Met Threat Lifecycle Management Framework cyberdreigingen te lijf

Sander Bakker

Sander Bakker is Sales Manager Noord Europa bij LogRhythm 

Overal in de wereld staan organisaties voor de uitdaging om hun data en applicaties te beschermen tegen steeds geavanceerdere cyberaanvallen. Traditionele benaderingen zijn niet langer afdoende. In een serie van drie blogs beschrijven we hoe een organisatie met het Security Operations Maturity Model (SOMM) van LogRhythm een effectief en efficiënt Security Operations Center (SOC) inricht.

In het eerste blog keken we naar de noodzaak van een gebalanceerde beveiligingsaanpak. In deze tweede blog een beschrijving van het LogRhythm Threat Lifecycle Management Framework, dat de basis vormt voor een SOC.

Was cybersecurity eerder met name gericht op preventie, nu gaat het vooral om een proactieve aanpak, zodat steeds complexere en opener IT-omgevingen beter te beschermen zijn. Dat is voor veel organisaties een flinke uitdaging. Juist de toenemende complexiteit van de IT-omgevingen en het steeds vijandiger dreigingslandschap zijn daar debet aan. Daardoor hebben bedrijven steeds meer moeite om doelen op het gebied van Mean Time To Detect (MTTD) en Mean Time to Repair (MTTR) te behalen. Organisaties worstelen met de volumes aan meldingen, waarbij er sprake is van zowel veel false positives als false negatives. Dat zorgt voor moeheid bij teams en dus voor risico's.

Met een gestructureerde aanpak is dit op te lossen. LogRhythm ontwikkelde daartoe het Threat Lifecycle Management Framework, dat een stapsgewijze benadering biedt in zes fasen.

Fase 1: Verzamelen van forensische gegevens. Voordat een dreiging kan worden gedetecteerd, moet een organisatie in staat zijn om zo'n aanval onbetwist aan te tonen. Dat vereist de juiste gegevens, waaronder beveiligingsgebeurtenissen en alarmmeldingen, logbestanden en forensische sensorgegevens. Deze laatste kunnen hiaten in de zichtbaarheid opvullen, wanneer logboeken niet beschikbaar zijn of het niveau van de forensische gegevens niet voldoende gedetailleerd is.

Fase 2: Ontdekken van bedreigingen. Zodra er goed inzicht is, zijn bedreigingen te detecteren en kan de organisatie erop reageren. Het ontdekken van potentiële bedreigingen vindt plaats door middel van een mix van zoek- en machinelearning-analyse. Zoek-analyse is nog grotendeels handmatig werk en gebeurt door dashboards te bewaken en gebruik te maken van zoekmogelijkheden. Het omvat ook het beoordelen van rapportages over gedetecteerde uitzonderingen. Machine learning is een nieuwe, zelflerende technologie die op basis van algoritmes zelfstandig steeds geavanceerdere analyses kan uitvoeren. Daardoor wordt deze technologie beschouwd als het antwoord op de twee grootste uitdagingen van securityteams: gebrek aan gekwalificeerde medewerkers en een enorme toename van securitymeldingen.

Fase 3: Kwalificeren van bedreigingen. Een vastgestelde bedreiging moet snel worden gekwalificeerd om de potentiële impact op het bedrijf en de urgentie van extra onderzoeks- en reactie-inspanningen te bepalen.

Fase 4: Onderzoeken van bedreigingen. Zodra bedreigingen zijn gekwalificeerd, moeten ze volledig onderzocht worden om onmiskenbaar te bepalen of een beveiligingsincident heeft plaatsgevonden of plaatsvindt. Snelle toegang tot forensische gegevens en informatie over de dreiging is daarom van het grootste belang. Automatisering van routine-onderzoekstaken en tools die samenwerking tussen organisaties mogelijk maken, zijn in dit verband ideaal voor het optimaliseren van de MTTR.

Fase 5: Neutraliseren. Wanneer een incident gekwalificeerd en onderzocht is, zijn direct maatregelen nodig om schade te voorkomen. Voor bepaalde bedreigingen zoals ransomware of gehackte privileged user accounts telt elke seconde. Voor een optimale MTTR zijn gemakkelijke toegang tot incidentresponse-processen en -informatie cruciaal.

Fase 6: Herstel. Zodra het incident is geneutraliseerd en de risico's onder controle zijn, kan een organisatie starten met volledig herstel. Deze inspanningen zijn minder tijdkritisch, afhankelijk van de scope van het incident. Voor een effectief herstel hebben security-teams toegang nodig tot alle forensische informatie rond de onderzoeks- en incidentresponse-processen. Dat omvat tevens het bijhouden van iedere wijziging tijdens de incidentresponse-activiteiten. Veel herstelgerelateerde processen kunnen profiteren van automatisering. Daarnaast is het raadzaam om tijdens het herstelproces maatregelen te treffen ter voorkoming van het terugkeren van een bedreiging.

Door een Threat Lifecycle Management-aanpak kan een organisatie zijn risico's verlagen door snellere en effectievere detectie en response. Daarbij wordt het automatiseren van workflows steeds belangrijker. TLM vorm de basis voor een organisatie om volwassenheid op security-gebied te bereiken. Hier komen we in de laatste blog in deze serie op terug.

Ben jij nu al benieuwd naar wat het Security Operations Maturity Model (SOMM) voor jouw organisatie kan doen? Download dan het uitgebreide rapport