk de internetstekker eruit trekken. Wat uiteindelijk de meest praktische en duurzame oplossing is, hangt volledig af van de situatie. Fase drie is recovery: de operatie ‘schoonmaken’ en weer op gang brengen.”
Alles op slot
De eerste stap - recovery - is het verwijderen van eventueel geïnstalleerde malware, waarna alle wachtwoorden moeten worden gewijzigd. “Indien nodig, kunnen we ook een strengere firewall instellen. Hoe sneller, hoe beter; zodra een infectie is ontdekt in één onderdeel van het bedrijf, is het een kwestie van uren voordat aanvallers ook andere delen kunnen besmetten. Het is dan ook zaak om binnen die tijd alle onderdelen te isoleren. Als alles al op slot staat en het is een groot bedrijf, dan kan het een kwestie van weken zijn voor je weer up-and-running bent. Bij een grote besmetting kijken we daarom altijd naar welke onderdelen kunnen worden vrijgegeven zonder dat zich een reinfection kan voordoen.”
Serieuze, geprofessionaliseerde criminaliteit
“Het gaat hier om grootschalige cybercrime. Bedrijven worden afgeperst voor miljoenen, het zijn serieuze operaties. Net zoals dat wij een red, blue en strategisch team hebben, hebben zij een servicedesk, bouwers en strategen. Hackers verzamelen bijvoorbeeld informatie om door te verkopen aan andere partijen, die vervolgens hun foothold binnen het bedrijf zover uitbreiden dat ze uiteindelijk het bedrijf op slot zetten; zogenaamde ransomware operators. Ten slotte komt er een andere partij bij kijken die de onderhandelingen voert. Tussen kerst en oud en nieuw vreesden we bijvoorbeeld dat hackers de kwetsbaarheid in Log4J zouden inzetten. Via deze loggingmodule in softwarepakketten kon met een relatief eenvoudige hack remote code execution worden verkregen op het systeem waarop de kwetsbare software draait. Als deze toegang vervolgens wordt gekocht en wordt ingezet door ransomware operators had de kerstvakantie er heel anders uitgezien. Destijds viel het gelukkig mee, maar nu weten we dat de kwetsbaarheden actief worden misbruikt.”
De gouden driehoek
Cybersecurity bestaat uit drie componenten: people, process en technology. “Je technologie is zo goed als de mensen die ermee werken. Heb je een geweldige veiligheidstool ontwikkeld, maar vinden medewerkers het gebruik ervan te veel moeite? Dan zullen ze hem niet gebruiken en is je werk voor niets, met alle gevolgen van dien. Om mensen mee te nemen in het hoe en waarom, richt je je processen goed in. Het één kan niet zonder het ander. Daarom zijn er zoveel verschillenden mensen, interesses en passies nodig. Alleen al bij ons werken meer dan 250 professionals, ieder met een andere discipline waar hij of zij zich met ziel en zaligheid voor inzet. Alleen door die diversiteit kunnen we dat kat-en-muisspel winnen.”
Meer weten over de cybersecurity-teams van Deloitte, of ben je benieuwd of je profiel past bij een van de openstaande vacatures? Check het op www.werkenbijdeloitte.nl
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Deloitte en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_icc():strip_exif()/u/63694/spion200_250-150x150.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/117729/crop604a279adccd5_cropped.jpg?f=community){kind=small}
Ik vind zulke gedachtes altijd zo stom.
:strip_icc():strip_exif()/u/18339/rem.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/384352/Batman.jpg?f=community){kind=small}
:strip_exif()/u/473463/preloader-w8-cycle-black.gif?f=community){kind=small}
:strip_exif()/u/47368/icon3.gif?f=community){kind=small}