24/7 incident noodnummer:
+31 (0) 800 0699

Je digitale omgeving controleren op aanvallers?

Wij voeren een onderzoek uit, en gaan opzoek naar aanvallers

Compromise Assessment.
Wat is het en wanneer heb ik het nodig?

Een compromise assessment beantwoordt de vraag of er aanvallers actief (zijn geweest) in uw digitale omgeving. Een veelvoorkomende reden om een dergelijke assessment aan te vragen:

  • Als je het vermoeden hebt van een incident, zoals bijvoorbeeld een supply chain attack omdat een van de leveranciers een cyberaanval heeft gehad.
  • Als een bedrijfsovername plaatsvindt waarbij je een digitale omgeving gaat integreren en wilt controleren.
  • Als je tijdens een incident een actieve aanvaller uit je netwerk hebt verwijderd maar nog niet zeker weet of alle achterdeuren zijn gesloten.
Hoe pakt Nerium dit aan?

1. Intake

Tijdens de intake voor een Compromise Assessment worden de onderzoeksvragen geformuleerd. Het is hierbij essentieel dat duidelijke doelen worden gesteld aan het onderzoek om tot een goed resultaat te komen.

2. Voorbereiding

Om de onderzoeksvragen goed te kunnen beantwoorden moet eerst de IT en/of OT omgeving hoog-over in kaart gebracht worden om risico's en mogelijke aanvalspaden te identificeren. Indien nodig rollen we tijdelijke tools uit.

3. Hunten

Nadat er zichtbaarheid is gecreëerd in de omgeving. Gaan de specialisten van Nerium op zoek naar (sporen van) aanvalsactiviteit in logs en andere artefacten om om zo kwaadwillende te detecteren.

4. Resultaten en advies

Na afloop van de Compromise Assessment stelt Nerium een resultatenrapport op, dat vervolgens gezamenlijk wordt besproken. Daarnaast bieden we advies over het versterken van de digitale omgeving.

Wat kunt u van ons verwachten
Diepgaande analyse van uw digitale omgeving om actieve en inactieve aanvallers te identificeren.
Experts die klaar staan mocht er een aanvaller worden geïdentificeerd tijdens het onderzoek.
Resultaten- en adviesrapport voor inzicht en om uw organisatie weerbaarder te maken.

F.A.Q

Waar bestaat het Compromise Assessment rapport uit?

Het rapport bestaat uit een managementsamenvatting met de bevindingen, de aanpak en de details over hoe het is uitgevoerd. Additioneel bevat het adviezen om eventuele hygiëne problemen aan te pakken.

Wat gebeurt er als er actieve of inactieve aanvallers gevonden worden?

In overleg met de klant escaleren wij naar een incident response traject. In een degelijk traject onderzoekt Nerium de aanval en helpt met het veilig herstellen van de digitale omgeving.

Welke tooling wordt er gebruikt?

Wij maken gebruik van een open-source agent genaamd ‘Velociraptor’ die op Windows, Linux en macOS geïnstalleerd kan worden. Die gebruiken we om informatie op te vragen van een groot aantal systemen tegelijk om plaatsgevonden aanvalsactiviteit kunnen identificeren. Additioneel maken we ook gebruik van tools die de klant al heeft, bijvoorbeeld een Endpoint Detectie & Response (EDR) oplossing die telemetry verzamelt welke waardevol is bij het identificeren van aanvalsactiviteit of malwarecommunicatie.

Welke bronnen worden gebruikt om aanvallers te spotten?

Nerium verzamelt chirurgisch data van systemen met de open-source oplossing 'Velociraptor'. Deze data is afkomstig uit het geheugen (Netwerk connecties, processen). Ook wordt data opgevraagd waarmee kan worden vastgesteld welke applicaties gestart zijn (AmCache, Prefetch etc). En wordt gekeken naar mechanismes waarmee malware automatisch wordt gestart (persistency locaties).

Additioneel maken we gebruik van de logbronnen die een klant eventueel zelf al heeft. Denk hierbij aan:

- Logs van webapplicaties om ongeautoriseerde toegang tot de server te identificeren.
- Endpoint Detectie & Response (EDR) oplossing waar we de telemetry gebruiken om malware communicatie te spotten.
- Alerts van een Intrusion Detection/Prevention System (IDS/IPS) of antivirus oplossing.

Wat is het verschil tussen een Compromise Assessment en Threat Hunting?

Een Compromise Assessment is reactief van aard en start bijvoorbeeld wanneer je vermoeden hebt van een incident, of wanneer je een digitale omgeving wilt controleren op de aanwezigheid van aanvallers. Threat Hunting daarentegen is proactieve van aard en wordt door veelal volwassen organisaties gebruikt om periodiek met behulp van hypotheses naar aanvallers in digitale omgevingen gezocht. Voorbeelden van hypotheses zijn: “Aanvallers hebben fileless malware geplaatst om detectie te omzeilen”, of “aanvallers hebben misbruik gemaakt van een specifieke kwetsbaarheid die recentelijk gepubliceerd is”.

Wil je een compromise assessment laten uitvoeren? Of heb je vragen?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.