Threat Hunting

Wanneer een AI gebaseerde antivirus niet meer voldoende is… 

Threat Hunting?

Gelukkig kunnen we op het ogenblik van schrijven nog niet spreken van oorlog in ons land. Of wel? Dat hangt af van je definitie van “oorlog”. Ook binnen onze regio staan bedrijven continu onder aanval. Hackers van over de hele wereld hebben vrije toegang tot niet enkel onze publieke IP adressen, maar ook kunnen ze naar ieder van ons een mail versturen. Je hoeft zelfs geen onderscheid te maken tussen persoonlijke of bedrijf gerelateerde mails.  

De intentie van deze hackers is meestal opstrijken van geld, maar soms zit er daar ook politieke drijfveer achter. Het is heel moeilijk dit te achterhalen, laat staan het te bewijzen. Het type bedrijf en de gevolgen kunnen wel wat vermoedens laten rijzen.  

Ongeacht wat ze voor ogen hebben, de gevolgen zijn zelden min.  

Daarom hebben we allerlei schilden opgezet zoals firewalls, email security en endpoint protection. De zwakte van de mens wordt misbruikt om via een achterpoortje zichzelf een toegang tot de computer – met daaraan verbonden het netwerk – te verschaffen. Als je al niet kan rekenen op de alertheid van die gebruiker, hoe kan je er dan op rekenen dat deze zijn of haar mis-klik zal melden?  

Wat we zoeken is een soort camerasysteem dat elke beweging in het netwerk detecteert en registreert. Door correlaties te leggen tussen verschillende handelingen, kunnen verdachte patronen herkend worden. 

Iets technischer… 

Mitre Att@ck is een Amerikaanse organisatie die de handelingen van hackers nauwgezet opvolgt en in kaart brengt. Een aanvalstechniek is een combinatie van verschillende – op zich schijnbaar onschadelijke – commando’s waarvan de meeste ook door sysadmins gebruikt worden.  

Alvorens een volledig netwerk te encrypteren, zoeken hackers zich een weg in een netwerk, brengen in kaart waar de backups staan, welke servers belangrijk zijn en zo verder. Tussen het eerste contact en de effectieve encryptie, gaan dagen, weken tot soms maanden. Het komt er op aan om de hacker te detecteren alvorens de encryptie gebeurt maar ook alvorens hij de kans had data te uploaden.  

EDR/XDR

Het detecteren van deze technieken, vindt meestal plaats in een EDR of XDR product. (Endpoint/eXtended Detection and Response) Dit stuk software dat soms een uitbreiding is op een bestaande endpoint protection of soms een geheel apart product is, werkt als een soort probe die elke activiteit opslaat in een on-computer en/of cloud based database. Die laatste wordt meestal datalake genoemd. Afhankelijk van het product kan je onmiddellijk en geautomatiseerd acties toekennen aan bepaalde triggers of kan je queries programmeren om alarmen te genereren.  

Bij de vergelijking van deze producten zal je zien dat sommige AI gebaseerde endpoint protection software reeds meerdere acties kan blokkeren nog voor EDR deze heeft moeten opvangen. Wanneer we praten over de term XDR, zien we dat de interpretatie ook verschillend kan zijn.  

Managed EDR

Stel dat het systeem een detectie doet welke vrijwel zeker gerelateerd is aan de aanwezigheid van een hacker, dan is de wens deze hacker uit het netwerk te verwijderen. De EDR tools zullen de activiteiten afblokken al dan niet de hacker afmelden, echter, dat garandeert niet dat deze nog geen achterpoortjes geïnstalleerd heeft. De hacker zou door kunnen hebben dat hij betrapt werd en de encryptieprocedure versnellen. Bijgevolg is een snelle actie in de verdediging aangewezen. Het is niet voor iedereen vanzelfsprekend om op elk ogenblik van de dag of in het weekend de nodige resources vrij te maken.  

De technische teams van de betrokken vendoren zijn hierop getraind en staan 24×7 klaar om de effectieve tegenacties uit te voeren. We spreken hier over MDR, Guard of wat de vendor ook als naam voor de service wenst te gebruiken.

Sophos

In 2015 werd Surfright – het bedrijf achter Hitman Pro – overgenomen door Sophos. Algauw ontpopte Sophos zich tot een van de meest vooruitstrevende spelers op de markt van endpoint protection en blinken ze in het leadersquadrant van Gartner. Met de toevoeging van XDR kan je een speurtocht starten doorgeen de geschiedenis van bewegingen in het netwerk. Geen hacker kan onder de radar blijven. Met de toevoeging van MDR (Managed Detection and Response) houdt Sophos je netwerk 24 x 7 mee in het oog.

Waarom kiezen voor Kappa Data?

Technische expertise

Kappa data ondersteunt resellers en klanten met uitgebreide technische kennis, opleidingen en begeleiding. Onze gecertificeerde technische en presales teams staan altijd voor je klaar!

Persoonlijke touch

Bij Kappa Data geniet je van een bijzonder persoonlijke én professionele aanpak, van snelle offertes tot demo’s en klantvriendelijke service met je vaste contactpersonen. Wij zijn er voor jou.

Uitstekende service

Kappa Data is een value-added distributor die oplossingsgericht met je meedenkt. We zorgen altijd voor een goede relatie tussen alle partijen en bemiddelen waar nodig bij conflicten.

Wat onze klanten zeggen

Al meer dan 20 jaar een meer dan betrouwbare partner.

Snijders Compuservice, Jef Snijders

Onze partners