Detecteren van verdacht gedrag houdt systemen veilig

Insider Threats

Publieke organisaties hebben op het gebied van security twee belangrijke uitdagingen, zegt Alex Nijland. Sales Specialist Security Operations bij Opentext. “Als eerste is dat het thema ‘insider threats’. Die zijn lastig te detecteren, en er is momenteel nog te weinig aandacht voor. Dat komt omdat er vaak gedacht wordt dat er geen oplossing is, of omdat de oplossing veel geld en mankracht kost. Maar er bestaat wel degelijk een oplossing, en we zien steeds meer interesse vanuit bijvoorbeeld CISO’s die met ons in gesprek willen over dit onderwerp.”

In eerste instantie kloppen zij met hun vragen aan bij de grote aanbieders, maar steeds vaker zien zij de waarde van gespecialiseerde aanbieders als Opentext (OT). “We zien de erkenning dat ons verhaal inhoudelijk sterk is, zeker als het gaat om het detecteren van gedrag dat afwijkt van normaal gedrag. We hebben een oplossing die gebruik maakt van unsupervised machine learning. Deze methode kijkt naar gedragingen van accounts – dat kunnen zowel laptop of servers zijn – om per entiteit een baseline vast te stellen. Afwijkingen van dat patroon worden opgepikt, ook als er geen regels worden overtreden. Zo kan ook low and slow gedrag, waarbij een aanvaller langzaam en behoedzaam zich in de organisatie beweegt, gedetecteerd worden.”

Wat deze benadering volgens hem onderscheidt van traditionele SIEM- of SOC-oplossingen, is dat het niet werkt met vooraf ingestelde regels, maar met dynamische profielen die zich aanpassen aan het werkelijke gedrag van een account of systeem. “De oplossing vereist bovendien geen installatie van software, maar gebruikt bestaande datasets van bijvoorbeeld Microsoft Defender of CrowdStrike. Die gegevens worden geanalyseerd door honderden machine learning-modellen. Op basis daarvan wordt afwijkend gedrag gedetecteerd die kan duiden op risicovolle activiteiten, met een nadruk op zowel individuele als peer-to-peer (tussen accounts en/of systemen) vergelijkingen. Het resultaat is een rapport met geprioriteerde, relevante gebeurtenissen, zonder dat er false positives ontstaan.”

OT Adversary Signals

Een tweede thema dat wordt besproken is de zogenoemde OT Adversary Signals service, waarbij gekeken wordt naar de werkelijke cybergrens van een organisatie, die niet eindigt bij de firewall of het SOC, maar verder ligt: bij de plekken waar assets met het internet in verbinding staan. “De oplossing analyseert Signal Data en detecteert wie er aan de cyber grens van de organisatie staat en binnen probeert te komen en met welke technieken – inclusief aanvallen van statelijke actoren. Het is een unieke propositie voor een kleine, maar kritieke doelgroep zoals kritieke nationale infrastructuur of overheidsorganisaties.”

Het geeft overheidsinstanties “near-real-time” inzicht in welke actoren aanvallen uitvoeren, welke technieken ze gebruiken en waar de aanvallen geografisch vandaan komen. Tevens zal de Adversay Signals service ook data-exfiltratie detecteren wanneer deze plaats vindt richting verdachte infrastructuur en/of onbekende geografische locaties.

AI speelt hierbij uiteraard een rol, maar het is belangrijk onderscheid te maken tussen de veelbesproken generatieve AI en de al veel langer toegepaste machine learning-modellen die hier een rol spelen.” AI wordt hier ingezet tegen AI, om gelijke snelheid en intelligentie te behouden bij het analyseren van mogelijke bedreigingen. Zo wordt voorkomen dat menselijke analisten, hoe getalenteerd ook, het tempo van geavanceerde aanvallen niet meer kunnen bijhouden.”

Dit alles speelt zich af binnen een spanningsveld waarin organisaties enerzijds privacy en soevereiniteit moeten waarborgen, maar anderzijds ook hun organisatie moeten beschermen tegen cyberdreigingen dreigingen. “De oplossing biedt inzicht zonder installaties, maakt gebruik van bestaande infrastructuur en voldoet aan gangbare voorwaarden rond dataverwerking en privacy. De doelgroep bestaat met name uit grotere organisaties, gezien de hoeveelheid data die nodig is voor een zinvolle analyse. Het uiteindelijke doel is het verminderen van risico’s en het ondersteunen van SOC-teams met relevante, onderbouwde insights.”

Meldingen

Om de hoeveelheid meldingen beheersbaar te houden en de kwaliteit van de signalering te waarborgen, is er ook een laag ingebouwd die ervoor zorgt ervoor dat klanten alleen meldingen ontvangen die onderbouwd zijn met een gedetailleerde analyse: waarom iets wordt gezien als anomalie, welke acties eraan ten grondslag liggen en welke account of IP-adres daarbij betrokken is. “Dit maakt het verschil tussen een simpele melding en een echt bruikbaar signaal. Daarbij worden ook scoremechanismen gebruikt: afwijkend gedrag leidt tot een hogere score, en juist de low and slow-incidenten bouwen geleidelijk een statistisch profiel op dat uiteindelijk als risicovol wordt aangemerkt.”

Deze benadering biedt bovendien een proactieve component aan security, die verdergaat dan de reactieve benadering van traditionele SOC-teams. “Door gedragspatronen vroegtijdig te herkennen, kunnen maatregelen worden genomen voordat iets daadwerkelijk een dreiging wordt. Het risico op false positives wordt door deze aanpak aanzienlijk verkleind, en tegelijkertijd wordt overbelasting van SOC-teams voorkomen. Het past binnen bredere kaders van risicomanagement en compliance, hoewel in de praktijk gesprekken vooral plaatsvinden met CISO’s en zelden met risk- of compliance-afdelingen – mogelijk vanwege het technische karakter van de oplossing.”

Budget

Een extra uitdaging is nog wel het verkrijgen van aandacht en budget. “Budgetten zijn doorgaans gericht op externe dreigingen. Volgens recent onderzoek gaat slechts acht procent van de securitybudgetten naar insider threats, terwijl die dreiging significant is. Vaak worden ook privacybezwaren genoemd, met als argument dat monitoring van medewerkers niet wenselijk is. De vraag is dan: wat weegt zwaarder – de privacy van een medewerker of de veiligheid van bedrijfsinformatie?”

Daarom maakt de oplossing geen gebruik van toetsaanslagen of andere vormen van directe gedragsregistratie, maar werkt het op basis van geanonimiseerde patronen en modellen. “Toch leeft het beeld dat het een zwaar project is, mede doordat eerdere pogingen van andere partijen niet succesvol waren. Daarom wordt vaak gewerkt met een proof of value: een kosteloze en vrijblijvende analyse op basis van bestaande data, die laat zien of de oplossing waarde toevoegt. Als er niets wordt gevonden, is er ook niets verloren. Wordt er wel iets gevonden, dan ligt er direct bewijs voor de toegevoegde waarde – al betekent dat mogelijk ook dat er budget moet worden aangevraagd.”

Hij besluit: “De waarde van onze oplossing ligt in het kunnen zien van wat normaal onzichtbaar blijft, in een wereld waarin snelheid en subtiliteit van aanvallen steeds groter worden. Het stelt organisaties in staat om vroegtijdig te reageren, risico’s in kaart te brengen en zich te wapenen tegen zowel interne als externe dreigingen, met een aanpak die past binnen bestaande infrastructuren en regelgeving.”