Tegenwoordig worden organisaties met grote regelmaat blootgesteld aan cyberdreigingen. Een ongeluk zit in een klein hoekje. Echter incidenten zoals datalekken of ransomware-aanvallen kunnen grote schade aanrichten en het is vaak een uitdaging om snel en effectief te reageren.
Een belangrijk aspect van een goede incidentresponse is forensisch onderzoek, om te achterhalen welke stappen de aanvaller heeft genomen. Als deze stappen duidelijk zijn, kan er ook op een veilige manier hersteld worden. Forensic readiness, de mate waarin een organisatie de benodigde logbronnen beschikbaar heeft, zorgt er voor dat het forensisch onderzoek sneller en beter kan worden uitgevoerd omdat er meer informatie beschikbaar is. Deze voorbereiding kan het verschil maken tussen een langdurig en wellicht niet volledig herstel en een snel, veilig proces dat de schade beperkt.
In deze blog bespreken we wat forensic readiness inhoudt, welke problemen wij in de praktijk tegenkomen en waarom het zo belangrijk is om dit op orde te hebben.
Wat is forensic readiness?
Forensic readiness verwijst naar de mate waarin een organisatie de benodigde logbronnen beschikbaar heeft die nodig zijn tijdens een forensisch onderzoek. Dit omvat het hebben van de juiste logbronnen, de correcte configuratie van logbronnen en de bewaringstermijn (retentie) van logbronnen.
Het doel van forensic readiness is niet om incidenten te voorkomen, maar om ervoor te zorgen dat, wanneer een incident zich voordoet, de organisatie snel en duidelijker antwoord krijgt op vragen die naar voren komen bij een incident. Denk hierbij aan: tot welke systemen heeft de aanvaller toegang gehad? Is er data gestolen, en zo ja welke data? En, heeft de aanvaller nog steeds toegang? Door forensic ready te zijn, en dus je logbronnen op de juiste manier te hebben ingericht, zorg je voor een efficiënter herstelproces en dus dat jouw organisatie sneller en veiliger terug online komt.
Problemen bij incidentresponse zonder forensic readiness
Bij veel bedrijven ontbreekt vaak de basis voor een succesvol forensisch onderzoek. Uiteraard kan op basis van ervaring worden bepaald welke scenario’s het meest waarschijnlijk zijn, maar wij merken dat op het moment dat een incident heeft plaats gevonden, de prioriteiten soms anders liggen dan vooraf gedacht. Zo zien wij vaak dat de zogenoemde “kroonjuwelen” vooraf het belangrijkst lijken voor een organisatie, maar wanneer de persoonsgegevens van medewerkers gestolen lijken te zijn, wordt dit vaak als veel belangrijker gezien. Zonder forensisch onderzoek, is het moeilijk te bepalen of dit het geval is.
Tijdens een incident wil je besluiten nemen op basis van feiten, en daarvoor is forensisch onderzoek (en dus logbronnen) van cruciaal belang. Terwijl organisaties vaak veel tijd, geld en energie stoppen in detectie- en monitoringoplossingen, blijkt tijdens een incident regelmatig dat de juiste logbronnen voor forensisch onderzoek niet voorhanden is. Je kan dit vergelijken met een camerasysteem en het sporenonderzoek van de politie na een inbraak. Het camerasysteem
kan zeker helpen tijdens het sporenonderzoek, maar de politie heeft meer informatie nodig om onderzoek uit te voeren en antwoord te geven op de vragen die naar voren komen bij een inbraak.
In de praktijk komen onderstaande problemen met logbronnen het meeste voor:
- Ontbrekende logbronnen: Tijdens een incident moet vaak snel worden gereageerd. Als belangrijke loggegevens niet beschikbaar zijn, wordt het lastig om vast te stellen hoe de aanval heeft plaatsgevonden of wat de gevolgen zijn. Dit vertraagt het herstelproces en kan ertoe leiden dat informatie of systemen na het incident niet volledig of juist hersteld wordt.
- Onvoldoende retentie van loggegevens: Belangrijke logbronnen bevatten vaak veel informatie. Er wordt voortdurend nieuwe informatie opgeslagen. Dit zorgt er ook voor dat er door, bijvoorbeeld een maximale bestandsgrootte, maar voor een korte periode aan loginformatie wordt bewaard. Als deze loginformatie na een paar uur al overschreven is en er na een dag forensisch onderzoek wordt opgestart, dan zijn de nodige gegevens al verloren. Dit bemoeilijkt het onderzoek en kan leiden tot onbeantwoorde vragen.
- Onbekende locatie van loggegevens: Soms zijn logbronnen alleen beschikbaar bij bijvoorbeeld een Saas-leverancier of in de cloud. Dit kan vertraging veroorzaken in het ophalen van de informatie, zeker wanneer het opvragen van de gegevens buiten kantooruren valt. Deze afhankelijkheid van derden belemmert vaak een snel herstelproces.
Het belang van juiste logging
Bij incidenten, zoals ransomware-aanvallen, is het voor het herstelproces cruciaal om te weten welke systemen zijn geïnfecteerd. Daarnaast is het belangrijk om te weten welke stappen de aanvaller heeft genomen en/of welke data is gestolen. Hierbij spelen logbronnen een cruciale rol om snel en efficiënt te achter deze informatie te komen. De meest voorkomende en benodigde logbronnen zijn:
- Server- en Endpointlogging: Dit type logging biedt inzicht over wat er is gebeurd op een systeem en welke mogelijke andere systemen er geraakt zijn.
- Netwerklogging: Inclusief VPN-logging, biedt het inzicht in in- en uitgaand verkeer en geeft het aanknopingspunten voor waar de aanval vandaan komt of hoe de aanvaller binnen is gekomen.
- Identity logging: Hiermee kan worden achterhaalt wie er is ingelogd en vanaf welke locatie.
- Applicatielogging: Logt gebeurtenissen binnen specifieke bedrijfsapplicaties, wat inzicht geeft in wat de aanvaller binnen deze toepassingen heeft gedaan.
Wat forensic readiness oplevert
Als forensic readiness goed is ingericht, levert dat grote voordelen op bij incidentherstel. Door proactief bezig te zijn met de configuratie van de logbronnen en te waarborgen dat deze
beschikbaar zijn wanneer nodig, kunnen organisaties sneller en gerichter reageren tijdens een incident. Dit verkleint niet alleen de doorlooptijd van het herstel, maar maakt het ook mogelijk om met meer zekerheid te zeggen welke stappen de aanvaller heeft genomen en of/welke data is gestolen.
Daarnaast kan forensic readiness bijdragen aan het voldoen aan wettelijke vereisten, zoals de NIS2-richtlijn, door ervoor te zorgen dat de organisatie in staat is om de juiste gegevens te verstrekken wanneer dit gevraagd wordt door toezichthouders.
Onze aanpak
Bij Tesorion bieden we een proactieve aanpak voor forensic readiness. Onze specialisten helpen jouw organisatie om de juiste logbronnen te configureren, zodat wij bij een incident altijd de benodigde gegevens hebben om een onderzoek uit te voeren. Door dezelfde tools voor het analyseren van systemen te gebruiken als tijdens een daadwerkelijke incidentresponse, krijgen wij een duidelijk beeld van de huidige situatie en kunnen wij er voor zorgen dat jouw organisatie voorbereid is op een forensisch onderzoek.
Het doel van onze forensic readiness-aanpak is om jouw bedrijf niet alleen op papier te helpen beter voorbereid te zijn, maar ook daadwerkelijk veiliger uit het proces te komen. Dit is geen theoretische oefening; het eindresultaat is een praktische verbetering van logbronnen en dus de incidentresponsecapaciteit van jouw organisatie.
Conclusie
Het Nationaal Cyber Security Centrum (NCSC) heeft recent een paper over forensic readiness uitgebracht waar wij aan hebben bijgedragen. Forensic readiness is een essentiële stap in het effectief en efficiënt herstellen van cyberincidenten. Door ervoor te zorgen dat de juiste logbronnen beschikbaar zijn en deze goed zijn geconfigureerd, kunnen organisaties snel en met zekerheid reageren wanneer zich een incident voordoet. Wij helpen jouw organisatie daar graag bij.
Dit is een ingezonden bijdrage van Tesorion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.