WIXLIB

Managed SIEMUse Cases

Inhoud 2Inhoud3INLEIDING4RAPPORTEER OP GEBRUIK VAN PRIVILEGEDUSER ACCOUNTSDETECTIE VAN ‘ZERO-DAY THREATS’ DIEANDEREN MISSENDETECTIE VAN INTERNE BOTNET ACTIVITEITONWETENDE GEBRUIKERS BENADERENKWAADAARDIGE WEBSITESBETERE BEOORDELING VAN SECURITY INCIDENTENVIA ASSET PROFILESBESCHERMING TEGEN AANVALLEN VAN BINNENUITMISLUKTE LOGIN POGINGEN: HET KAF VAN HETKOREN SCHEIDENCONTROLEREN VAN GERAPPORTEERDE DREIGINGENDETECTEER & REPORTEER ILLEGALE SERVERS,SERVICES OF VERKEER455667?7

Inleiding 3INLEIDINGEen belangrijke uitdaging voor veel organisaties, van welke omvang ook, is hoenuttige informatie te halen uit de vloed van netwerk en security events diedagelijks worden gegenereerd. Bedreigingen en risico’s blijven evolueren enworden meer en meer geavanceerd. Nieuwe bedreigingen van vandaag proberenvertrouwelijke gegevens te verkrijgen voor illegale financiële doeleinden en ombedrijfs-IT-middelen te misbruiken voor illegale doeleinden.Zelfs wanneer bedreigingen worden gedetecteerd door bestaandebeveiligingsoplossingen kunnen deze vaak niet worden gedetecteerd door debestaande event monitoring oplossingen, omdat deze events (de indicatoren vooreen bedreiging) niet goed zijn gecorreleerd of geprioriteerd. Organisaties beginnenzich te realiseren dat ze gecentraliseerde “command & control” nodig hebben dieeffectiever de bestaande en nieuwe bedreigingen op hun netwerk kan managen.Dit kan worden geleverd door een geïntegreerde Security Intelligence oplossingvan Avensus Managed SIEM gebaseerd op de AlienVault SIEM oplossing vanAT&T Cybersecurity.Avensus is MSSP partner van AT&T Cybersecurity en gebruikt de AlienVault SIEMoplossingen als basis van haar SOC diensten. AlienVault USM is onderscheidendin de mate van integratie van Network Intrusion Detection, VulnerabilityManagement, Endpoint Detection, Asset discovery en Security Information EventManagement (SIEM).Dit document beschrijft een aantal real-life situaties van bedreigingen diekunnen worden opgespoord en gerapporteerd door een SIEM oplossing datveel informatiebronnen omvat en daarom kan worden beschouwd als een echteSecurity Intelligence oplossing.

De uitdagingen 4RAPPORTEER OP GEBRUIK VANPRIVILEGED USER ACCOUNTSDETECTIE VAN ‘ZERO-DAY THREATS’DIE ANDEREN MISSENUser Activity Monitoring is een zeer belangrijk onderwerpAvensus Managed SIEM gebruikt netwerk flow gegevensvoor de hedendaagse Business- en Security Manager. Watvan het netwerk om nieuwe bedreigingen te detecterenkan user activity monitoring betekenen? Je kunt denkenzonder gebruik te maken van ‘vulnerability signatures’.aan enkele use cases:Hierdoor is threat detectie mogelijk van zaken die gemistzijn door antivirus- en andere beveiligingssystemen. Een vertrokken medewerker die nog steeds actiefNetwerk flow gegevens kunnen worden gebruikt omlijkt op het netwerk (hoe kan dit? De user accountveranderingen in het netwerkverkeer te detecterenis toch disabled?)die kunnen wijzen op een bedreiging. Bijvoorbeeld hetEen medewerker met speciale rechten benadertontdekken van een nieuwe service of protocol zoalsdatabases die zij normaliter niet benaderd.een-mailserver in de DMZ of een FTP-service die ineens(duidt dit soms op kwade bedoelingen of is haaractief wordt op een bestaande server. Ook kunnenaccount door iemand gehackt? Of zijn alleen haarveranderingen van activiteit van bepaalde servicesverantwoordelijkheden aangepast?)worden gedetecteerd. Zo kan SSH geïnstalleerd wordenZien we een medewerker uit een bepaald land,op de mailserver om slechts incidenteel legaal gebruikt teineens activiteiten ontplooien vanuit een anderworden.land? (wordt zijn account soms misbruikt?)Als een kwaadwillende gebruiker de server heeft gehacktZonder een SIEM oplossing dat real-time Identity &en vervolgens de SSH service benut als een springplankAccess Management (IAM) informatie kan correleren metom andere servers te hacken, zou dit meteen wordennetwerk activiteit en security events, zouden de meestegedetecteerd en gesignaleerd. Avensus Managed SIEMorganisaties deze voorvallen niet opmerken en dus nietbiedt de zichtbaarheid en de context die nodig zijn om dithierop kunnen acteren. Avensus Managed SIEM voorzietsoort risico’s te identificeren.in de noodzakelijke zichtbaarheid op verdachte enmogelijk risicovolle gebruikers activiteit.Of u nu real-time wilt worden gewaarschuwd voor securityincidenten of periodiek geautomatiseerde rapporten wiltbekijken, Avensus Managed SIEM maakt het u gemakkelijkom een proactieve houding aan te nemen ten opzichtevan de gebruiker risico’s en zo uw beveiligingsstatus teverbeteren.

De uitdagingen 5DETECTIE VAN INTERNE BOTNETACTIVITEITONWETENDE GEBRUIKERS BENADERENKWAADAARDIGE WEBSITESDe eerste generatie log management en SIEM productenEen gebruiker klikt op een link die hem omleid naarondersteunden organisaties met name op gebied vaneen nog onbekende kwaadaardige website. In dezecompliancy hetgeen niet langer voldoende is. Nieuwewebsite is nieuwe kwaadaardige code ingebed die eencompliancy normen, zoals PCI DSS, evenals een groterebackdoor installeert op de PC van deze gebruiker. Dezefocus op de interne naleving van het security beleid,computer maakt vervolgens een IRC-verbinding via eenvereisen application-aware monitoring en zichtbaarheid,niet-standaard poort, om zodoende de verbinding teen dat is niet goed haalbaar door middel van alleen logverbergen van de bestaande beveiligingsoplossingen.analyse. Avensus Managed SIEM biedt de mogelijkheidZodra er verbinding is gemaakt met de IRC serverom applicaties te detecteren, gebruikers te identificerenwacht deze op een opdracht om bepaalde subnetten tedie inloggen op kritische servers met clear textscannen op open mail servers (poort 25) en de resultatenwachtwoorden, en om ervoor te zorgen datte uploaden naar een bepaalde chatroom. Zodra dede versleutelde protocollen goed worden ingezet inresultaten zijn geretourneerd, stuurt de aanvaller eenbepaalde segmenten van het netwerk. Eencommando naar de besmette PC om mail te sturen naarveelvoorkomend voorbeeld in klantomgevingen ishosts met open mail poorten.de aanwezigheid van botnet communicatiekanalen(IRC verkeer). Door de inspectie van de inhoud opFirewall en Intrusion Detection Systems zijn niet altijd(meta)applicatieniveau, kunnen IRC kanalen en IRCeven effectief in het detecteren van dergelijke aanvallencommunicatie worden gedetecteerd, gesignaleerd enen daarbij ontbreekt de zichtbaarheid van dergelijkevastgelegd voor forensisch bewijs.security incidenten. Avensus Managed SIEM biedt deoverall zichtbaarheid dat nodig is om de beschrevenHet ontwikkelen van verschillende rapporten voorgebeurtenissen te ontdekken en samen te voegen tot eenintrusion detection is vaak een enorme uitdaging, ookSecurity Incident; zonder dat zou een dergelijke exploitvanwege het probleem van false positives. Toch zou menwellicht onopgemerkt zijn gebleven.kunnen stellen dat het detecteren van ‘verboden’ verkeer(verboden door security policies) meer indicatief is voorkwaadaardige activiteiten.Een goed advies is daarom: wees alert op grotehoeveelheden outbound SMTP verkeer. Dergelijkepatronen, met name afkomstig van niet-SMTP Servers,zullen waarschijnlijk duiden op een malware spam botuitbraak in uw organisatie. Ook kunnen rapporten overDNS-verkeer zeker helpen bij het opsporen van botnetinfecties.

De oplossing 6BETERE BEOORDELING VAN SECURITYINCIDENTEN VIA ASSET PROFILESBESCHERMING TEGEN AANVALLEN VANBINNENUITHet beheren van veiligheidsrisico’s kan een redelijkeEen aanvaller lanceert een Denial of Service (DoS) aanvaluitdaging zijn voor organisaties vanwege het dynamischevan binnen een netwerk en voert met succes een bufferkarakter van de verschillende netwerk toepassingen.overflow aanval uit op een van de servers. Vanuit de aldusGebieden van de IT-infrastructuur die constantaangevallen server wordt vervolgens een verkenningveranderen zijn onder meer:op meer resources binnen het netwerk uitgevoerd.Vervolgens worden pogingen gedaan om met extra Netwerk adres – host tabellenrechten in te loggen op de mailserver, hetgeen uiteindelijk Applicaties op een bepaalde servermislukt. Netwerk poorten gebruikt voor een specifieke applicatieTerwijl verschillende beveiligingsinstallaties (bv firewallKwetsbaarheid van servers voor een bekendeen IDP) correct rapporteren over een stroom vanexploitgebeurtenissen verspreid over meerdere doelen en Business kritikaliteit van specifieke servers endiverse netwerkapparaten een vloed van gebeurtenissenapplicatiesook verspreid over meerdere categorieën rapporteren, is Mogelijkheid van netwerk en security systemen omhet van groot belang om al deze activiteiten te bundelenaccuraat security incidenten te rapporterenin één rapport van een DoS aanval die informatie over allesystemen die werden getroffen omvat.Het is belangrijk voor een netwerk security managementoplossing om veranderingen in deze gebieden meeVerborgen in de stortvloed van gebeurtenissen diete nemen in de afweging en beoordeling van prioriteitafkomstig kunnen zijn van zelfs de meest modale firewall/en relevantie van de verschillende waargenomenIDP implementaties op een high-traffic netwerk, bevindengebeurtenissen. Avensus Managed SIEM biedt dezezich de puzzel stukjes van wat een inleiding is op ietsmogelijkheid.veel schadelijker. Inderdaad, aanvallen als deze kunnenzich over vele dagen ontwikkelen. Terwijl individuelebeveiligingsoplossingen normaliter hun bijdrage leverenbij het signaleren van activiteiten die specivfiek zijn voorhet segment of het verkeer waarnaar zij kijken, is eengrotere zichtbaarheid noodzakelijk over alle devices die debetreffende netwerk- en security-activiteit vertonen.