Achtergrondartikel


Bastiaan Bakker en Ronald van der Westen van Motiv:

‘Voorkom erger met Security Analytics’

Als er een misdrijf is gepleegd, wil je terug kunnen kijken in de tijd om te achterhalen wat er precies is gebeurd. “Dan wil je een wapen, een haar of een nagel op het plaats delict veiligstellen”, aldus Bastiaan Bakker, bij Motiv directeur Business Development. “Precies hetzelfde wordt op het gebied van cybercriminaliteit beoogd met Security Analytics, om criminelen en fraudeurs sneller op te pakken en erger te voorkomen.”

 “In het verleden lag de focus op het nastreven van honderd procent weerbaarheid”, zo vertelt Bakker (links op de foto) als we hem spreken op het hoofdkantoor van Motiv in IJsselstein. “De gedachte was toen nog: ‘maak die firewall maar dikker en dikker, en zorg dat de hackers buiten blijven.’ In de loop van de tijd zijn we tot het inzicht gekomen dat de hacker toch wel binnenkomt.”

“Inmiddels zetten we als security-industrie al geruime tijd in op securitymonitoring”, vervolgt Bakker. “We kijken continu mee wat er gebeurt op systemen en netwerken, en als we verdachte patronen zien, grijpen we in.” Ook deze aanpak is echter niet waterdicht. “Het zicht blijft beperkt tot de log die je geautomatiseerd analyseert, en dan zie je ook nog eens alleen de dingen waar je alert op bent.”

Ongestructureerde data
“Weerbaarheidsmaatregelen en securitymonitoring alleen volstaan niet”, zo maakt Bakker de tussenbalans op. Volgens de directeur Business Development van Motiv is er behoefte aan analyse van een bredere set aan securitydata die zich niet beperkt tot alleen de logfiles. Ronald van der Westen, bij Motiv manager van het Security Operations Center: “Met Security Analytics kijk je ook naar de ongestructureerde data, zoals packet dumps, memory dumps en documenten. Je doet als het ware een extra analyseslag over de Big Data de je beschikbaar hebt. Doordat die data verspreid over de hardware worden opgeslagen, kan de ‘bak met data’ snel worden doorzocht, door de rekenkracht van die verschillende systemen te gebruiken.”

Volgens Bakker en Van der Westen draait het bij Security Analytics vooral om het analyseren van gedrag en het ontdekken van afwijkende patronen ten opzichte van het gangbare. Dat kan dan betrekking hebben op het gedrag van apparaten, applicaties of gebruikers. “Als een gebruiker ineens ’s nachts naar de SAP-applicatie surft, of als een applicatie ineens met een andere database communiceert of ineens veel grotere hoeveelheden data verstuurt, dan zijn dat aanleidingen om het verkeer aan een nadere inspectie te onderwerpen”, licht Bakker toe. “Of als een ‘risky user’ veelvuldig op sites klikt die hij niet zou moeten bezoeken, dan is dat aanleiding om het verkeer met standaard filters te blokkeren en diepgaand te analyseren.”

DNA-onderzoek
“Zo kunnen we niet alleen op basis van weerbaarheidsmaatregelen en loganalyses maar ook op basis van gedragsanalyse criminaliteit voorkomen”, vervolgt Bakker. In die visie wordt Security Analytics ingezet om zo vroeg mogelijk in te grijpen in het aanvalsplan van een hacker, door bijvoorbeeld een poging tot het ontfutselen van inloggegevens of een geïnfecteerde machine te detecteren nog voordat de daadwerkelijke aanval of diefstal van data kan plaatsvinden.

“Vaak blijkt een hacker al honderden dagen binnen te zijn voordat hij of zij wordt opgemerkt”, zo benadrukt Van der Westen de noodzaak om een beter inzicht te krijgen in de ‘kill chain’ van de hacker. Op het moment van detectie kan met Security Analytics een belangrijke bijdrage worden geleverd aan het forensisch onderzoek. “Dan wil je terug kunnen kijken in de tijd, in die honderden dagen die aan de detectie vooraf zijn gegaan. Wat is er gebeurd? Via welke pc kwam de hacker binnen? En is er mogelijk nog meer aan de hand? Security Analytics in combinatie met Big Data biedt net wat meer informatie om het totaalplaatje zichtbaar te krijgen. Vergelijk het met DNA-onderzoek: door sporen zoals huidcellen te onderzoeken, kunnen we na een delict alsnog reconstrueren wat er is gebeurd.”

Fraude bestrijden
“Je wilt voorkomen dat je achteraan in de kill chain komt te zitten, en als er toch iets gebeurt, wil je terug kunnen kijken om erger te voorkomen en je beveiliging te verbeteren”, zo vat Bakker het kort en krachtig samen. In de visie van de directeur Business Development van Motiv dient Security Analytics echter ook nog een ander belangrijk doel: het opsporen van interne fraude. “Ook hier is gedragsanalyse interessant. Met gedragsanalyse ontdek je afwijkingen in de standaard patronen. Als een HR-medewerker ineens in de financiële administratie rondsnuffelt, wordt een nadere analyse interessant en kan dar aanleiding zijn om de ‘bandrecorder’ aan te zetten.”

“De grote kracht van Security Analytics is dat ‘bakken met data’ worden gevisualiseerd waardoor relaties snel zijn te leggen”, vult Van der Westen aan. “Mensen vinden het lastig om een bak met data te begrijpen en daar relaties in aan te brengen. Dat wordt met behulp van visuals een stuk eenvoudiger. Bijvoorbeeld een gebruiker die gegevens van een andere afdeling benadert, is dan sneller te identificeren.”

Eerst de basis op orde
Volgens Bakker en Van der Westen staat Security Analytics nog in de kinderschoenen, maar is er wel al vraag naar en is er ook al veel mogelijk. Bakker: “We kunnen nu bijvoorbeeld al filteren op phishingaanvallen en een profiel van de gebruikers opbouwen door in kaart te brengen wie op phishingmails klikt. Die informatie zouden we in de toekomst kunnen koppelen aan een database waarin de rechten van de gebruikers staan. Als vervolgens een gebruiker naar boven komt drijven die veel rechten heeft, en ook veel op phishingmails klikt, dan is die persoon een risky user. Op dat moment kun je ervoor kiezen om de bandrecorder aan te zetten om vervolgens verdachte patronen uit de ‘packet capture’ te kunnen filteren. Dat doe je niet alleen om vast te stellen dat er sprake is van criminele activiteiten, maar ook om bewijslast vast te leggen voor de veroordeling achteraf.”

“Security Analytics is de richting die we op gaan”, zo merkt Van der Westen op. Ook Motiv houdt de ontwikkeling nauwgezet in de gaten, als onderdeel van de continue verbetering van zijn portfolio. Daarbij is volgens Bakker wel een waarschuwing op zijn plaats. “Security Analytics heeft pas zin als je de basis goed op orde hebt. Je moet eerst beschikken over voldoende loginformatie om te voeden aan je SIEM-systeem en over een volwassen incident-responseproces om bij een alert in te kunnen grijpen. Vanuit een gedegen securitymonitoring kun je dan de stap zetten naar Security Analytics om je scope te verbreden. Dat vraagt om een expertiseniveau dat je beter kunt beleggen bij een partij die daar continu mee bezig is. Je moet bovendien kennis hebben van de business en de bedrijfsprocessen om bijvoorbeeld te begrijpen wat afwijkend gedrag is. Die combinatie van skills is lastig te vinden als security niet je core business is.”

“Zie Security Analytics ook niet als de heilige graal die de bad guys buiten gaat houden”, zo besluit Bakker. “Zie Security Analytics als ‘extra aanvullend’. Security Analytics helpt je om je monitoring en weerbaarheid te verbeteren en om in te grijpen als je bijvoorbeeld ziet dat iemand zit te klikken waar die persoon niet op hoort te klikken.”


Dit artikel is eerder gepubliceerd in de recent verschenen editie van Motivator Magazine, voorjaar 2016.

Lees meer over