Beheer

Security
hackers

NCSC komt met uitleg Indicators of Compromise

NCSC hoopt met tips over Indicators of Compromise op snellere detectie van aanvallers.

12 december 2016

NCSC hoopt met tips over Indicators of Compromise op snellere detectie van aanvallers.

Het Nationaal Cyber Security Centrum (NCSC) heeft vorige week een factsheet uitgegeven over IoC’s: indicators of compromise. Daarmee wil de organisatie het delen van dreigingsinformatie stimuleren waardoor het aantal langdurige, want vaak onopgemerkte aanvallen teruggebracht kan worden.

Indicators of compromise zijn aanwijzingen binnen netwerken voor een mogelijke aanwezigheid van dreigingen binnen een netwerk. Een groot aantal securitybedrijven verzamelt en deelt die al, maar veel organisaties niet. Veel aanvallen worden pas na lange tijd opgemerkt omdat ze goed verborgen zijn en veel organisaties ook niet weten waar ze op moeten letten. Gemiddeld waren aanvallers vorig jaar 146 dagen aanwezig op het netwerk van een slachtoffer voordat ze ontdekt werden, volgens een onderzoek van FireEye. Aanvallen die onopgemerkt een paar jaar doorgaan binnen een netwerk zijn er echter ook nog steeds.

De factsheet van het NCSC geeft aan hoe organisaties de IoC’s kunnen vinden, delen met andere organisaties en de IoC’s van anderen weer gebruiken om hun eigen systemen te controleren op aanvallen.  

Delen

Een voorbeeld van veel voorkomende IoC’s zijn IP-adressen en domeinnamen. Als bij een aanval data naar een externe server worden gestuurd zijn het IP-adres en de domeinnaam van die server waardevolle informatie (IoC’s) voor andere organisaties om te controleren of dezelfde aanval ook bij hen wordt gedaan.

Voor een goed bruikbare IoC is het van belang zo veel mogelijk extra informatie te geven, benadrukt het NCSC. Zoals het onderwerp van de e-mailberichten waarmee de aanval is gestart, de eventuele bekende kwetsbaarheid waar gebruik van is gemaakt en het URL-patroon van de communicatie met de externe server. Maar ook informatie over de context van de aanval is bruikbaar voor anderen, zoals wie of wat geraakt is en waar in het netwerk de aanval gebeurde.

IoC’s kunnen in verschillende gradaties van vertrouwelijkheid gedeeld worden: van zeer vertrouwelijk en dus bestemd voor maar enkelen tot publiek te delen. Daarvoor worden de zogeheten Traffic Light Protocol-categoriëen gehanteerd. Hierbij staat TLP-rood voor: niet verspreiden, en oranje, groen en wit voor een steeds bredere verspreiding.

Veel voorkomende IoC’s

  • Afwijkingen in activiteiten van Privileged User Accounts
  • Een toename van het Database Read Volume
  • Abnormaal uitgaand netwerkverkeer
  • Afwijkende DNS-verzoeken
  • Onverwachte patchwerkzaamheden
  • Databundels op de verkeerde plekken
  • Grote aantallen verzoeken om dezelfde file

Gebruiken

Om IoC’s van anderen te kunnen gebruiken is enig kundig personeel nodig en moeten de centrale systemen binnen een organisatie logging ingeschakeld hebben. Met specifieke tooling kunnen ‘hits’ op IoC’s gezocht worden. Diverse systemen binnen een organisatie zijn daarbij handig. Daarbij gaat het onder meer om:

  • Proxyservers; die registreren de websites die gebruikers bezoeken
  • DNS-servers; aan de hand van de antwoorden op de DNS-verzoeken die binnen een organisatie zijn gedaan kunnen malafide IP-adressen, domeinnamen en servers worden gevonden
  • Mailservers; hierop kunnen kwaadaardige e-mailberichten worden gevonden
  • Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS);deze systemen kunnen een IoC al eerder opgemerkt hebben en zoniet dan kunnen er detectieregels aan toegevoegd worden
  • SIEM; bevat zeer veel loginformatie.

 

OpenIoC

Beveiliger Mandiant gaf rond 2011 het OpenIoC vrij als open source. Daarmee vulde het bedrijf een gat op voor organisaties die dreigingsinformatie anoniem willen delen in een werkbaar format. OpenIoC is een extensible XML-schema, dat inmiddels een de facto standaard is. Mandiant werkte zelf intern al jaren met het OpenIoC-schema. Voordeel van OpenIoC is dat het een gestandaardiseerde methode biedt om dreigingsinformatie te delen en te verwerken. Het bedrijf biedt enkele gratis tools, zoals IOC Editor waarmee gebruikers IoC’s kunnen maken, verwerken en vergelijken in XML.

Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen