Vaak wenden medewerkers van beveiligingsoperatiecentra en informatiebeveiligingsafdelingen zich tot Kaspersky-specialisten voor deskundige hulp. We hebben de meest voorkomende redenen voor dergelijke verzoeken geanalyseerd en een gespecialiseerde dienst gecreëerd die klanten helpt hun vraag rechtstreeks aan een deskundige op het relevante gebied te stellen.
Waarom u wellicht deskundige hulp nodig hebt
De dreiging van cyberaanvallen neemt voortdurend toe nu cybercriminelen steeds meer manieren vinden om hun doel te bereiken, nieuwe hardware- en softwarekwetsbaarheden ontdekken in toepassingen, servers, VPN-gateways en besturingssystemen en deze onmiddellijk tot wapen maken. Elke dag verschijnen er honderdduizenden nieuwe malware-samples, en een grote verscheidenheid aan organisaties, waaronder grote bedrijven en zelfs overheidsinstellingen, vallen ten prooi aan ransomware-aanvallen. Daarnaast worden er ook regelmatig nieuwe geavanceerde bedreigings- en APT-campagnes aan het licht gebracht.
In deze context speelt dreigingsinformatie (threat intelligence of TI) een essentiële rol. Alleen met tijdige informatie over de tools en tactieken van aanvallers is het mogelijk een adequaat beveiligingssysteem op te bouwen en, in geval van een incident, een doeltreffend onderzoek in te stellen, indringers in het netwerk op te sporen, ze te elimineren en de primaire aanvalsvector te bepalen om een herhaling van de aanval te voorkomen.
Voor de toepassing van TI in een bepaalde organisatie is het nodig dat er een gekwalificeerde interne specialist is die de gegevens van TI-leveranciers in de praktijk kan gebruiken. Deze expert wordt op die manier de meest waardevolle troef binnen elk dreigingsonderzoek. Cyberbeveiligingsanalisten werven, opleiden en in dienst houden is echter duur, en niet elk bedrijf kan het zich veroorloven een team van deskundigen in dienst te houden.
Veelgestelde vragen
Er zijn verschillende afdelingen bij Kaspersky die klanten helpen bij het omgaan met cyberincidenten. In het kort gaat het om het Global Research & Analysis Team (GReAT), het Global Emergency Response Team (GERT) en het Kaspersky Threat Research Team. In totaal hebben we meer dan 250 analisten en deskundigen van wereldklasse bijeengebracht. Deze teams ontvangen regelmatig tal van klantenverzoeken op het gebied van cyberdreigingen. Na de recente verzoeken te hebben geanalyseerd, hebben we de volgende categorieën kunnen identificeren.
Analyse van malware of verdachte software
Een scenario dat we vaak tegenkomen omvat de activering van detectielogica in endpoint-beveiliging of threat hunting-regels. De veiligheidsdienst of SOC van het bedrijf onderzoekt de waarschuwing, vindt een schadelijk of verdacht object, maar beschikt niet over de middelen om een gedetailleerd onderzoek uit te voeren. Vervolgens vraagt het bedrijf onze experts om te bepalen wat de functionaliteit van het gedetecteerde object is, hoe gevaarlijk het is en hoe ervoor kan worden gezorgd dat het incident wordt opgelost nadat het is verwijderd.
Als onze experts snel kunnen identificeren wat de klant heeft gestuurd (we hebben een gigantische kennisbank van typische aanvalstools en meer dan een miljard unieke malware-samples), geven ze onmiddellijk antwoord. Als dat niet zo is, moeten onze analisten onderzoek doen, en in complexe gevallen kan dat tijd kosten.
Aanvullende informatie over indicators of compromise
De meeste bedrijven gebruiken een verscheidenheid aan bronnen voor indicators of compromise (IoC’s). De waarde van IoC’s ligt grotendeels in de beschikbaarheid van context – dat wil zeggen, aanvullende informatie over de indicator en zijn betekenis. Die context is echter niet altijd beschikbaar. Dus als SOC-analisten een bepaalde IoC hebben gedetecteerd in bijvoorbeeld het SIEM-systeem, kunnen ze de aanwezigheid van een trigger zien en beseffen dat er mogelijk een incident is, maar beschikken ze niet over de informatie om dit verder te onderzoeken.
In dergelijke gevallen kunnen ze ons een verzoek sturen om informatie te verstrekken over de gedetecteerde IoC, en in veel gevallen blijken dergelijke IoC’s interessant te zijn. Zo ontvingen we bijvoorbeeld een IP-adres dat in de traffic feed van een bedrijf was aangetroffen (d.w.z. er was toegang verkregen vanuit het bedrijfsnetwerk). Onder de dingen die op het adres werden gehost bevond zich een softwarebeheerserver genaamd Cobalt Strike, een krachtige tool voor beheer op afstand (of gewoon een backdoor), die door allerlei cybercriminelen wordt gebruikt. De detectie daarvan betekent bijna met zekerheid dat het bedrijf al wordt aangevallen (echt of training). Onze deskundigen verstrekten aanvullende informatie over het middel en raadden aan onmiddellijk met incident response (IR) te beginnen om de bedreiging te neutraliseren en de hoofdoorzaak van de compromittering vast te stellen.
Verzoeken tot gegevens voor tactieken, technieken en procedures
IoC’s zijn bij lange na niet alles wat een bedrijf nodig heeft om een aanval te stoppen of een incident te onderzoeken. Zodra is vastgesteld welke cybercriminele groep achter de aanval zit, hebben SOC-analisten meestal gegevens nodig over de tactieken, technieken en procedures (TTP’s) van de groep; ze hebben gedetailleerde beschrijvingen nodig van de modus operandi van de groep om te helpen bepalen waar en hoe de aanvallers de infrastructuur kunnen zijn binnengedrongen, de informatie over methoden die aanvallers gewoonlijk gebruiken om zich in het netwerk te nestelen, en over hoe ze gegevens exfiltreren. Wij verstrekken deze informatie als onderdeel van onze Threat Intelligence Reporting-service.
De methoden van cybercriminelen kunnen, zelfs binnen dezelfde groep, zeer uiteenlopend zijn, en het is niet haalbaar om alle mogelijke details te beschrijven, zelfs niet in een zeer gedetailleerd verslag. TI-klanten die onze APT- en crimeware-dreigingsrapporten gebruiken, vragen ons daarom soms om aanvullende informatie over een bepaald aspect van een aanvalstechniek in een specifieke context die voor de klant van belang is.
Wij hebben dit soort antwoorden, en vele andere, gegeven door middel van speciale diensten of binnen het beperkte kader van de technische ondersteuning. Omdat het aantal verzoeken echter toenam en we de waarde van de expertise en kennis van onze onderzoekseenheden inzagen, hebben we besloten een speciale service te lanceren onder de naam Kaspersky Ask the Analyst, waarmee we via één toegangspunt snel toegang bieden tot ons deskundig advies.
Kaspersky Ask the Analyst
Met onze nieuwe dienst kunnen vertegenwoordigers van klanten (voornamelijk SOC-analisten en infosec-medewerkers) advies krijgen van Kaspersky-experts, waardoor hun onderzoekskosten omlaag gaan. We begrijpen het belang van tijdige informatie over dreigingen, en daarom hebben wij een SLA voor alle soorten verzoeken. Met Kaspersky Ask the Analyst kunnen infosec-specialisten:
- Extra gegevens uit Kaspersky Threat Intelligence-rapporten ontvangen, waaronder uitgebreide IoC- en analysecontext van GReAT en het Kaspersky Threat Research Team. Afhankelijk van uw precieze situatie zullen zij de eventuele verbanden bespreken tussen de in uw bedrijf vastgestelde indicatoren en de in de rapporten beschreven activiteit;
- Een gedetailleerde analyse van het gedrag van de geïdentificeerde samples krijgen, hun doel bepalen en aanbevelingen krijgen om de gevolgen van de aanval te beperken. De incident response-experts van het Kaspersky Global Emergency Response Team zullen helpen met de taak;
- Een beschrijving krijgen van een specifieke malwarefamilie (bijvoorbeeld een bepaald stuk ransomware) en advies over de bescherming ertegen, plus extra context voor specifieke IoC’s (hashes, URL’s, IP-adressen) om te helpen bij het prioriteren van waarschuwingen of incidenten waarbij ze betrokken zijn. Kaspersky Threat Research-experts verstrekken deze informatie;
- Een beschrijving ontvangen van specifieke kwetsbaarheden en de ernst ervan, evenals informatie over de manier waarop Kaspersky-producten bescherming bieden tegen misbruik. Kaspersky Threat Research-experts verstrekken ook deze informatie;
- Om een individueel onderzoek vragen van dark web-gegevens. Dit levert waardevolle informatie op over relevante dreigingen, die op hun beurt suggesties geven over effectieve maatregelen om cyberaanvallen te voorkomen of beperken. Kaspersky Security Services-experts doen het onderzoek.
U vindt meer informatie over deze diensten op onze website.