Het Mythos-tijdperk overleven: Richard Bejtlich over de zaak voor NDR

Cyberbeveiliging
Het Mythos-tijdperk overleven: Richard Bejtlich over de zaak voor NDR

Ondanks de overvloed aan telemetrie waarover analisten beschikken, hebben veel beveiligingsteams moeite met het beantwoorden van een paar basisvragen tijdens incidentonderzoek: Wat is er gebeurd? Welk bewijs hebben we? Hoe weten we dat we het allemaal in context zien?

Om deze vragen te kunnen beantwoorden, moeten teams verder gaan dan waarschuwingen, de meest gebruikelijke basis voor initiële triage. Maar onderzoeken (en de uitkomsten ervan) vereisen verdedigbaar bewijs, geen aannames, wat waarschuwingen vaak bieden.

Waarschuwingen worden minder nuttig naarmate het ontdekken van kwetsbaarheden versnelt (ook wel het Mythos-tijdperk genoemd). De meeste organisaties kunnen de hoeveelheid nieuwe bevindingen niet onderzoeken met bestaande workflows. Zelfs met de toegenomen automatisering hebben SecOps-teams gevalideerd bewijs nodig van actieve exploitatie en blootstelling, en niet meer ruwe telemetrie.

Omdat AI zowel aanvallen als verdediging versnelt, moeten beveiligingsteams de basis leggen waarmee ze bevindingen kunnen valideren, het gedrag van aanvallers kunnen begrijpen en verdacht verkeer kunnen tegenhouden voordat dit tot een inbreuk leidt.

van Richard Bejtlich NDR Essentials: een praktische gids voor netwerkdetectie en -responsgepubliceerd in samenwerking met Corelight, onderzoekt hoe netwerkdetectie en respons (NDR) praktijkmensen helpt bij het navigeren door het huidige tijdperk van netwerken. De gratis gids is een inleiding tot NDR en een praktisch hulpmiddel voor teams die de jacht op bedreigingen en door AI ondersteunde onderzoeken willen versterken.

Het pleidooi voor netwerkverbod

Veel beveiligingsprogramma’s zijn gericht op preventie. De realiteit is echter dat organisaties niet zomaar naar links kunnen opschuiven of naar rechts verschuiven. Tijdens de gehele aanvalsreeks moeten aandacht en controle worden uitgeoefend.

Als preventieve controles het simpele antwoord zouden zijn, zouden gestolen inloggegevens niet meer werken zodra een aanvaller voet aan de grond krijgt. Malware zou aan de rand worden tegengehouden. En gegevens zouden de opslagomgeving nooit verlaten.

Toch vinden deze gebeurtenissen voortdurend plaats.

Om deze redenen betoogt Bejtlich dat veerkrachtige beveiligingsprogramma’s zich moeten concentreren op verbod: het identificeren en verstoren van kwaadaardige activiteiten voordat aanvallers hun doelstellingen bereiken.

Echt defensief succes hangt af van het vermogen van een organisatie om kwaadwillende actoren te isoleren en in bedwang te houden na een aanvankelijk compromis, maar vóór een regelrechte inbreuk. Hij betoogt dat het verbod de focus verschuift van fundamentele blokkeerlijsten naar actieve verstoring van dreigingen binnen de perimeter. Het maakt het beperken van kwetsbaarheden en het beheersen van bedreigingen mogelijk, waardoor een aanval kan worden gestopt voordat de tegenstander een kernmissie heeft volbracht.

In de gids wordt uitgelegd hoe NDR verbodsbepalingen ondersteunt door inzicht te geven in het verkeer dat door het netwerk beweegt. Vier primaire bronnen van netwerkbewijs zijn de moeite waard om diepgaand te onderzoeken:

  • Volledige pakketopnamen
  • Uitgepakte bestanden
  • Transactielogboeken
  • Waarschuwingen en detecties

In plaats van te functioneren als een passieve barrière, faciliteert moderne NDR actieve interventie. Het geeft beveiligingsteams het situationele bewustzijn en de context om de verspreiding van een aanval te voorkomen en high-fidelity netwerkbewijsmateriaal te behouden.

Het zoeken naar bedreigingen begint met een hypothese

Een van de sterkste hoofdstukken in het boek richt zich op de manier waarop organisaties de jacht op bedreigingen kunnen ontwikkelen, zodat deze aansluit bij de huidige technieken van aanvallers, technieken die in staat zijn de traditionele detectiegrenzen te omzeilen.

Volgens Bejtlich mag het jagen op bedreigingen niet gebaseerd zijn op het opvolgen van waarschuwingen. In plaats daarvan zou het moeten beginnen met een hypothese over vijandige technieken. Zodra een hypothese is gevormd, voert de analist vervolgens zoekopdrachten uit op netwerklogboeken en sessies om de theorie te valideren of te weerleggen.

Netwerkbewijs blijft de kern van het onderzoek. Netwerkgebaseerde technieken die het proactief opsporen van bedreigingen ondersteunen, zijn onder meer:

  • Identificeer uitvoerbare bestanden
  • Onderzoek ongebruikelijke protocollen
  • Houd grote uitgaande gegevensoverdrachten bij
  • Detecteer zijwaartse beweging
  • Analyseer de blootstelling aan certificaten

De focus van de jacht zou moeten liggen op specifieke, waarneembare afwijkingen in plaats van op generieke beveiligingswaarschuwingen, wat precies is wat kan worden verkregen door het observeren van netwerktransacties.

AI in netwerkdetectie en -respons

Kunstmatige intelligentie heeft de netwerkverdediging getransformeerd, net zoals het aanvallen op het netwerk heeft getransformeerd. In hoofdstuk 5 van de gids beschrijft Bejtlich hoe SOC-analisten AI kunnen gebruiken voor het grotere goed: het creëren van efficiëntie, het verminderen van de cognitieve belasting en het verbeteren van het verzamelen van bewijsmateriaal.

Hij behandelt drie functionele gebieden diepgaand:

  1. Geoptimaliseerde waarschuwingsframeworks: waar en hoe verkeersgegevens worden vastgelegd – de rand en/of het midden – en hoe elk de analyse beïnvloedt.
  2. Agentische triage om de reactiecycli op incidenten te versnellen: hoe autonome agenten moeten worden gebruikt om draaiboeken uit te voeren, maar net zo belangrijk: de strategische besluitvormingsvaardigheden van menselijke analisten op een hoger niveau.
  3. Interoperabiliteit van gereedschappen: hoewel het netwerk vaak de ‘grondwaarheid’ wordt genoemd, vereist modern aanvalsonderzoek een holistische kijk op het netwerk, eindpunten, cloudplatforms, applicaties, enzovoort. AI-orkestratie coördineert silo-tools en hun output.

Om maximale effectiviteit te bereiken, kunnen praktijkmensen deze AI-modellen integreren in dagelijkse workflows voor hun specifieke gebruiksscenario’s (in detail beschreven in het boek).

Hoewel AI onvermijdelijk is in het huidige digitale ecosysteem, blijft menselijke verificatie een cruciaal controlepunt. In ieder geval voor de korte termijn moet de automatisering worden bestuurd om hallucinaties of onbedoelde gevolgen te voorkomen. Bij correct gebruik is AI een aanwinst voor onderzoeken en de analisten die deze onderzoeken.

Twee lessen voor betere operaties

Succesvolle operationele teams zijn voortdurend op zoek naar procesverbetering. Operators moeten onderzoekstechnieken ontwikkelen die passen bij de snelheid en verfijning van vandaag, en het netwerk biedt die basis. Het boek biedt tal van operationele aanbevelingen, en twee vallen op door hun doeltreffendheid:

  • Initiële waarschuwingsbasislijnen: te veel vooraf ingeschakelde regels resulteren in waarschuwingsmoeheid. Op zijn beurt verdooft en/of begraaft de waarschuwingsvermoeidheid de beveiligingsteams. Bejtlich raadt organisaties daarom aan een ‘zero-baseline’-strategie te hanteren. Meer over deze werkwijze leest u in het eBook.
  • Definities van waarschuwingen: Exploitanten moeten een waarschuwing beschouwen als het begin van een onderzoek en niet als de definitieve definitie van een gebeurtenis. Hierdoor wordt het verzamelen van diepgaand bewijsmateriaal ter ondersteuning of verwerping van een hypothese vergemakkelijkt, waardoor de analist aan het einde van het onderzoek afdoende kan antwoorden: Wat is er gebeurd? Welk bewijs hebben we? Hoe weten we dat we het allemaal in context zien?

Waarom netwerkverboden er nu toe doen

Bedreigingsactoren blijven hun tactieken ontwikkelen, maar netwerkbewijs blijft een definitieve bron van waarheid voor verdediging. Beoefenaars die een moderne, veerkrachtige beveiligingsarchitectuur willen bouwen, kunnen in dit eBook bruikbare strategieën vinden.

De waarde van NDR-essentials is niet alleen dat het NDR verklaart. Het biedt een praktisch raamwerk voor het denken over modern onderzoek.

Om deze concepten diepgaand te verkennen, downloadt u de gratis pdf van de NDR Essentials-pagina. Voor organisaties die deze moderne defensieve strategieën willen implementeren, zijn aanvullende inzichten beschikbaar op corelight.com/elitedefense.

Corelight netwerkdetectie en respons

Corelight levert netwerkdetectie en respons (NDR) die het onderzoek naar bedreigingen versnelt via AI-aangedreven verdediging. Met behulp van uitgebreide netwerkzichtbaarheid, gedragsanalyses en bewijsgestuurde detectie combineert het Open NDR-platform van Corelight diepe netwerktelemetrie met bruikbare context. Analisten kunnen bedreigingen sneller identificeren, bevindingen met vertrouwen valideren en met duidelijkheid actie ondernemen.

Ga voor meer informatie naar corelight.com/elitedefence.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Chrome Ad Blocker met meer dan 10 miljoen installaties gevonden met slapende scriptinjectiemogelijkheid

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]