Wij voeren een onderzoek uit, en gaan opzoek naar aanvallers
Een compromise assessment beantwoordt de vraag of er aanvallers actief (zijn geweest) in uw digitale omgeving. Een veelvoorkomende reden om een dergelijke assessment aan te vragen:
Tijdens de intake voor een Compromise Assessment worden de onderzoeksvragen geformuleerd. Het is hierbij essentieel dat duidelijke doelen worden gesteld aan het onderzoek om tot een goed resultaat te komen.
Om de onderzoeksvragen goed te kunnen beantwoorden moet eerst de IT en/of OT omgeving hoog-over in kaart gebracht worden om risico's en mogelijke aanvalspaden te identificeren. Indien nodig rollen we tijdelijke tools uit.
Nadat er zichtbaarheid is gecreëerd in de omgeving. Gaan de specialisten van Nerium op zoek naar (sporen van) aanvalsactiviteit in logs en andere artefacten om om zo kwaadwillende te detecteren.
Na afloop van de Compromise Assessment stelt Nerium een resultatenrapport op, dat vervolgens gezamenlijk wordt besproken. Daarnaast bieden we advies over het versterken van de digitale omgeving.
Het rapport bestaat uit een managementsamenvatting met de bevindingen, de aanpak en de details over hoe het is uitgevoerd. Additioneel bevat het adviezen om eventuele hygiëne problemen aan te pakken.
In overleg met de klant escaleren wij naar een incident response traject. In een degelijk traject onderzoekt Nerium de aanval en helpt met het veilig herstellen van de digitale omgeving.
Wij maken gebruik van een open-source agent genaamd ‘Velociraptor’ die op Windows, Linux en macOS geïnstalleerd kan worden. Die gebruiken we om informatie op te vragen van een groot aantal systemen tegelijk om plaatsgevonden aanvalsactiviteit kunnen identificeren. Additioneel maken we ook gebruik van tools die de klant al heeft, bijvoorbeeld een Endpoint Detectie & Response (EDR) oplossing die telemetry verzamelt welke waardevol is bij het identificeren van aanvalsactiviteit of malwarecommunicatie.
Nerium verzamelt chirurgisch data van systemen met de open-source oplossing 'Velociraptor'. Deze data is afkomstig uit het geheugen (Netwerk connecties, processen). Ook wordt data opgevraagd waarmee kan worden vastgesteld welke applicaties gestart zijn (AmCache, Prefetch etc). En wordt gekeken naar mechanismes waarmee malware automatisch wordt gestart (persistency locaties).
Additioneel maken we gebruik van de logbronnen die een klant eventueel zelf al heeft. Denk hierbij aan:
- Logs van webapplicaties om ongeautoriseerde toegang tot de server te identificeren.
- Endpoint Detectie & Response (EDR) oplossing waar we de telemetry gebruiken om malware communicatie te spotten.
- Alerts van een Intrusion Detection/Prevention System (IDS/IPS) of antivirus oplossing.
Een Compromise Assessment is reactief van aard en start bijvoorbeeld wanneer je vermoeden hebt van een incident, of wanneer je een digitale omgeving wilt controleren op de aanwezigheid van aanvallers. Threat Hunting daarentegen is proactieve van aard en wordt door veelal volwassen organisaties gebruikt om periodiek met behulp van hypotheses naar aanvallers in digitale omgevingen gezocht. Voorbeelden van hypotheses zijn: “Aanvallers hebben fileless malware geplaatst om detectie te omzeilen”, of “aanvallers hebben misbruik gemaakt van een specifieke kwetsbaarheid die recentelijk gepubliceerd is”.