Cloud Security Operations Center: hoe gaan we om met gevaren?

In september 2019 kondigde ik op onze blog aan dat Wortell haar dienstverlening uitbreidde met een eigen Cloud Security Operations Center. Inmiddels zijn we bijna een half jaar verder en hebben we de nodige ervaringen opgedaan met het SOC, dat nu continu bezig is met klantbeveiliging. Het is interessant om te zien wat we in die tijd allemaal zijn tegengekomen. Tijd voor een korte terugblik en uitleg: welke gevaren liggen op de loer en hoe gaan we daarmee om?

Praktijkcase: vertrouwelijke informatie gelekt! Maar hoe?

Op een woensdagavond om half acht, toen ik aan het voetbalveld van mijn zoon stond, ging de telefoon. Het was de CIO van een gerenomeerde organisatie. Zijn bericht was alarmerend: hij vermoedde dat belangrijke gegevens vanuit de raad van bestuur werden gelekt.

Wortell kwam meteen in actie: we startten met een analyse op de bestaande omgeving van deze organisatie. Omdat wij Office 365 gebruiken, konden we heel snel achterhalen dat de technische basis van de omgeving solide was. Maar toen we verder keken, bleek dat er in de e-mailbox van de CEO een automatische forwarding-rule was aangemaakt: alle binnenkomende e-mails werden naar een louche ogend e-mailadres doorgestuurd. Zeer verdacht. Daarom voerden we een snelle analyse uit op de problematiek. Wat bleek? De e-mailbox van de CEO was gehackt. De hamvraag: hoe hadden zij zich toegang verschaft tot dít account?

De CEO in kwestie was eerder verschillende keren geblokkeerd omdat hij achtereenvolgens verkeerde wachtwoorden had ingevoerd. Daarop hadden systeembeheerders de beveiliging handmatig van het account gehaald om te kunnen troubleshooten. Omdat deze organisatie géén gebruikmaakte van multifactorauthenticatie, zagen hackers hun kans schoon: ze hadden vrij baan om een gerichte aanval uit te voeren op het e-mailaccount van de CEO. Het gevolg: ze hackten zijn e-mail, stelden de forwarding-rule in en hadden maandenlang toegang tot alle vertrouwelijke informatie die hij ontving en verstuurde.

'Analysemodus': altijd aan

Is dit specifieke voorbeeld een uitzondering? Helaas niet. We komen dit soort gevallen aan de lopende band tegen. Zeker nu wij ons Cloud Security Operations Center hebben geïntroduceerd, staan dergelijke gevaren continu op ons netvlies. Bij het uitvoeren van automatische testen op omgevingen zien we dat de Microsoft 365-omgeving de meeste aanvallen op eenvoudige wijze afslaat. En tóch worden accounts van klanten soms gehackt. Hoe? Door de inzet van allerlei geavanceerde methodes.

Daarom zijn wij continu aan het analyseren. Daarbij kijken we naar verleden, heden én toekomst: is er sprake geweest van een probleem, dan bepalen we hoe het zover heeft kunnen komen én hoe we dit in het vervolg kunnen voorkomen. Binnen de cloudomgeving van de klant vangen we een veelheid aan signalen op. Deze combineren we met elkaar op een intelligente manier. Wat moet je je hier precies bij voorstellen? We geven je nog een voorbeeld uit de praktijk.

Alarmerende combinatie van signalen: cloud-native SIEM in actie

Stel dat er op dinsdagochtend om 09.06 uur wordt ingelogd op een account van een organisatie. De inloglocatie: Kazachstan. Het IP adres: een TOR exit node. Om 09.07 uur wordt ongebruikelijke software (suspicious PowerShell) uitgevoerd op een werkplek. En om 09.11 uur worden alle e-mails uit de organisatie doorgestuurd naar een e-mailadres bij Gmail.

Een alarmerende combinatie van signalen; met enige zekerheid kan je hier spreken van Data Exfiltratie. Onze cloud-native SIEM, samen met de Use Cases vanuit ons SOC, en onze Kunstmatige Intelligentie, alarmeert direct. Daarmee kunnen onze security analysten dit soort aanvallen snel en eenvoudig kunnen detecteren en afslaan!