Handel chirurgisch, niet lukraak: Precieze reacties op inbreuken

Het is nu algemeen aanvaard dat, hoeveel technologische beveiligingsmaatregelen organisaties ook nemen - webbeveiliging, endpointbeveiliging, CASB, noem maar op - iedereen moet plannen voor inbreuken, niet alleen preventie. Onthoud bij het plannen: context is king. U moet snel begrijpen waar de inbreuk vandaan komt, hoe de inbreuk is ontstaan, welke methoden zijn gebruikt en wie erdoor is getroffen. Waarom? Omdat u met precisie moet reageren, niet met een voorhamer.

De ervaring van Colonial Pipeline - en hoe het anders had kunnen zijn

Het beste voorbeeld is misschien wel de beruchte breuk in de Colonial Pipeline van vorig jaar. Zoals u zich wellicht herinnert, onderbrak deze de transmissie van benzine en vliegtuigbrandstof in een groot deel van het oosten van de Verenigde Staten, waardoor de Amerikaanse regering een noodtoestand afkondigde voor 17 staten en Washington, D.C.

Toen de systemen van Colonial Pipeline ten prooi vielen aan ransomware, hadden de eigenaren van het systeem blijkbaar moeite om de context van de aanval te begrijpen. Hoewel het erop leek dat alleen de factureringssystemen waren getroffen, kon het management niet zeker weten of de criminelen niet in staat waren om de pijpleiding fysiek aan te vallen - en zo een enorm gevaar voor leven en eigendom te veroorzaken.

Gezien het grote risico om door te gaan zonder volledig te begrijpen wat er nu eigenlijk aan de hand was, vond het management dat het "de knop moest omdraaien" en alles moest uitschakelen. De massale gevolgen varieerden van gasprijsstijgingen tot vertragingen bij luchtvaartmaatschappijen. En na bijna 50 jaar betrouwbaar te hebben gewerkt, is Colonial Pipeline nu vooral bekend vanwege haar cyberramp.

Wat zou er in plaats daarvan gebeurd kunnen zijn?

Zodra een beveiligingsbaken werd geactiveerd of dreigingsjagers een potentiële aantasting hadden geïdentificeerd, had Colonial Pipeline de exacte omvang van de aanval kunnen weten. Met die informatie had het bedrijf gericht kunnen reageren en onnodige gevolgen voor systemen die niet daadwerkelijk waren aangetast, kunnen voorkomen.

Sommige elementen van de respons kunnen automatisch zijn geactiveerd, hetzij op API-integratieniveau, hetzij via playbooks of runbooks. Waar dat niet mogelijk was, kon precieze informatie worden verstrekt aan analisten die de bevoegdheid hadden om complexere handmatige mitigaties uit te voeren, zoals het opnieuw opbouwen van systemen of hersteltaken. Diepe integratie - of je het nu een mesh-architectuur of iets anders noemt - zou dan waar nodig de relevante respons sturen.

Dat zou allemaal sneller zijn gegaan, waardoor de wachttijd korter was geweest en de schade beperkt was gebleven. Veel van de gevolgen van de sluiting hadden dan kunnen worden vermeden, net als een groot deel van de langetermijngevolgen voor de reputatie.

Maak gebruik van alle aanwijzingen die in uw e-mail verborgen zitten

Aangezien meer dan 90% van de inkomende aanvallen zich in eerste instantie via e-mail manifesteert, is het van cruciaal belang om snel accurate informatie uit e-mail te halen en ook om snel actie te ondernemen wanneer er aanwijzingen van een potentiële inbreuk opduiken. Een enkel inkomend bericht vermeldt de beoogde ontvanger, de vermoedelijke afzender, de infrastructuur die is gebruikt om het bericht te verzenden, hoe het door het netwerk is gegaan en natuurlijk de inhoud: tekst, bijlagen, ingesloten afbeeldingen, URL's. Deze context biedt waardevolle aanwijzingen om de aanvalsketen te achterhalen en de oorspronkelijke e-mail te vinden. Om de meest geschikte reacties te bepalen, moet u ze gebruiken voor alles wat ze waard zijn. Dat begint met het invoeren van e-mailinzichten in de gecentraliseerde toolsets die u gebruikt - SIEM, SOAR, XDR, wat dat ook moge zijn.

Laten we een eenvoudig voorbeeld nemen. Een e-mail komt op de een of andere manier door de primaire beveiligingen heen, maar een ingebouwde back-upverificatie herkent een potentiële bedreiging. Deze herkenning geeft de service Secure Email Gateway van Mimecast het signaal om dezelfde e-mail onmiddellijk te verwijderen uit elk van de mailboxen die hij heeft bereikt - nog voordat de meeste ontvangers hebben geprobeerd de e-mail te openen. Aangezien ik weet dat het bericht slechts een paar mailboxen heeft bereikt en ik precies kan vaststellen wie er wel of niet mee heeft gewerkt, hoef ik geen maatregelen te nemen waar dat niet nodig is.

Beschouw nu een moderne phishingaanval, afkomstig van een kwaadaardige Office 365-omgeving die onlangs is opgestart om deze te ondersteunen. De e-mail vertelt ons van welke individuele afzender hij zich voordoet, en we zien dat hij de gebruiker terugleidt naar dezelfde schadelijke Office 365-infrastructuur. Wanneer we de bestemmings-URL scannen, vinden we een SSL-certificaat dat niet overeenkomt, wat aangeeft dat het zich voordoet als een legitieme site. We detecteren phish-kits die zijn ingesloten in de pagina, gelinkt aan de kwaadaardige bijlage die we hebben gevonden.

We kunnen nu de aanval teruglopen, om de gevolgde route te zien. We zien dat zes van onze eindpunten probeerden in te loggen, en elk klikte op dezelfde URL in dezelfde email. We kunnen de e-mail traceren tot aan de oorsprong, en zien waar de afzender vandaan kwam, welk domein hij gebruikte, zelfs welke infrastructuur werd gebruikt om de e-mail door te sturen.

Concentreer je op het echte probleem, en laat de rest met rust

Als team kunnen we nu snel afleiden hoe ver de bedreiging zich heeft verspreid en hoe groot de impact ervan in onze organisatie is. We kunnen zien of we al dan niet kwaadaardige aanmeldingen zien van de personen van wie we weten dat ze de e-mail hebben ontvangen. Met die kennis kunnen we op intelligente wijze, via automatisering, orkestratie of handmatig. We kunnen de gevaarlijke URL blokkeren op al onze e-mailplatforms, en voorkomen dat die afzender een van onze ontvangers bereikt. Zoals eerder besproken, kunnen we ook alle schadelijke e-mails verwijderen die er al doorheen zijn gekomen, door snel op alle mailplatforms te herstellen om de bedreiging weg te nemen.

Net zo belangrijk is dat we weten wat we don't moeten doen. We hoeven de machines van de gebruikers niet te scannen op malware; we hebben vastgesteld dat het gewoon een phishing site is. Ik heb vastgesteld dat de gebruikersgegevens in gevaar waren, maar verder niets.

We zijn ook in staat om proactiever te zijn. We beschikken bijvoorbeeld over de tools en integraties om tabletop-oefeningen te houden, te ontdekken wat er echt zou kunnen gebeuren in een situatie van hoge druk, en onze systemen aan te passen om doeltreffender te reageren, eventueel met meer uitgebreide automatisering.

De kern van de zaak

Door de juiste informatie vast te leggen en de juiste integraties tot stand te brengen, kunt u een reactie op inbreuken plannen waarbij de scalpel wordt gehanteerd en niet de voorhamer - en het probleem snel wordt verholpen zonder de patiënt te doden.

Meer informatie over Mimecasts Alliance & API-ecosysteem.