Detection & Response kent intussen een hoop afkortingen. In dit artikel duiken we dieper in MDR: Managed Detection & Reponse. Hoe ziet het er in de praktijk uit?
Wat is MDR?
MDR (Managed Detection and Response) is de actieve jacht op bedreigingen in uw IT-omgeving. Zie het als het continu patrouilleren van uw digitale netwerk. Is er verdachte activiteit? Dan volgt de reponse.
MDR maakt actie op het meest belangrijke moment mogelijk: namelijk voordat aanvallers écht iets kunnen doen.
Het is dus meer dan alleen maar monitoren. MDR is actieve verdediging die proactief inzicht geeft in de (verdachte) activiteiten binnen de digitale omgeving.
Het verschil met een SOC?
Is MDR niet hetzelfde als een SOC? Het antwoord: ja, soort van. SOC staat voor Security Operations Center. Daar is het “verschil” meteen al: een SOC is een centrale, terwijl MDR de dienst is die een SOC levert. Kort omschreven: MDR is de actie, SOC de plaats waar die actie vandaan komt.
MDR & SOC in de praktijk
Het doel is duidelijk: inzicht krijgen in verdachte activiteiten en op tijd ingrijpen. Maar we willen ook graag een beeld schetsen van hoe dat er in een praktijkscenario uitziet.
In dit voorbeeld kijken we naar bedrijf XYZ: een middelgroot technologiebedrijf. Zij werken samen met een externe SOC. We volgen het verloop van een cyberaanval en de stappen die het SOC-team onderneemt om de aanval te detecteren, te onderzoeken, en erop te reageren.
Monitoring en detectie
Het SOC waar XYZ mee samenwerkt maakt gebruik threat intelligence feeds om real-time informatie te krijgen over nieuwe dreigingen en kwetsbaarheden, wat de detectie- en respons mogelijkheden verbetert.
Ze zetten twee soorten technieken/software in: Security Information and Event Management (SIEM) en Endpoint Detection & Response (EDR). Deze tools verzamelen en analyseren loggegevens uit verschillende bronnen binnen het netwerk van bedrijf XYZ. De SIEM richt zich op het analyseren en correleren van logs uit het hele netwerk, de EDR detecteert en reageert dreigingen die direct op endpoints plaatsvinden.
Detection
Op een doordeweekse ochtend ontvangt het SOC een melding. De monitoringtools detecteren ongebruikelijke netwerkactiviteit die kan wijzen op een lopende cyberaanval. De alert geeft het volgende aan:
Er is een grote hoeveelheid uitgaande gegevensstroom van een interne server naar een onbekend IP-adres. Dit patroon wijkt af van het normale netwerkverkeer en kan wijzen op datadiefstal. De uitgaande verbinding blijkt naar een server in Oost-Europa te gaan. Extra verdacht: want bedrijf XYZ opereert in de Brainport regio en is gevestigd in Eindhoven.
Interview
- 4 jun, 2024
Paleis Het Loo over cybersecurity: “De mens heeft een cruciale rol”
Lees verder
Analyse en Onderzoek
De SOC-analisten beoordelen de alerts. Zij kijken of deze legitiem is (heel soms geeft software namelijk false postives) en schatten de impact van het incident in.
Kwalificatie van incident: In het geval van bedrijf XYZ bevestigen ze dat de uitgaande gegevensstroom verdacht is. Het is dus geen false positive. De analisten beginnen met het verzamelen van meer informatie. Hiervoor bekijken ze logbestanden van de server en netwerkswitches. Wat blijkt? Er was toegang tot documenten met vertrouwelijke bedrijfsinformatie.
Diepgaand onderzoek: Wat was de bron van de aanval? Welke systemen zijn er geraakt? Analisten zetten hiervoor (forensische) tools in. Ze ontdekken dat een werknemer, genaamd Stefan, een phishing-email heeft geopend. Hij heeft per ongeluk malware geïnstalleerd. Een menselijke fout dus.
Deze malware heeft zich verspreid naar de server en begint gegevens weg te sluizen. De phishing-email leek afkomstig van een vertrouwde klant en bevatte een link naar een geïnfecteerde website.
De malware: Het SOC-team identificeert het type malware als een variant van de bekende “Emotet” trojan. Bekend van zijn gebruik bij gegevensdiefstal en verdere infectie van netwerken.
Response
Het SOC-team neemt in dit geval contact op met de IT-afdeling van bedrijf XYZ. Bij kleinere alerts ontvangen ze digitaal een melding met tips. Maar in dit geval is snel handelen extra belangrijk. Ze werken samen om de adviezen van het SOC-team zo snel mogelijk uit te voeren.
Containment: Het SOC-team adviseert de klant de besmette werkstations en servers van het netwerk te isoleren. IT koppelt Stefan’s laptop direct los van het netwerk. Dankzij maatregelen die al in de onboarding van het SOC zijn gekomen, hebben netwerksegmentatie en firewallregels een verdere verspreiding van de malware gelukkig voorkomen.
Eradication: Het SOC-team weegt af welke oplossing het slimst is om de malware te verwijderen. In dit geval adviseren de analisten om een rollback uit te voeren en de meest recente backup te gebruiken.
Herstel: IT en het SOC werken samen om de systemen opnieuw te configureren. Ook controleren ze of de malware echt weg is. Daarna zorgen ze ervoor dat alle systemen up-to-date zijn met de laatste beveiligingspatches en dat er geen achterdeuren zijn achtergelaten door de aanvallers.
Post-Incident Activiteiten
De SOC-analisten en het IT-team van bedrijf XYZ hebben samen de schade weten te beperken. Tijd om te kijken naar de toekomst:
Lessons learned: Na het neutraliseren van de dreiging, voert het SOC een post-mortem analyse uit. Ze evalueren hoe de aanval heeft kunnen plaatsvinden en identificeren eventuele zwakke plekken in de beveiliging. Het blijkt dat de medewerkers van bedrijf XYZ nooit een awareness training hebben gehad. Hierdoor wist Stefan niet goed hoe hij een phishing-mail moest herkennen.
Verbetering van beveiligingsmaatregelen: In het geval van XYZ adiveert het SOC-team de bewustwording van werknemers te verhogen door middel van regelmatige phishing-simulaties en/of trainingen.
Rapportage: Het SOC maakt een rapport van het incident, inclusief de tijdlijn van gebeurtenissen, de reactie van het team, en aanbevelingen voor toekomstige preventie.
Managed Detection & Response met een SOC
In dit voorbeeld ging het even mis door iets onvermijdelijks: een menselijke fout. Zoiets gebeurt altijd, dus het is goed dat een SOC dit incident kon detecteren.
Gelukkig zijn incidenten geen dagelijkse kost voor organisaties die samenwerken met een SOC. Managed Detection & Response helpt namelijk niet alleen met het in actie komen wanneer dat nodig is: het voorkomt ook een hoop.
Hoe precies? Nou, om de dienst te laten werken verzamelt het SOC logs van digitale gebeurtenissen binnen de organisatie. Onze SOC-analisten zitten hier zoveel mogelijk bovenop om misconfiguraties te ontdekken. Dus treffen we technisch zaken aan die met een kleine aanpassing veiliger kunnen? Dan hoort u dat ook! Op die manier voorkomen we noodscenario’s waarbij alle teams écht snel in actie moeten komen zoveel mogelijk.
Meer informatie over Managed Detection & Response?
Buiten de blogs die we hierover hebben geschreven, zijn we er natuurlijk ook telefonisch of per mail voor u. Dus heeft u een vraag? Stel deze vooral! Neem hier contact met ons op.