Het gevaar van datalekken van binnen een organisatie is minstens zo groot als dat van hackeraanvallen van buitenaf. Volgens de laatste Insider Threat Index zouden de bedreigingen in Europa licht zijn gedaald. Toch blijkt dat 38 procent van de veiligheidsincidenten nog steeds te wijten is aan de directe dreiging van kwaadwillige of onzorgvuldige werknemers. Het is daarom belangrijk om gegevens te beveiligen tegen bedreigingen van binnenuit. Aangezien malware in deze gevallen meestal niet wordt gebruikt, kunnen traditionele antivirusprogramma’s geen bescherming bieden. Maar ook insiders laten sporen achter en juist die sporen moeten worden ontdekt. Zoals in het geval van een beroepsschool voor aspirant-computerwetenschappers in Oostenrijk. Het bedrijf EDV-Notruf werd ingeschakeld door de school vanwege een onverklaarbare storing. Binnen een korte tijd ontdekte het bedrijf echter, live een aanval op de schoolservers en was in staat om de verblijfplaats van de aanvaller te bepalen tot op straat nauwkeurig.

Op heterdaad betrapt

Wat is er gebeurd? De school heeft uiteraard een goede IT-uitrusting – de 300 computers en mobiele apparaten in het netwerk worden beschermd door verschillende firewalls. De IT-managers hebben gemerkt dat verschillende DNS-resoluties (Domain Name System) binnen het schoolnetwerk niet meer zijn toegestaan. Om het probleem tot op de bodem uit te zoeken, schakelen de verantwoordelijke personen een externe hulpdienst in, die dezelfde avond op een laat tijdstip begint met de analyse. Op dit tijdstip zouden er geen computers actief moeten zijn. De basis hiervoor is de IT-beveiligingsoplossing “Adaptive Defense 360” (AD 360) inclusief de “Advanced Reporting Tool” (ART). Een module die met een paar klikken gedetailleerde conclusies trekt uit het IT- en beveiligingsbeheer van een organisatie. De experts installeerden AD 360 op een administratiecomputer om een overzicht te krijgen van lopende processen en ongewone gedragspatronen. De Panda-oplossing biedt namelijk een real-time monitoring en classificatie van alle processen vanaf alle endpoints; tegelijkertijd maakt de geïntegreerde ART-module een geautomatiseerde vergelijking van alle verkregen telemetriegegevens mogelijk. Hierdoor kunnen aanvallen en ongewone activiteiten worden opgespoord. Na slechts 15 minuten was het team in staat om door het analyseren van logbestanden vast te stellen dat een server permanent communiceert met een oefen-pc van de student in het lab. Bovendien bleek uit de uitgebreide analysemogelijkheden van ART dat er een extra DNS-server in het netwerk zat die niet bij de school hoorde en die werd gebruikt om toegang te krijgen tot verschillende systemen, computers en omgevingen – waaronder het beoordelingssysteem van de school. Het is duidelijk dat de aanvaller een zogenaamd golden ticket had gevonden- kortom, dit betekent dat een hacker volledige toegang heeft tot het hele netwerk, zelfs wanneer wachtwoorden zouden worden gewijzigd.

Veel IT-beveiligingsoplossingen zijn in zo’n geval machteloos omdat de aanval niet als zodanig wordt herkend. De “Advanced Reporting Tool” daarentegen evalueert alle procesgegevens, d.w.z. niet alleen als kwaadaardig gecategoriseerde aanvallen, maar ook processen op de White List, die – zoals in dit praktische geval – de doorslag kunnen geven voor illegale processen. Tot slot kon het IT-beveiligingsbedrijf live observeren hoe de aanvaller toegang krijgt tot het schoolsysteem. Zo werd een ander kenmerk van Panda’s ART gebruikt: de lokalisatie van processen. Omdat alle procesactiviteiten en de communicatie tussen de endpoints desgewenst op een kaart worden weergegeven, was het team in staat om snel de server te lokaliseren die toegang heeft tot het schoolnetwerk en deze tot op de straat nauwkeurig te lokaliseren. Toen het adres werd gecontroleerd, werd al snel duidelijk dat het een student was die de examenpapieren van de servers had gekopieerd en de cijfers had verbeterd. In dit geval onthield de school zich van het melden van de zaak om de student de kans te geven zijn vaardigheden te gebruiken om de “goede” kant te helpen en niet om een illegale route als hacker te nemen.

Dit voorbeeld toont aan dat de tijden voorbij zijn dat geavanceerde antivirussoftware op zichzelf voldoende is. Vooral in organisaties waar veel medewerkers toegang hebben tot persoonlijke en gevoelige gegevens, moet de strijd tegen bedreigingen van binnenuit worden geïmplementeerd in de IT-beveiligingsstrategie. De “Advanced Reporting Tool” van Panda Security die in het geval van de beroepsschool wordt gebruikt, biedt uitgebreide analysemogelijkheden zonder enige beperking. Terwijl andere programma’s alleen informatie uit een Black List gebruiken voor evaluaties, heeft Panda toegang tot alle procesgegevens.Het bevat veel gestandaardiseerde evaluatiemogelijkheden voor het vinden van problemen of risico’s – met name op het gebied van naleving en gegevensbescherming. Geïntegreerd in Panda’s uitgebreide cyberbeveiligingsoplossing “Adaptive Defense 360“, biedt de ART-module IT-beheerders met een druk op de knop gedetailleerde beveiligingsinformatie op verzoek. Zo kunnen niet alleen aanvallen van buitenaf worden opgespoord, maar ook ongewone gedragspatronen en intern misbruik van bedrijfsnetwerken en -systemen.

Er zijn verschillende dashboards met sleutelindicatoren, zoekopties en aanpasbare waarschuwingsopties beschikbaar. Zoekopdrachten en waarschuwingen kunnen eenvoudig worden aangepast aan de eigen omgeving van het bedrijf. Deze kunnen bestaan uit het controleren van tools op afstand die het compliance beleid schenden, het uitvoeren van programma’s met beveiligingslekken, ongeautoriseerde toegang tot mappen, of exfiltratie van specifieke documenten.

Maar de ART-module dient niet alleen als controlelaag en toont toegang tot vertrouwelijke bestanden en gegevenslekken in het netwerk. Als flexibele, cloud-gebaseerde Big Data Service die geavanceerde en individueel configureerbare analysemogelijkheden biedt in overzichtelijke dashboards, helpt het de workflow van IT-beheerders te optimaliseren en de efficiëntie te verhogen. Daarnaast geeft de tool bedrijven en organisaties de mogelijkheid om de gebruikspatronen van hun IT-middelen te analyseren om zo de mogelijkheden voor kostenreductie te definiëren en te implementeren. Zo krijgen ze bijvoorbeeld volledige controle over de RDP-verbindingen die in het bedrijf worden gebruikt of kunnen ze toepassingen met een hoog bandbreedtegebruik weergeven.

Werner Lugschitz, eigenaar van EDV-Notruf, illustreerde dit praktische geval onlangs op de Panda Security Roadshow van dit jaar onder de titel ART – The Art of Bringing Light into the Darkness. Vorige maand waren meer dan 350 partners en IT-managers in vier landen en elf steden enthousiast over de roadshow.