+31 33 789 00 33
Support
+31 33 789 00 33 Support
HomeActueelMDR en NIST-framework essentieel voor adequate weerbaarheid

MDR en NIST-framework essentieel voor adequate weerbaarheid

Dat een juiste inkleding van het NIST-framework essentieel is voor adequate weerbaarheid blijkt uit een security incident dat onlangs plaatsvond. Dit incident laat zien dat, zelfs als je de cyberweerbaarheid op een goed niveau hebt ingeregeld, er nog steeds dingen mis kunnen gaan. Gelaagde beveiliging is essentieel om erger te voorkomen als er dan toch een inbreuk is geweest. Onder andere de MDR-dienstverlening helpt hierbij. We vertellen je meer over dit incident, hoe hierop gehandeld is, wat best-practices en lessons learned zijn.

Lees verder:

De eerste melding en directe actie

Op 15 maart 2024 signaleerde het Security Operations Center van Arctic Wolf verdachte inlogpogingen vanuit Amerika en Frankfurt op een Microsoft 365-omgeving. Tegelijkertijd ontving de beheerafdeling een verzoek om Perfect-Data (back-up) software te koppelen met deze omgeving. Deze ongewone gebeurtenissen leidden tot onmiddellijke actie, grondig onderzoek, passende maatregelen en verhoogde dijkbewaking. Aanvankelijk leek de aanmelding vanuit Amerika niet verdacht vanwege de medewerker die daar regelmatig werkt. Echter, een tweede inlog vanuit Amerika gevolgd door een snelle inlog vanuit Frankfurt, samen met het verzoek om de back-up software te koppelen, wekte argwaan. Dankzij de Managed Detection en Response Dienst van Arctic Wolf zijn de verdachte activiteiten gedetecteerd en door de SOC-dienst kon de hacker onmiddellijk buitengesloten kon worden.

 “Zelfs als de technische beveiligingsmaatregelen van jouw organisatie goed geregeld zijn kan je slachtoffer van een incident worden. De impact van het incident is echter sterk afhankelijk van hoe gelaagd jouw beveiliging is, en hoe effectief de response is met de draaiboeken die je op de plank hebt liggen en de expertise die je als organisatie om je heen verzamelt.” Arno van Rijn | Infradax

Opvolging na melding

Na ontvangst van de melding door het Security Operations Center (SOC), zijn de stappen van de Incident Response Life-Cycle nauwgezet gevolgd, zoals vastgelegd in de draaiboeken, om de bedreiging doeltreffend aan te pakken. Deze gestructureerde aanpak zorgt voor een efficiënte en effectieve respons op beveiligingsincidenten.

Dit is er gebeurd

Op 29 februari 2024 is het account van een gebruiker gehackt. Ondanks uitgebreide security awareness met e-learning en phishing, heeft de hacker middels een phishing e-mail de gebruikersnaam, wachtwoord en sessiecookie gebruikt om de tweestapsverificatie te omzeilen en in te loggen op het account. Gedurende de periode na bovenstaand incident hebben de kwaadwillenden geen verdere acties ondernomen. Het is mogelijk dat zij de initiële toegang hebben behouden of deze hebben doorverkocht aan een andere malafide partij, bijvoorbeeld via Initial Access Brokers. Deze tussenhandelaren in cybercriminaliteit faciliteren de overdracht van toegangsrechten. Op 15 maart 2024 logden kwaadwillenden weer in op het gecompromitteerde account. Hierbij zijn meerdere e-mails ingezien en is er geprobeerd PerfectData te koppelen met de Microsoft 365-omgeving om een volledige kopie van de betreffende mailbox te maken.

De mogelijke kwaadwillende: Tycoon 2FA teistert Microsoft 365- en Gmail-accounts

Beveiligingsonderzoekers constateren een aanzienlijke toename in het gebruik van de phishing-tool Tycoon 2FA. Met deze kwaadaardige software kunnen criminelen de tweefactor-authenticatie van Microsoft 365- en Gmail-accounts omzeilen, om vervolgens inloggegevens over te nemen en toegang te verkrijgen tot de betreffende accounts. In 2024 heeft Tycoon 2FA een nieuwe versie uitgebracht die nog sluwer is. Op dit moment maakt de service gebruik van 1.100 domeinen en is waargenomen in duizenden phishingaanvallen.

Klik op de afbeelding om deze te vergroten.

NIST_MDR_blog_Infradax

Een solide cyberweerbaarheidsstrategie met het NIST-framework

Het NIST-framework helpt organisaties hun cybersecurity te versterken door een gestructureerde aanpak voor het begrijpen, beheren en verminderen van cyberrisico’s. Het biedt richtlijnen voor bedrijven van elke omvang om afdelingen, beleid, procedures en gegevens samen te brengen tot een uniform verdedigingsmechanisme. Het framework bestaat uit vijf fases: identificeren, beschermen, detecteren, reageren en herstellen. Deze holistische benadering moet volledig worden geïntegreerd in het cybersecuritybeleid en periodiek worden getoetst op effectiviteit.

Samenvattend heeft de organisatie, ondanks het incident, toch een solide cyberweerbaarheidsstrategie geïmplementeerd aan de hand van het NIST-framework, die zich als volgt laat omschrijven:

Identificeren: regelmatige risicoanalyses en een registratie van bedrijfsmiddelen zorgen voor een helder overzicht van potentiële kwetsbaarheden.

Beschermen: door middel van tweestapsverificatie, Endpoint Detection and Response (EDR), en regelmatige beoordelingen van beveiligingsscores en aanbevelingen in Microsoft 365, samen met e-learning en phishing-tests voor medewerkers, wordt de beveiliging voortdurend versterkt. Het beperken van rechten voor bijv. het koppelen van externe (SaaS) applicaties blokkeerde de PerfectData installatie.

Detect: Managed Detection Response van Arctic Wolf is actief welke proactieve monitoring en detectie van dreigingen biedt. Deze detecteerde de inbraak en reageerde toen er activiteit plaatsvond.

Reageren: een uitgebreide en regelmatig getoetste incidentresponsprocedure, met ondersteuning van Arctic Wolf op het gebied van incidentrespons, forensisch onderzoek en log-analyse, zorgde voor een doeltreffende aanpak van dit incident.

Herstellen: met offline opgeslagen kritieke herstelmedia, regelmatig gecontroleerde back-ups en een gedetailleerd hersteldraaiboek, zijn hersteltijden afgestemd op de bedrijfsbehoeften. Draaiboeken, contactgegevens en andere benodigdheden om effectieve Incident Response uit te voeren staan veilig opgeslagen bij Arctic Wolf.

Snel ingrijpen met Managed Detection & Response (MDR)

Dankzij Managed Detection & Response (MDR) van Arctic Wolf kon er snel ingegrepen worden nadat verdachte activiteiten werden opgemerkt. MDR integreert geavanceerde technologieën zoals SIEM, EDR en NDR met menselijke expertise om je bedrijf continu te beschermen tegen cyberdreigingen. MDR volgt de 3 stappen van het NIST-framework: Detectie, Respons en Herstel.

Functies van MDR:

  • Monitoring en detectie van bedreigingen met geavanceerde tools;
  • Respons en onderzoek naar veiligheidsincidenten;
  • Voortdurende verbetering van de beveiligingshouding;
  • Leveren van diepgaande beveiligingsanalyses en rapporten;
  • Ondersteunen bij het oplossen van incidenten.

NIST-Framework voor cyberweerbaarheid

Identificeren: Herken de context van je organisatie, belangrijke middelen, risico’s en bedrijfsvereisten.

Beschermen: Zorg voor de juiste maatregelen om belangrijke middelen te beschermen en risico’s af te dekken door middel van techniek, mensen en procedures.

Detecteren: Detecteer en word tijdig geïnformeerd over kwaadwillenden door (geautomatiseerde) monitoring van verdacht gedrag en afwijkingen.

Reageren: Handel adequaat bij incidenten, volg het draaiboek, stuur bij op basis van inzichten en schakel waar nodig externe partners in voor Incident Response en forensisch onderzoek.

Herstellen: Herstel na een incident om de bedrijfscontinuaïteit te waarborgen met behulp van draaiboeken en back-ups.

Conclusie: NIST-beveiligingsstrategie en MDR beperkt inbraak aanzienlijk

Dit incident toont aan dat zelfs organisaties met een uitgebreide beveiligingsstrategie niet immuun zijn voor het dynamische dreigingslandschap. Echter, dankzij de implementatie van de NIST-beveiligingsstrategie met ondersteuning van de juiste partners, was de impact van de inbraak aanzienlijk beperkt. Een snelle en effectieve respons zorgde ervoor dat de gevolgen duidelijk in kaart konden worden gebracht en gecommuniceerd naar alle betrokkenen en relevante autoriteiten. Door middel van de uitgebreide evaluatie na dit incident zijn maatregelen genomen waardoor de kans op herhaling is verkleind.

“We verhogen het security bewustzijn van onze klanten zodat zij een hoge cyberweerbaarheid hebben. Dit doen wij door inzicht te geven in de risico’s en optimalisaties die mogelijk zijn op 3 pijlers: mens, organisatie en techniek. ” Arno van Rijn | Infradax

Een hoger bewustzijn betekent een hogere cyberweerbaarheid

Met onze security dienstverlening creëren we een hoger bewustzijn en een hogere cyberweerbaarheid van onze klanten. Wij passen ons aan jouw organisatiebehoeften aan en nemen de verantwoordelijkheid voor het detecteren, analyseren en reageren op dreigingen, zodat jij je kunt concentreren op je kernactiviteiten. Dit doen wij met onderstaande security diensten:

Geïnteresseerd?

Geinteresseerd in onze security-dienstverlening?

Heeft jouw organisatie ook de behoefte aan een effectieve beveiligingsstrategie, maar weten jullie niet goed waar te beginnen of waar de risico’s voor de organisatie liggen op dit moment?

Neem contact met ons op voor een vrijblijvend adviesgesprek.

hello@infradax.com

+31 33 789 00 36

Geïnteresseerd? Neem contact op!

  • * Verplicht in te vullen

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.