Managed Detection & Response
Blog door Martijn Doedens, Security Consultant en Architect
Tegenwoordig hebben we geaccepteerd dat niet alles te voorkomen is, preventieve technologie en dienstverlening biedt geen 100% bescherming. Waar vroeger maximaal ingezet werd op dit soort maatregelen zien we nu een meer gebalanceerde aanpak, waarbij ook het detecteren van incidenten en het reageren op deze gedetecteerde incidenten onderdeel is van de aanpak. Als het gaat om detectie en response neemt de complexiteit en inspanning toe: waar bij preventie alles wat fout is, geblokkeerd wordt, en alles wat (blijkbaar) goed is, doorgelaten wordt (ik noem het wel eens zwart of wit), is het bij detectie eigenlijk altijd grijs. Detectie technologie vindt iets dat misschien fout is, maar zeker weet de technologie het niet. Als de technologie het zeker zou weten, zou het namelijk preventie zijn en kan het incident voorkomen worden.
Oftewel, detectie technologie genereert indicaties dat er mogelijk iets aan de hand is en met deze indicatie gaat een security analist aan de slag. Met alle mogelijke middelen die voorhanden zijn wordt de indicatie geanalyseerd en wordt er een oordeel geveld: true positive of false positive. In het geval van een true positive is het de taak van de analist om een mitigerende maatregel voor te stellen, oftewel, de response. Afhankelijk van deze response wordt deze door het SOC en zelfs mogelijk door diezelfde analist uitgevoerd. Als het SOC waar we het over hebben dit voor klanten doet vanuit een Managed Security Service Provider (MSSP), dan wordt het Managed Detection & Response geleverd. Dit klinkt heel simpel, maar is natuurlijk een stuk ingewikkelder. Als het gaat om detectie technologie zien we drie verschillende categorieën:
- Log based detection
- Network based detection
- Endpoint based detection
Elke vorm van detectie technologie vereist analyse capaciteit en elke vorm van detectie is in meer of mindere mate geschikt voor een vraagstuk: het is afhankelijk van de behoefte. Gaat het om compliance ten behoeve van bijvoorbeeld AVG of moet er zo snel mogelijk zo effectief mogelijke threat detection en response gedaan worden.
Log based detection
Voorheen werd er primair met een Security Information & Event Management (SIEM) systeem gewerkt als vorm van log based detection waar door middel van regels die van tevoren beschreven, gedefinieerd en gemonitord werden, use cases ingericht zijn. Het SIEM systeem is hier de detectie technologie en genereert de indicaties. De analist kijkt hier naar. Tegenwoordig biedt een traditioneel SIEM met de gedefinieerde use cases nog steeds een mate van security, maar we moeten op zoek naar hetgeen waarvan we niet weten dat we er naar op zoek zijn. Een van de mogelijkheden is om een analist ‘tijd’ te geven om door de enorme berg aan data te grasduinen (threat hunten) die in een log management of SIEM systeem aanwezig is en op basis hiervan verdacht gedrag te vinden. Het aantal beschikbare analisten is echter beperkt en dus ook de beschikbare tijd, dus om bij log based detection hier toch de ‘unknowns’ te vinden moet er gekeken worden naar patronen van gedrag. Afwijkingen en verdacht gedrag kunnen een indicatie zijn die vervolgens door een analist onderzocht worden. Het gebruik van log based detection werkt goed als alle systemen die relevant zijn op een betrouwbare manier log informatie genereren. Door de toename van IoT, cloud en alle andere trends kunnen we niet meer alleen met log based detection uit de voeten. Zo vult log based detection nog steeds een behoefte in, maar niet de volledige behoefte. Ik zie hier met name de vraag om compliancy ingevuld worden. Door de relatief lange doorlooptijd voordat een SIEM effectief en betrouwbaar werkt, is het zo snel mogelijk optimaal detection & response leveren vaak niet te realiseren met log based detection.
Webinar Automation and Orchestration in Security Operations
4 September om 11 uur, en hierna on-demand.
Network based detection
Een andere aanpak is de detectie te doen op basis van netwerk data. Door netwerk sensors te plaatsen in een omgeving als fysieke, virtuele of cloud appliances kan passief meegeluisterd worden met het netwerk verkeer. Dit wordt ook wel Network Threat Detection & Response (NTDR) genoemd. Door supervised en unsupervised machine learning modellen op het verkeer los te laten kunnen hier, net als bij log based detection, indicators gegenereerd 
worden en ook hier is het ‘misschien’: er moet een security analist naar kijken om een oordeel te vellen. Door deze manier van detectie toe te passen zonder gebruik te maken van log informatie kunnen incidenten gedetecteerd worden, ook als er simpelweg geen log informatie gegenereerd kan worden (denk hier aan IoT omgevingen). Omdat voor NTDR detectie technologie geen SIEM ingericht hoeft te worden en de detectie gebaseerd is op machine learning, hoeven er alleen maar op de juiste plaatsen in het netwerk sensors geplaatst te worden. Vanaf dat moment leert het systeem (als het gaat om de unsupervised ML modellen) wat normaal is en worden er indicaties gegenereerd dat er mogelijk iets mis is. Het is dan aan de security analist om hier een oordeel over te vellen.
Endpoint based detection
Wat op dit moment een van de meeste effectieve manieren is om MDR te leveren is door gebruik te maken van een endpoint detection & response (EDR) oplossing. Door agents te gebruiken op endpoints waar dit mogelijk is (vaak kan dit niet op IoT-achtige endpoints) kan hier verdacht gedrag gedetecteerd worden dat niet voorkomen kon worden. Groot voordeel is dat encryptie van data in transit geen uitdaging meer vormt aangezien het op het endpoint uiteindelijk leesbaar gaat zijn. EDR is zoals de naam al zegt een detectie & response oplossing: een detectie moet geanalyseerd worden en vervolgens kan een response gedaan worden. Groot voordeel is dat doordat er gebruik gemaakt wordt van die agent de response ook uitgevoerd kan worden. Bij het passief geplaatste SIEM systeem en de passief geplaatste NTDR oplossing kan dit niet: response zal dan altijd door het aansturen van andere oplossingen gedaan worden. EDR kan doordat het op het endpoint aanwezig is processen stoppen (op initiatief van de SOC analist) of een endpoint direct in quarantine plaatsen.
About the Author: Martijn Doedens
