Dit soort blogs beginnen met je te vertellen dat hackers het op je bedrijf voorzien hebben en, als ze slagen, de schade enorm is. Mocht je dat niet al weten, Internet is je vriend.
Deze blog gaat over offensief beveiligen, over de vijand terugdrijven. Aanvulling op goed patchen, eindpuntbeveiliging, off-line backups, multi-factor autorisatie, compartimentering, versleuteling. Want defensie blijft immer nodig. Het is alleen niet genoeg.
Threath Hunting gaat ervan uit dat je systeem besmet is, en zoekt gericht naar bewijzen: geplante trojans, opengezette poorten, contact met rogue IP-adressen, verdachte downloads, gebruikers die op ongebruikelijke tijden inloggen en/of vreemde dingen doen. Daarvoor wordt met tools gekeken in diverse logs, de aanwezige SIEM (Security Information and Event Management) uitgelezen, en nog meer. Dat vereist een diepgaande kennis van hoe malware werkt en welk gedrag ze vertonen. En waaraan je hacker-gedrag herkent.
Natuurlijk kan de uitkomst zijn: we vinden geen signalen. Des te beter want dat betekent dat je waarschijnlijk nog niet geïnfecteerd bent. Als er toch aanwijzingen zijn, gaat Treath Hunt terugvechten.
Terugvechten, dat is niet alleen malware verwijderen, het houdt tevens in het uitzoeken hoe de malware binnenkwam, en aan de hand daarvan adviezen geven over een betere aanpak van security. Het opzetten van een honey-pot, om de aanvaller te verleiden zijn acties op iets ongevaarlijks te richten, kan een volgende stap zijn. Het voordeel is dat we dan kunnen zien waar de aanvaller zich op richt, en tegelijk voorkomen we dat de hacker belangrijke documenten oogst. Uiteraard kunnen we de hony-pot op elk moment afsluiten en verwijderen waardoor de hacker zijn voortgang verliest.
IT’s Jaap helpt organisaties bij het opzetten en uitvoeren van Treath Hunting. Neem voor meer informatie contact op met IT’s Jaap.