In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de Security Tip van Huub Roem
Je wordt een keer slachtoffer van een hack, malware, fraude of integriteitsbreuk. Het is niet de vraag of dat gaat gebeuren, de vraag is alleen wanneer het gaat gebeuren. Ben je dan in staat om het onverwachte incident te detecteren, er op te reageren en te acteren?
De afgelopen weken is maar weer eens gebleken hoe kwetsbaar we zijn. Het beschikbaar krijgen van de gekopieerde data van één tentakel van het ‘Pobelka’ botnet zegt iets over de kwaliteit van monitoren en detectie bij individuen en organisaties en over mandaten en capaciteit van ons reactievermogen van overheidsorganisaties bij dergelijke incidenten.
We komen in het veld als forensisch onderzoekers vaak IT-omgevingen tegen waarbij data als logbestanden niet, gedeeltelijk of na lang wachten pas beschikbaar krijgen omdat de verantwoordelijke beheerder net met vakantie is en deze net over het benodigde token of wachtwoord beschikt.
Anderzijds komen we ook omgevingen tegen waarbij teveel –niet relevante- data beschikbaar gesteld wordt om te analyseren. In deze tip van de week besteed ik graag aandacht voor de aanwezigheid van deze belangrijke indicatoren van een onverwachts incident.
Inzet van ‘Forensic Readiness’ helpt organisaties onverwachte incidenten te managen, hierbij is het belangrijkste doel de business niet te verstoren, maximale potentie uit digitaal bewijsmateriaal te halen en de reductie van reactietijd, doorlooptijd van een incident en reductie van kosten van een onderzoek. Daarnaast wordt in Forensic Readiness de juridische aspecten voorbereid m.b.t. legitiem gebruik en privacy.
Eerste stap op weg naar Forensics readiness is het definiëren van incidenten die mogelijk plaats kunnen vinden waarbij digitaal bewijsmateriaal gewenst is. Vervolgens stel je vast welke bronnen kunnen dienen als bewijsmateriaal. Bepaal welke gegevens je kan en mag opslaan volgens wet- en regelgeving en eigen beleid van organisatie. Doel is dat de bronnen voldoende sporen bevatten om als bewijsmateriaal geclassificeerd te kunnen worden.
Organisaties zullen, als basis voor monitoring en detectie, hun IT-omgeving dusdanig moeten inrichten dat gebruik is te herleiden tot personen, plaatsen en tijden. Dit begint bij registreren van relevante verkeersgegevens van alle IT-componenten die in het belang zijn van de continuïteit van de business. Classificeer hierbij de informatie en de bijbehorende systemen en creëer een auditrail door de hele IT-keten.
De basis voor incident response en digitaal forensisch onderzoek ligt in het beschikbaar krijgen van data en verkeersgegevens als logbestanden in het bijzonder.In de praktijk kost het veel inspanning en tijd deze data beschikbaar te krijgen. Dit betekent dat organisaties dus niet of nauwelijks zelf actief monitoren en detecteren. Organiseer de sporen als opstap naar forensic readiness!
Het doel van het aanleggen van logbestanden kan door kwetsbaarheden nader worden geduid en zullen in veelal kort omschreven kunnen worden als ‘het reduceren van de impact bij grote ICT verstoringen’.
Een goed begin is in ieder geval een centrale logging op te zetten in de vorm van een Syslog Server en service en een archiveringscyclus in te richten, liefst een off-site backup, maar wel op afroep snel beschikbaar kan zijn. Vooral als je als organisatie niet actief monitort is het veilig bewaren van mogelijk bewijsmateriaal vanuit onderzoeksperspectief gewenst.
Er zijn tal van syslog producten beschikbaar, zowel opensource als betaald, bijvoorbeeld Syslog-ng of Kiwi Syslog. Voor monitoring en detectie kan je de datastreams visualiseren door deze beschikbaar te maken in Logzilla, Splunk, Librato of Papertrail en creëer je eigen dashboard door de data van de bronnen te correleren en regels, drempelwaardes en alerts in te stellen.
Klein zakelijke gebruikers en thuisgebruikers met een NAS station kunnen deze meestal ook als Syslog Server inzetten voor centrale logging.
Forensic readiness gaat zeker niet alleen over techniek, maar vooral ook over mensen, processen, juridische aspecten en governance. Het creëren van bewustzijn door voorlichting en training aan direct betrokkenen bij een mogelijk incident en ontwikkeling van beleid en procedures bevorderen de mogelijkheden van effectief en efficiënt incident response en digitaal forensisch onderzoek.
Huub Roem is eigenaar en consultant van Unit 10 Forensics en in die hoedanigheid primair actief met digitaal forensisch onderzoek en incident response. Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Deze posting is gelocked. Reageren is niet meer mogelijk.