Inleiding

Eén vergeten patch en ransomware heeft binnen enkele minuten alle bedrijfsdata versleuteld. Eén enkel e-mailtje en de financiële afdeling heeft een recordbedrag overgemaakt naar de verkeerde rekening. Honderden wachtwoorden, maar zijn ze wel sterk genoeg?

Ondernemers liggen steeds vaker wakker met de vraag of hun cybersecurity wel op orde is. We zien als EYE dan ook vele oplossingen op de markt komen die fundamenteel van elkaar verschillen. Soms prachtige kleurrijke software-oplossingen met flitsende designs, anderen in de vorm van een zwart kastje dat je alleen maar hoeft aan te sluiten op het bedrijfsnetwerk. Dat laatste klinkt natuurlijk aanlokkelijk. Maar hoe werken deze kastjes eigenlijk? Wat is de beveiligingswaarde ervan? Zijn er betere oplossingen te bedenken, of zijn die gelijk veel te duur? EYE zocht het uit.

Wat doet EYE

EYE is een cybersecuritybedrijf opgericht door enkele oud-medewerkers van de Nederlandse inlichtingen- en veiligheidsdiensten die jarenlang hebben bijgedragen aan het cyberprogramma van de Nederlandse overheid. Tegenwoordig zetten zij hun kennis en expertise in om het MKB in Nederland te voorzien van praktische cybersecurity oplossingen die écht werken.

Wat wil het MKB

Als ondernemer met een eigen bedrijf wil je je natuurlijk vooral richten op je core business. Het liefste besteed je de meeste tijd aan het verbeteren van je eigen producten, de relatie met je klanten en het opleiden en laten groeien van je eigen medewerkers.

Cybersecurity is vaak een bijzaak. Een moetje. Cyber dreiging is iets dat als een soort donkere wolk boven je kan hangen zolang je die cyber security niet op orde hebt, maar waarvan je eigenlijk niet zo goed weet hoe die eruit ziet. En het liefste denk je er ook helemaal niet over na.

Een goede oplossing op cybersecurity gebied is dan ook makkelijk in te zetten, kost weinig onderhoud en als ondernemer hoef je er ook vooral niets vanaf te weten. Zolang het maar werkt. Alleen dat beoordelen of een oplossing wel doet wat deze belooft is nogal lastig in de cyber security. Zolang het goed gaat merk je er niets van dus zolang je er niets van merkt zou alles goed moeten gaan. Met onze expertise hebben we diverse oplossingen eens goed aan de tand gevoeld om te kijken wat je er dan precies van zult merken als het een keer niet goed gaat.

Typen oplossingen

Preventie is stap één in de cybersecurity. Maar met bijvoorbeeld alleen een firewall ben je er natuurlijk nog niet. Je wilt het ook nog detecteren als er toch iets doorheen komt. Er zijn dan ook diverse detectiemethoden op de markt om dreigingen te herkennen en te stoppen. De belangrijkste detectieoplossingen zijn netwerk sensoren en endpoint detectie.

Netwerk Sensor: De Black Box

Allereerst de netwerk sensor. Qua gebruikersgemak staat deze natuurlijk op nummer 1. Je hoeft hem alleen maar op een strategische plek in het netwerk te plaatsen en daarna gaat de rest vanzelf.

De netwerk sensor bekijkt al je netwerkverkeer en genereert een alertering indien er afwijkend gedrag wordt gedetecteerd. Deze vorm van detectie wordt een Intrusion Detection System (IDS) genoemd. Een Intrusion Prevention System (IPS) is een uitbreiding hierop, waarbij het verkeer ook actief geblokkeerd kan worden.

De manier waarop netwerkverkeer wordt herkend kan ook nog wel eens verschillen. Zo is er rule-based detectie, waarbij op basis van regels wordt herkend of alles goed gaat. Maar er zijn ook detectiesystemen die meer naar gedrag kijken, of zelfs zelflerend zijn en gebruik maken van technieken uit de kunstmatige intelligentie.

Voor de MKB markt is er de laatste tijd een simpele en toegankelijke vorm van een Intrusion Detection System op de markt, vaak verkocht in de vorm van een "Black Box".

Black Box

Er zijn diverse aanbieders van de Black Box. Sommigen hebben er een mooie sticker op geplakt, anderen hebben de behuizing professioneel een kleurtje gegeven. Maar het gaat natuurlijk om wat de box doet. Wij hebben er ééntje open geschroefd die onder verschillende merknamen op de markt was. Hiervan hebben we een kopie gemaakt van de software die er op draaide. Vervolgens hebben we het kastje onderworpen aan een uitgebreide test waarin we allerlei veelvoorkomende aanvallen hebben gesimuleerd.

De hard disk van de Black Box was in ons geval een mSATA HD. Om een forensische kopie te kunnen maken zonder de inhoud te wijzigen, hebben we een paar stappen gezet. We hebben hem eerst in een mSATA naar USB3 converter aangesloten en vervolgens aan een Linux Virtual Machine gekoppeld zonder auto-mount. Vervolgens hebben we het dd commando gebruikt om een image te maken.

dd if=/dev/sdb of=image.dd conv=noerror,sync bs=1M

Vervolgens hebben we met fdisk gekeken welke partities er aanwezig waren op de hard disk.

$ fdisk -l image.dd

Disk ./image.dd: 111.81 GiB, 120034689024 bytes, 234442752 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x0004f413

Device      Boot     Start       End   Sectors  Size Id Type
./image.dd1 *         2048   2099199   2097152    1G 83 Linux
./image.dd2        2099200  10227711   8128512  3.9G 82 Linux swap / Solaris
./image.dd3       10227712 115085311 104857600   50G 83 Linux
./image.dd4      115085312 234440703 119355392 56.9G  5 Extended
./image.dd5      115087360 234440703 119353344 56.9G 83 Linux

Er bleken zich drie data partities op de disk te bevinden. Die kunnen vervolgens gemount worden.

losetup --partscan --find --show -r ./image.dd
mount /dev/loop9p1 /mnt/disk

Met hier p1, p3 en p5 de data partities. p1 was de boot partitie, p3 de root en p5 /home.

Wat blijkt, de black box genereert met behulp van tcpdump en een custom binary ipflow data die vervolgens in UDP pakketten wordt doorgestuurd naar de servers van de leverancier. Daarnaast wordt met OpenVAS af en toe het interne netwerk gescand. Sommige aanbieders draaien daarnaast nog een Nessus scan op je externe infrastructuur zoals je website, subdomeinen en externe IP adres.

Endpoint Detection

Bij endpoint detectie systemen wordt een stukje software geïnstalleerd op alle endpoints in een netwerk, dus op alle werkstations en servers. In tegenstelling tot bij een netwerksensor kan nu ook worden gekeken naar wat er allemaal gebeurt op die systemen zelf, dus zonder dat er netwerkverkeer heen en weer gaat.

Dit ken je mogelijk nog wel van die goede oude virusscanner. Misschien gebruikte je ooit AVG of Avast, die waren gratis maar begonnen op een gegeven moment toch wel veel aandacht te trekken met reclame uitingen. Misschien heb je een keer de stap gemaakt en Norton of McAfee aangeschaft. Grote zware pakketten waarvan je altijd het vermoeden had dat je systemen er trager van werden, maar dan moest het wel goed werken toch?

Bij klassieke antivirus producten werden bestanden gescand op virussen. Als er iets niet werd vertrouwd werd het bestand ontoegankelijk gemaakt zodat het virus niet toe kon slaan. Maar de manier van herkenning liet nog wel eens te wensen over, zo werd er alleen maar naar bestanden gekeken en werden ook nog lang niet alle kwaadaardige bestanden herkend. Alleen als ze op de zwarte lijst stonden werden ze tegengehouden. Ik kan me herinneren dat er een tijd was dat je veel virusscanners om de tuin kon leiden door een enkele letter te veranderen in een bestand, bijvoorbeeld door de naam van een virus te wijzigen van Virus naar Wirus.

Endpoint detectie is de moderne variant van een virusscanner. Er wordt niet meer alleen gekeken naar een zwarte lijst met virussen, maar naar alles wat mogelijk een bedreiging kan vormen voor je systemen. Zo zal het ook detecteren als er opeens een hoop vreemde inlogpogingen worden gedaan, of als er rare administratieve trucjes worden toegepast. Daarnaast verzamelt een endpoint detectie systeem ook allerlei gegevens die als context kunnen dienen om duiding te geven aan de meldingen die uit het systeem komen.

Vaak wordt een endpoint detectie systeem gecombineerd met een methode om ook actief te reageren op gedetecteerde dreigingen. We spreken dan over Endpoint Detection and Response (EDR).

Bij EYE hebben we al eerder een grote test gedaan waarbij we diverse EDR producten met elkaar hebben vergeleken. Onder andere hebben we gekeken naar het detectieniveau, door honderden verschillende stukjes zeer recente en diverse malware er tegenaan te houden. Van criminele ransomware tot geavanceerde rootkits van statelijke actoren. Wat blijkt, er zijn verschillende aanbieders die ze allemaal tegen wisten te houden.

Vulnerability Scanning

Een extra functionaliteit die de black box biedt is vulnerability scanning. Er worden dan met enige regelmaat automatische netwerkscans uitgevoerd met als doel het herkennen van kwetsbare apparaten of software in het bedrijfsnetwerk. Dit kan overigens in sommige netwerken met bijvoorbeeld veel aangesloten industriële apparatuur extra risico's met zich meebrengen, we hebben wel eens meegemaakt dat een apparaat offline ging van enkel een netwerkscan. Sommige apparatuur is nou eenmaal wat fragiel.

Vanuit een EDR product kan ook gekeken worden naar gebruikte software in een netwerk. Door de aanwezigheid van het EDR product op alle endpoints kan een lijst met versienummers van geïnstalleerde en draaiende software makkelijk worden samengesteld en vergeleken met lijsten met bekende kwetsbaarheden.

Naast het scannen op kwetsbaarheden zou je met netwerkscans ook zogenaamde shadow-IT op kunnen sporen. Dit zijn apparaten die niet in de administratie staan, maar door medewerkers zelf zijn aangesloten. Doordat deze uit het zicht van de IT afdeling zijn gebleven is er een grotere kans dat deze misschien wel niet helemaal up-to-date zijn en daardoor kwetsbaarder voor een aanval. De Black Box bood deze functionaliteit niet. Met een EDR oplossing kun je shadow-IT ook opsporen, aangezien er vaak toch een verbinding bestaat met één van de wel bekende endpoints.

Cloud / Office365

Wat in onze ogen tegenwoordig een noodzakelijke aanvulling is op zowel een netwerk sensor als een endpoint detectie systeem is logging uit de cloud. Veel bedrijven gebruiken al Office 365 en de hoeveelheid afkortingen die eindigen op *aaS groeit met de dag. Inzicht in wat er allemaal gebeurt met jouw accounts en gegevens in de cloud is cruciaal om ook daar een aanval tijdig te kunnen stoppen.

Gelukkig zijn ook hiervoor oplossingen op de markt die we liefste allemaal samen laten komen in een zogenaamd SIEM systeem, wat weer staat voor Security Information and Event Management. Op die manier kun je alerts uit de cloud correleren met alerts vanaf je endpoints. Bij EYE houden we ook deze markt nauwlettend in de gaten.

De Praktijk Test

Om de Black Box eens goed aan de tand te voelen hebben we de volgende tests uitgevoerd. Hiermee proberen we een zo breed mogelijk scala aan aanvallen na te bootsen die op dit moment in onze ogen de grootste dreiging vormen voor gemiddelde bedrijfsnetwerken.

We hebben alleen maar tests uitgevoerd die kans maken om gedetecteerd te worden door de Black Box. Een besmetting met ransomware via een phisingmailtje bijvoorbeeld hoeven we niet eens te testen, want daarvan gaat niets te zien zijn in het netwerkverkeer.

Op het moment dat een stukje ransomware in een phishingmail binnenkomt, zal dit waarschijnlijk zijn omdat jouw computer via het HTTPS of IMAPS protocol met jouw eigen mailserver heeft gepraat. Die verbinding is versleuteld en het feit dat die verbinding wordt opgezet is natuurlijk niet verdacht.

Stel nou dat je er in zou trappen en de phishingmail opent met daarin bijvoorbeeld een Excel sheet als attachment. Vervolgens open je het attachment en wordt er gevraagd om macro's toe te staan. Natuurlijk weet je dat je dit nooit moet doen, maar stel nou dat je het toch doet en die macro bevat een stukje ransomware dat vervolgens al je bestanden begint te versleutelen. Op geen van deze momenten zal er nog netwerkverkeer worden gegenereerd. Dus de black box ziet hier helemaal niets van.

Test Omschrijving Resultaat
Verkeer richting kwaadaardige IP adressenWe hebben getest of de black box verkeer herkent richting IP adressen die erom bekend staan dat ze gebruikt worden door criminelen of hackers van inlichtingendiensten. We hebben 24 criminele IP adressen getest en 8 IP adressen van de zogenaamde GRIZZY STEPPE groep. Die laatste wordt toegeschreven aan een Russische inlichtingendienst die probeert sabotageaanvallen uit te voeren op onder andere energiebedrijven.Geen enkel IP adres werd herkend.
Verkeer richting TOR exit nodesWe hebben getest of de black box reageert op verkeer richting het TOR netwerk. TOR is een netwerk dat gebruikt wordt om anoniem te blijven om internet. Het wordt onder andere gebruikt door dissidenten en mensenrechtenactivisten in regio's waar zij een reëel gevaar lopen als hun online activiteiten worden onderkend, maar ook door criminele hackers om te verhullen waar ze vandaan komen. We hebben de IP adressen van de 40 grootste TOR exit nodes getest.Geen enkel IP adres werd herkend. Ook niet toen we grote hoeveelheden data begonnen te uploaden via het TOR netwerk.
Verkeer richting phishing sitesWe hebben getest of de black box herkent dat er een bekende phishing site wordt bezocht, waar criminelen proberen je inloggegevens te stelen. Hiervoor hebben we gebruik gemaakt van de feed van openphish. We hebben 848 verschillende URL's bezocht.22 van de 848 actieve phishing sites werden herkend. Daarnaast gaf de black box nog een melding dat er een verbinding was opgezet naar een verdacht land en dat er twee geparkeerde domeinen werden bezocht die in het verleden malware bevatten.
PoortscansHackers gebruiken vaak portscanning om in een netwerk rond te kijken wat er allemaal nog meer te vinden is. We hebben een interne portscan gedraaid en een externe portscan.De portscans werden niet herkend.
Brute force aanvallenHackers proberen wel eens honderden wachtwoorden uit om te testen of ze er eentje kunnen raden. Wij hebben een brute force aanval nagebootst waarbij we 99 verkeerde wachtwoorden probeerden en afsloten met het juiste wachtwoord. Dit hebben we zowel op een Remote Desktop verbinding als op een File Share geprobeerd.Beide brute force aanvallen werden niet herkend.
Verdachte HTTP DownloadWe hebben bekende malware via het HTTP protocol binnengehaald. Natuurlijk gebruikt bijna alles tegenwoordig HTTPS, maar we wilden de black box de kans geven om er iets van te vinden. We hebben de file ook nog eens Ransomware.zip genoemd. De black box bleef stil.
Lateral MovementLateral Movement is wat aanvallers doen als ze van systeem naar systeem verbinden binnen je netwerk. Soms komen ze binnen op minder interessante systemen en willen ze bijvoorbeeld naar de fileserver of backupserver. Hiervoor worden diverse tools gebruikt. Wij hebben SMBExec en WMIExec getest.Beiden werden niet herkend.
Bittorrent verkeerIllegaal films downloaden, wat zou de black box daarvan vinden?Dat mag natuurlijk niet, hier slaat de black box wel op aan!

Al deze meldingen vielen in de categorie laag of gemiddeld risico. Het is ons niet gelukt om een melding te krijgen in de categorie hoog of kritiek. Opvallend was dat de box vooral meldingen bleef geven over de SSH sessie die ik nog open had staan naar een externe server. Samen met de alerts voor het bezoeken van websites in "verdachte landen", is ons vermoeden dat de box nog wel eens veel "False Positives" zou kunnen genereren.

Een functionele vergelijking

In de praktijktest kwam al snel naar voren dat er hele categorieën aanvallen zijn die de black box niet eens zou kunnen zien. Het heeft dus weinig zin om deze te testen. Maar vanuit een breder security perspectief is het natuurlijk wel belangrijk om de limieten van de verschillende oplossingen te kennen. We hebben vijf scenario's geschetst die we op dit moment zien als de grootste cyberrisico's voor een gemiddeld bedrijf. Vervolgens hebben we functioneel bekeken of een bepaald type cybersecurity oplossing hier tegen bescherming zou kunnen bieden. Daaruit komen de volgende resultaten.

Black Box

Wat we zien is dat de netwerk sensor in veel gevallen achterblijft op endpoint detectie. Bij het klikken op een phishing link is er nog een kans dat de netwerk sensor hierop een alert genereert, maar zodra er malware via een e-mail binnenkomt kan deze het al niet meer zien.

Ook het detecteren van bruteforce pogingen op extern openstaande services is lastig. Iedereen die wel eens een server aan het internet heeft gehangen weet dat deze meteen zal worden overspoeld met inlogpogingen. Pas de correlatie tussen vele gefaalde pogingen met afsluitend een succesvolle poging wordt interessant om te onderzoeken. In het netwerkverkeer is niet altijd te onderscheiden of een poging slaagt of niet.

Andere aanvalstechnieken gaan helemaal buiten de netwerksensor om, of de netwerksensor kan alleen versleuteld verkeer zien. Voor een oplossing die de meeste van deze veelvoorkomende scenario's kan herkennen moeten we toch denken aan een combinatie van endpoint detectie en cloud detectie.

Eindoordeel

Netwerksensoren waren de eerste vorm van cybersecurity oplossingen na de virusscanner die werden uitgerold in grote en kleine netwerken. Het was altijd een goede aanvulling op die virusscanner en hackers moesten tenslotte op een manier je netwerk inkomen, dus het was ook de meest logische plek om te kijken of je daar sporen van kon zien.

In de afgelopen vijf jaar hebben we echter gezien dat bijna al het verkeer versleuteld is geworden. Je browser laat geen groene slotjes meer zien als je HTTPS gebruikt, want dat is de standaard geworden. Nu komen er zelfs waarschuwingen als je gewoon HTTP gebruikt, wat dan ook steeds minder voorkomt. Ook malware en phishing sites gebruiken in meer dan de helft van de gevallen al HTTPS voor hun communicatie en die trend zet hard voort.

Black Box

Daarnaast zijn IP adressen met de komst van cloud hosted virtual servers steeds vluchtiger geworden, binnen twee klikken heb je een nieuw IP adres online. Met certbot en Letsencrypt heb je in enkele seconden een valide SSL certificaat.

De toegevoegde waarde van een netwerksensor is in de afgelopen jaren dan ook snel afgenomen. Het zou in sommige specifieke gevallen nog een goede aanvulling kunnen zijn op andere detectiemethoden. Maar dat kan dan alleen als er achter de netwerksensor een zeer goede actuele threat intelligence database hangt, met een goede dekkingsgraad van actuele dreigingen. Daarnaast zou de netwerksensor over een zeer goede ruleset moeten beschikken waarmee bepaalde gedragingen van hackers op je netwerk mogelijk herkend kunnen worden.

De black box die wij hebben getest lijkt echter ook op al deze vlakken niet waar te maken wat deze belooft. We hebben ons best gedaan om allerlei technieken uit te testen waarvan wij dachten dat deze erop aan zou slaan, maar we hebben slechts enkele alerts weten te genereren.

Daarnaast ziet het er ook uit dat er met de black box een risico bestaat op alert fatigue. Dit houdt is dat er veel, vaak onbegrijpelijke alerts naar boven komen met allemaal een laag of gemiddeld risico. Het is dan voor een eindgebruiker al snel niet meer duidelijk welke alerts echt belangrijk zijn en welke niet. De black box die wij hadden getest kwam met allerlei resultaten van een standaard scan met Nessus die waarschijnlijk vrij onbegrijpelijk zijn voor een eindgebruiker en plaatste deze in de categorie "laag risico". Zo lazen we op een gegeven moment: "The remote web server in some responses sets a permissive Content-Security-Policy (CSP) frame-ancestors response header or does not set one at all. The CSP frame-ancestors header has been proposed by the W3C Web Application Security Working Group as a way". De zin wordt niet afgemaakt. Wel krijgen we bij de melding vermeld dat dit een laag risico is. Maar vervolgstappen worden in het midden gelaten.

Ons eindoordeel is dan ook dat wij vooral geloven in de kracht van endpoint detectie, in de vorm van een EDR (Endpoint Detection and Response) product. Wij hebben de top 10 EDR producten op de markt aan grondige tests onderworpen en hebben er één geselecteerd die we op dit moment inzetten voor onze klanten. Deze hield 100% van de aanvallen tegen die we erop hebben uitgeprobeerd zonder ons te overladen met False Positives.

Omdat veel bedrijven tegenwoordig in meer of mindere mate gebruik maken van cloudoplossingen is onze mening dat een EDR oplossing het sterkst is in combinatie met een SIEM waar cloud integratie al bij inbegrepen zit. Een verdachte inlogpoging op een Office365 account of het per ongeluk uitlekken van AWS keys zal dan ook direct gezien worden zodat er actie kan worden ondernomen.

Maar een EDR product en SIEM zijn weinig waard als er geen duiding gegeven kan worden aan de meldingen die eruit komen. Het is dan ook belangrijk dat er experts beschikbaar zijn om mee te kijken met de meldingen die eruit komen rollen. Deze expertise is schaars, maar EYE maakt deze tegenwoordig in betaalbare pakketten toegankelijk voor het MKB in Nederland.

Interesse in endpoint detectie in combinatie met cloud detectie?