Onderzoek kunnen doen na een cyberaanval is belangrijk. Er zijn veel scenario’s denkbaar waarin het niet meteen duidelijk is wat de staat is van de compromittatie van jouw systemen en gegevens en wat er nodig is om te herstellen. Niet alleen wil je de schade beperken, je wilt vooral zo snel mogelijk weer veilig back-in-business zijn. Daarvoor wil je je incident readiness op orde hebben. Eén onderdeel daarvan is forensic readiness: de paraatheid om digitaal forensisch onderzoek te (laten) doen. Deze publicatie vertelt je wat je daarvoor zelf kunt doen en waarvoor je ondersteuning kunt inschakelen.
Doelgroep: Deze publicatie is voor organisaties die hun forensic readiness willen professionaliseren. Deze organisaties werken al hard aan hun weerbaarheid maar er is altijd een kans dat een incident je gaat treffen waarvan je de impact wilt beperken. Een organisatie die forensisch ready is, geeft hiermee invulling aan de bedoeling van de NIS2-richtlijn.
Deze publicatie is tot stand gekomen met bijdrage van: Fox-IT, Northwave, Tesorion.
Definitie Forensic readiness: Forensic readiness is de paraatheid van een organisatie om digitaal sporenonderzoek te laten doen bij een cyberincident.
Achtergrond
De juiste voorbereiding is essentieel voor het doen van forensisch onderzoek. Hoe ondenkbaar ook, in het huidige dreigingslandschap is de kans groot dat een cyberincident bij jouw organisatie plaatsvindt. Bijna altijd overvalt een cyberincident je. Maar dat zo’n incident zich niet laat voorspellen, betekent niet dat je van tevoren niks kunt doen. In deze publicatie vertellen we je wat je kunt doen om forensic ready te zijn.
Met forensisch onderzoek wil je antwoorden op vragen als: wat is de bron van het incident en wat was het doel? Zijn de aanvallers erin geslaagd om door te dringen tot jouw bedrijfsgegevens? Liggen belangrijke gegevens (digitaal) op straat? Zijn systemen weer up-and-running te krijgen? Is er sprake van schade voor jouw bedrijf en is er sprake van een strafbaar feit? Is forensisch onderzoek in jouw organisatie niet mogelijk, dan blijven antwoorden op deze belangrijke vragen waarschijnlijk uit.
Overigens wil je niet alleen de business weer op orde krijgen, je wilt ook van de aanval leren. Cyberincidenten in de toekomst voorkomen of wat je moet doen zodat een eventueel toekomstig cyberincident minder impact heeft, zijn mooie nevendoelen van forensisch onderzoek.
Maar forensic ready, dat ben je niet zomaar. Het betekent dat je hebt nagedacht welk bewijsmateriaal je mogelijk nodig hebt om dat onderzoek te doen. En ook hoe je dat verzamelt, opslaat en bewaart en doorstuurt naar de onderzoekers, die het kunnen analyseren. Dat hoef je niet allemaal zelf te doen. Veel organisaties besteden een deel van dat werk uit. Het inschakelen van hulp bij je forensic readiness helpt ook op het moment dat er een incident is en je daadwerkelijk forensisch onderzoek moet laten doen. De relatie met een incidentresponspartij is dan al gebouwd en hun inzet kan daardoor sneller en effectiever verlopen.
Het Nationaal Cyber Security Centrum (NCSC) adviseert je in het algemeen om je cyberweerbaarheid op orde te brengen, te beginnen bij de basis op orde van je risicoinventarisatie. Ook als je hiervoor een leverancier betrekt, benadrukken we dat je bij deze activiteiten zelf betrokken moet zijn. Waarom? Een leverancier kan je hierbij wel ondersteunen, maar de kennis om te weten wat je in huis hebt en wilt beschermen, wil je in ieder geval binnen de organisatie opbouwen.
Op hoofdlijnen kun je ook leunen op de kennis van een brancheorganisatie of concullega, maar je moet goed weten waarin jouw organisatie uniek is en daarmee qua risicoprofiel toch afwijkt van andere organisaties in jouw branche.
Forensisch onderzoek doen, dus onderzoek na een cyberincident, is een specialisme dat je als het goed is sporadisch nodig hebt en waarvan de frequentie onduidelijk is. In combinatie met de snelle ontwikkelingen in cyberincidentenland is forensisch onderzoek doen een specialisme waarvoor je beter samenwerkt met een (commerciële) incidentresponseprovider.
Dat betekent niet dat je achterover leunt totdat een cyberincident zich voordoet. Integendeel. Begin nu met je voorbereiding. Onder meer met de stappen in deze publicatie. Maar ook door te verkennen wat een incidentresponseprovider voor je kan doen.
Zorg dat je je weerbaarheid op orde hebt
Je digitale weerbaarheid op orde hebben is een randvoorwaarde voor forensic readiness. Maar wat is dan die digitale weerbaarheid? Dat is voor iedere organisatie anders en hangt een-op-een samen met het risicobeeld van jouw organisatie. Met een goed risicobeeld weet je wat je in huis hebt (je te beschermen belangen: producten, processen, informatie, ondersteunende techniek) en welke dreigingen daarvoor bestaan. Ook heb je zicht op welke mitigerende maatregelen je hebt genomen of kunt nemen en de risico’s die je bereid bent te nemen.
Te beschermen belangen spelen zich af op alle niveaus in de organisatie: van de doelstellingen van de organisatie, het voor die doelstellingen verwerken van informatie en hiervoor ingerichte processen. Processen die vervolgens worden ondersteund door netwerk- en informatiesystemen. Onder dreiging verstaan we iets wat gevaar of schade kan opleveren voor een organisatie en wat tot een verstoring, reputatieschade of financieel verlies leidt.
Met deze NCSC-publicaties breng je de weerbaarheid op orde voor je forensic readiness:
Naast de weerbaarheid zijn nog drie andere maatregelen belangrijk om met forensic readiness aan de slag te gaan: het maken van een incidentresponsplan (IRP), je crisisteam inrichten en het oefenen van cyberincidenten.
Incidentresponsplan
Een incidentresponsplan (IRP) is essentieel om voorbereid te zijn op een cyberincident. Met een IRP stel je interne en externe processen vast, identificeer je rollen/verantwoordelijkheden/taken, stel je een communicatieplan op en maak je afspraken. (Wie mag bijvoorbeeld de productie stilzetten tijdens een malware-infectie (‘stekkermandaat’)?) Lees onze publicatie Incident response: waar begin ik? voor meer informatie.
Crisisteam
Crisisbeheersing is gecoördineerd improviseren. Drie rollen (voorzitter, logger/notulist en communicatie-expert) zijn essentieel en we raden organisaties aan om deze rollen niet uit te besteden, maar om ze intern te beleggen omdat ze op organisatieniveau snel beslissingen moeten nemen.
Oefenen
Het vraagt veel van je crisisteam om beslissingen te nemen. Daarom moet je cyberincidenten oefenen en besteed je aandacht aan het opleiden en trainen van je crisisteam.
Het NCSC heeft een wettelijke taak om ondersteuning te leveren bij incidenten. Deze ondersteuning bestaat uit het verzamelen van forensische gegevens, deze informatie geautomatiseerd of waar nodig door specialisten laten analyseren, en eventuele, malafide activiteiten en incidentsporen ontdekken. Echter, wel met een bepaald doel: vaststellen wat de bron en het doel van de aanval zijn en wat de gebruikte aanvalsmethode is, zodat de organisatie zelf verder kan met herstellen. Met deze informatie kan het NCSC daarnaast andere partijen waarschuwen voor nieuwe aanvalstechnieken of veranderende patronen. Belangrijk is dat de organisatie die is getroffen zelf de verantwoordelijkheid draagt voor het herstel. Het NCSC heeft niet deze verantwoordelijkheid en vervult dus ook geen taak hierin, behalve vaststellen wat de organisatie het beste kan doen om te herstellen en in welke volgorde.
Wetgeving bepaalt ook of je een incident moet melden bij het NCSC.
Herstellen na een incident blijft altijd de verantwoordelijkheid van de getroffen organisatie. Een eigen incidentresponsteam of commerciële incidentresponspartij helpt jouw organisatie daar het beste bij. Afhankelijk van het contract dat je met hen hebt afgesloten, onderzoeken ze in welke systemen het incident zich heeft voorgedaan om die zo snel mogelijk te isoleren (containment), ze verwijderen de gevolgen en wijzen op eventuele kwetsbaarheden waar misbruik van is gemaakt (eradication) en ze herstellen de normale werking van alle systemen om jouw organisatie weer up-and-running te krijgen (recovery).
Bij strafbare feiten doe je aangifte bij de politie. De politie kan dan ook forensisch onderzoek doen om een verdachte op te sporen.
Loggen: doe het planmatig
De belangrijkste forensische sporen komen uit logboeken. Je systemen verzamelen en bewaren digitale gegevens zodat ze later verstuurd en geanalyseerd kunnen worden. We onderscheiden een viertal mogelijke logbronnen: netwerklogging, applicatielogging, gebruikerslogging en endpointlogging. NB: er zijn nog meer varianten maar we beperken ons hier tot deze vier belangrijkste.
Bij netwerklogging verzamel je netwerkdata en logbestanden van netwerkdiensten. Veel aanvallers nemen meerdere stappen door het netwerk voordat ze hun daadwerkelijke compromittatie uitvoeren. Door de bewegingen van een aanvaller door het netwerk op chronologische volgorde te zien, kan ontdekt worden wat de eerste besmettingshaard van de aanval is geweest.
Firewall- en routerlogs: deze logs geven inzicht in inkomend en uitgaand netwerkverkeer, geautomatiseerde scans van buitenaf, ongeautoriseerde toegangspogingen, en andere verdachte activiteit op netwerkapparaten. Netwerkverkeer kan effectief gelogd worden met tools als NetFlow (Cisco), Jflow (Juniper) of sFlow.
DHCP-logs: deze logs houden bij welke interne ip-adressen aan welk apparaat zijn toegewezen.
Network Intrusion Detection System (NIDS-)logs: logs van systemen die verdacht netwerkverkeer en bekende aanvalspatronen detecteren.
VPN-logs: deze logs helpen bij het identificeren van toegangspunten van externe gebruikers, inclusief wanneer en vanaf welk ip-adres ze verbinding hebben gemaakt, en waar de verbinding naartoe ging in je netwerk.
DNS-logs: deze logs kunnen helpen bij het traceren van kwaadaardige domeinen en verdachte resoluties van domeinen.
De compromittatie kan ook op applicatieniveau hebben plaatsgevonden. Iedere applicatie houdt eigen logs bij, waarin je ook verdachte activiteiten kunt vinden. Ook veel clouddienstverleners kunnen voor jou nuttige logs vastleggen op applicatieniveau.
Auditlogs: deze logs worden door een applicatie bijgehouden om de acties van de bedrijfsprocessen vast te leggen.
Transaction logs: logs die bijvoorbeeld bijhouden welke wijzigingen er in databases worden gedaan.
E-maillogs: de logs van je e-maildienst kan cruciale informatie bevatten, omdat veel digitale aanvallen met een e-mail beginnen.
Access logs: deze logs geven inzicht in inlogpogingen, zowel succesvol als mislukte pogingen, van gebruikers en systemen.
Aanvallers kunnen gebruikmaken van gestolen gebruikersaccounts. Als een gecompromitteerde gebruikersaccount is geïdentificeerd kun je met gebruikerslogs achterhalen wat de aanvaller uit naam van die gebruiker heeft uitgevoerd.
Authenticatielogs: gedetailleerde logs van gebruikerslogins, tijdstippen van toegang en gebruikte apparaten.
Verificatie- en autorisatielogs: bijvoorbeeld logs van multifactorauthentication (MFA) en Single Sign-On (SSO) systemen.
Wijzigingen in gebruikersrechten: als er wijzigingen zijn in de machtigingen van gebruikers (bijvoorbeeld via Active Directory of een identitymanagementsysteem).
Veel digitale aanvallen beginnen op het werkstation van een eindgebruiker, bijvoorbeeld door malware te installeren. Gebruik daarom detectiesoftware op alle werkstations, dit wordt Endpoint detection and response (EDR) genoemd en kan meerdere beveiligingsfuncties combineren, zoals een firewall en antivirus. Logboeken op endpoints kunnen veel informatie geven als een werkstation geïdentificeerd is als eerste punt van binnenkomst.
Besturingssysteem logs (OS): logs van besturingssystemen zoals Linux (syslog, auth.log) of Windows (security event log) bevatten cruciale informatie over systeemactiviteiten, gebruikersinlogpogingen, foutmeldingen en wijzigingen aan systeeminstellingen. En er zijn system/host forensics: op het systeem zelf zoals mobiele apparaten (Android of IOS), macOS en ICS/SCADA-systemen.
Antivirus- en endpointbeveiligingslogs: deze logs bevatten informatie over gedetecteerde malware, verdachte bestanden, en gedane blokkades door beveiligingssoftware.
Endpoint detection and response (EDR) logs: gedetailleerde logs van endpointbeveiligingssystemen, die vaak gedragsanalyse uitvoeren en verdachte activiteiten detecteren, zoals het wijzigen van bestanden of het uitvoeren van onbekende processen.
Begin vanuit een incidentscenario
Doorloop de volgende stappen om te zorgen voor bruikbare logs. Dit is geen eenmalig proces. Op basis van verschillende scenario’s voer je dit meerdere keren uit. Herhaal de belangrijkste scenario’s ook periodiek, bijvoorbeeld jaarlijks; jouw systemen en de aanvalsmethoden van aanvallers veranderen en jouw logbehoefte verandert daardoor mee.
Bij het op orde brengen van je digitale weerbaarheid hanteer je een risicomanagementproces. In het kader in het vorige hoofdstuk vind je publicaties van het NCSC die je bij dit proces helpen. Daaruit is al gekomen:
wat de te beschermen belangen voor jouw organisatie zijn
daaruit voortkomend: wat de meest relevante risico’s voor je organisatie zijn.
Stel op basis van deze kennis scenario’s op voor incidenten die jouw organisatie zouden kunnen treffen. Loop vervolgens per incidentscenario de onderstaande stappen door, om daarmee je logging in te richten. Stel een ontwerpdocument op waarin je het logplan vastlegt.
Naast incidentscenario’s kan loggen ook nodig zijn omwille van wetgeving of compliance met normenkaders. Je kunt de stappen ook doorlopen met die eisen in gedachten.
Als je zelf niet voldoende kennis hebt van (actuele) incidenten en dreigingen, vraag dan om ondersteuning van een commerciële incidentresponsprovider bij het doorlopen van deze stappen. Ervaren professionals van binnen en buiten de organisatie kunnen meestal goed meedenken met scenario’s en de implicaties daarvan.
Ga aan de hand van het incidentscenario na welke stappen een aanvaller neemt om de aanval uit te voeren. Kijk naar je netwerktekening en noteer welke systemen kunnen worden gecompromitteerd en langs welke paden de aanvaller zich begeeft. Bedenk dat een aanvaller zich ook binnen één systeem over meerdere applicaties kan verspreiden.
Nu heb je een volledige een lijst met apparaten, omgevingen en applicaties waarop je logging wilt toepassen. Leg deze basislijst vast in je ontwerpdocument. In de volgende stappen ga je nader bepalen wat voor logging je op die systemen nodig hebt.
Beeld je in dat het scenario zich heeft voltrokken. Bedenk welke vragen je organisatie heeft. Vanuit verschillende invalshoeken stel je andere vragen. Voer deze exercitie daarom uit met meerdere mensen met hun eigen belangen. Denk aan de volgende doelen:
Hoe kan ik de aanvaller zo snel mogelijk stoppen?
Hoe kom ik erachter wat allemaal aangetast is, zodat ik het kan ontsmetten?
Wat heeft mijn organisatie nodig om zo snel mogelijk weer het normale werk te hervatten?
Deze doelen hangen samen met de fasering die incidentresponsproviders gebruiken in hun aanpak: containment, eradication en recovery. Incidentresponsproviders zijn dan ook een nuttige gesprekspartner in deze stap.
Nu heb je je informatiebehoefte bij het incidentscenario in kaart gebracht. Leg je vragen vast in je ontwerpdocument. Bepaal welke systemen de antwoorden kunnen geven op de vragen die je hebt gesteld. Kies per systeem welke logs het meest behulpzaam zijn in die beantwoording. Leg in je ontwerpdocument de logs vast die je nodig hebt.
Veel systemen hebben bepaalde logging standaard ingeschakeld. De kans is groot dat je al veel informatie logt. Ga op alle systemen die je in stap 1 hebt gekozen na wat er op dit moment al gelogd wordt en maak daar een overzicht van.
Vergelijk de inventarisatie van bestaande logging met de keuzes die je in stap 2 hebt gemaakt op basis van je informatiebehoefte. Voer hierop een gap-analyse uit. De lijst met logs die je nodig hebt maar nog niet aanwezig zijn, is je actielijst om in te schakelen.
Uit de gap-analyse volgt ook dat een deel van je aanwezige logging niet nodig is in het huidige scenario. Overweeg om die logging uit te schakelen om de totale hoeveelheid beheersbaar te houden en om opslagruimte te besparen. Bedenk wel dat je die logging in een ander scenario misschien wel nodig hebt, en dat je die alsnog wilt inschakelen wanneer je deze stappen weer doorloopt.
Wanneer je logs gaat inschakelen maak je enkele keuzes. Leg deze keuzes vast in je ontwerpdocument.
Welke attributen laat ik loggen?
Hoe meer je logt, hoe meer opslagruimte dat zal vragen en hoe groter de hooiberg waarin de forensisch onderzoeker een speld zal moeten zoeken. Wees daarom selectief, maar zorg er wel voor dat je antwoorden krijgt op je vragen.
Hoe lang bewaar ik de logs?
Leg per logproces vast hoe lang je die gegevens wilt bewaren. Het NCSC adviseert om altijd ten minste 90 dagen aan te houden. Lukt dat niet voor alle processen, bijvoorbeeld omdat de opslagcapaciteit niet groot genoeg is, maak dan een afweging tussen de processen om te bepalen welke ten minste 90 dagen moeten worden bewaard en voor welke dat wellicht minder relevant is.
Waar bewaar ik de logs?
Sommige apparaten hebben beperkte opslagruimte voor logging toegewezen en gooien oude logs automatisch weg als het vol is. Stuur de loginformatie daarom door naar een aparte logserver of SIEM om er zeker van te zijn dat er opslagruimte is.
Wie heeft toegang tot de logs?
Leg vast welke rollen in je organisatie geautoriseerd zijn om de logs op te vragen en onder welke voorwaarden dit mag. Er kan vertrouwelijke informatie in staan, dus maak ze niet voor iedereen inzichtelijk. Zorg er wel voor dat er altijd voldoende mensen bij kunnen zodat dit geen flessenhals vormt.
Bedenk dat als een aanvaller een systeem compromitteert, deze ook moeite zal doen om de logs onklaar te maken. Wees daarom zeer terughoudend met schrijfrechten op logs. Overweeg ook om je logs mee te nemen in je back-upprocedures.
Op welke manier vraag ik de logs op bij een incident (zowel qua proces als qua techniek)?
Oefen het opvragen van je logs. Als ze wel zijn vastgelegd, maar de enige persoon die erbij kan is niet bereikbaar, dan heb je er niks aan. Controleer dus of de processen uitvoerbaar zijn en de techniek werkt, ook ’s nachts en in het weekend. Raadpleeg de overeenkomsten van je clouddiensten om te achterhalen wat hun processen zijn. Let daarbij ook op de overeengekomen beschikbaarheid van deze processen buiten kantooruren.
Hoe ga ik om met persoonsgegevens?
Besteed aandacht aan persoonsgegevens die je logt. Kijk naar mogelijkheden voor dataminimalisatie, anonimisering of pseudonimisering. Wanneer het nodig is om herleidbare persoonsgegevens te loggen, raadpleeg dan een jurist om dit met de juiste verwerkingsgrond vast te leggen in je verwerkingsregister en op het juiste organisatorische niveau goed te laten keuren.
Hanteer je proces voor wijzigingenbeheer om de gewenste logging op alle systemen in te schakelen. Gebruik externe bronnen om de configuratie goed toe te passen.
Enkele hulpbronnen om je te helpen met het configureren van logging:
Handel zorgvuldig in het eerste uur na een incident
Na een incident strijden drie prioriteiten om voorrang, we hebben het hiervoor al besproken: zo snel mogelijk de aanval stoppen, bewijs veiligstellen en de normale gang van zaken herstellen. Niet iedere cyberaanval is hetzelfde en dat je voor dilemma’s komt te staan, is meestal een feit. We beschreven hiervoor al het belang van een incidentresponsplan en het formeren van een crisisteam. In je incidentresponsplan is de eerste fase van een incident belangrijk voor forensic readiness. Je weegt daarin bovenstaande belangen af aan de hand van scenario’s. Als er daadwerkelijk sprake is van een cyberincident, maak je vervolgens snel de juiste keuzes. Onderstaand bieden we je alvast een voorzet voor de dilemma’s die je gaat tegenkomen.
Om een incident zo goed mogelijk af te handelen is vaak professionele ondersteuning nodig. Ook als het incident in het begin nog klein en beheersbaar lijkt. Schakel die hulp dan ook zo snel mogelijk in. Zowel het NCSC als commerciële securityserviceproviders verlenen hulp bij incidentrespons. Zie de kaders voor meer informatie over wat een securityserviceprovider voor jouw organisatie kan betekenen en wat het NCSC bij incidenten doet. We raden de meeste organisaties af om zelf eerst onderzoek te doen. De kans dat je belangrijke sporen onbedoeld wist of overschrijft, is groot. Ook wanneer je zonder de juiste expertise herstel uitvoert weet je niet zeker of de aanval echt voorbij is.
Je wilt een actieve aanval zo snel mogelijk stoppen. Isoleer de systemen waarbinnen een aanvaller actief is door de netwerkkabel te ontkoppelen en wifi, bluetooth en audio uit te schakelen. Laat het systeem echter wel aan staan. Vaak staan belangrijke sporen in het werkgeheugen van het systeem, die verloren kunnen gaan als het systeem wordt uitgeschakeld.
Spoel alleen nieuwe hardware in om de getroffen systemen te vervangen en laat de getroffen systemen zelf ongemoeid na het isoleren. Inventariseer (voordat een incident zich voordoet) van welke systemen geen reservehardware voorhanden is en hoe belangrijk die voor je primaire proces zijn. Zo kun je geïnformeerd de afweging maken tussen digitale sporen behouden of zo snel mogelijk herstellen.
Een aanvaller kan op meer plekken in je netwerk zijn binnengedrongen dan op het eerste oog lijkt.
Blokkeer de ip-adressen van de aanvaller daarom zo snel mogelijk op de buitenste verdedigingslaag van je netwerk. Zorg er wel voor dat contactpogingen van die ip-adressen worden geregistreerd (log & drop).
Blokkeer de door de aanvaller misbruikte accounts.
Weet je niet wat de bron van de aanval is? Dat is je eerste prioriteit om uit te zoeken wanneer de hulpverlenende partij ter plaatse is.
Duurt dat te lang, overweeg dan om de gehele organisatie van het internet af te sluiten
Inventariseer (voordat een incident zich voordoet) wat de gevolgen voor je primaire proces in dat geval zijn, zodat je de afweging geïnformeerd kunt maken.
Tenslotte
In deze publicatie hebben we je meegenomen langs enkele belangrijke onderwerpen, over forensic readiness is echter nog veel meer te vertellen, net als over incidentresponseprocessen. Lees er meer over op deze pagina. Wil je meer weten en je nog beter voorbereiden op forensisch onderzoek, dan kun je te rade gaan bij een commerciële incidentresponseprovider.
