Hoe slim is jouw logging?

14 Maart 2012 is een bijzondere datum in de Nederlandse ICT-beveiliging. Op deze dag werd Nu.nl, één van de drukst bezochte websites van Nederland, gehackt. Zo rond de lunchtijd verspreidde de site kwaadaardige software (malware), waaronder de beruchte Sinowal-trojan. Een gebeurtenis met een omvang die we tot dan toe nog niet in Nederland gezien hadden.

Mijn zeer oplettende collega had destijds op basis van anti-virus meldingen en gedegen onderzoek deze dreiging snel in de gaten waarna we besloten de toegang tot Nu.nl voor het hele bedrijf te blokkeren. Door de bron van de dreiging onbereikbaar te maken konden er geen verdere infecties plaatsvinden. Nu was het zaak om snel de omvang van het probleem in kaart te brengen.

Zoals bij het merendeel van de Nederlandse bedrijven was het bezoeken van Nu.nl gedurende de pauze ook bij ons een populaire bezigheid. Het aantal systemen dat aan de malware bloot gesteld zou kunnen zijn was dan ook zeer groot. De SIRT-procedure liep goed, binnen korte tijd was een multidisciplinair team bij elkaar en werden gegevens uit diverse bronnen aangeleverd. De logging van de firewall, de Internet-gateway en het anti-virus leken ons het beste om mee te starten. Al gauw liepen we hierbij tegen problemen aan: het ene systeem logde op basis van IP-adres, de andere op domeinnaam en de laatste op gebruikersnaam. Omdat de resultaten van de verschillende systemen qua omvang sterk van elkaar verschilden was het noodzakelijk om deze gegevens met elkaar te combineren om een goed beeld van de totale omvang te krijgen. Door de verschillende uitgangspunten van de systemen bleek dit echter geen eenvoudige zaak.

Naast bovenstaand probleem hadden we nog een andere uitdaging. Na het publiek worden van de hack kwam er al snel aanvullende informatie beschikbaar die we in onze logging wilden controleren. De nieuwe informatie kwam echter sneller dan onze systemen de queries konden verwerken. In minder stressvolle situaties was dit nooit een probleem, maar nu liepen we daardoor eigenlijk steeds achter de feiten aan. Door goed teamwork wisten we in de loop van de avond vast te stellen dat onze systemen niet door de malware besmet waren geraakt. We hadden echter ook een goede les geleerd over de bruikbaarheid van onze logging in een dergelijke crisissituatie. Deze lessen hebben we direct in verbeteringen omgezet.

Gerichte dreiging

Het Nu.nl-incident was eigenlijk een behoorlijk luidruchtige aanval. Al vrij snel na de start ervan gingen op diverse plekken alarmbellen af, waarna mitigerende acties genomen konden worden. Niet elke aanval maakt echter zoveel “lawaai”. Steeds vaker komen er berichten van bedrijven die doelgericht zijn aangevallen. Soms duurt het wel bijna een jaar voordat de aanval wordt ontdekt en dan vaak ook nog door een externe partij. De groepen die een dergelijke aanval uitvoeren zijn kundig en voorzien van tools en exploits die nog niet bekend zijn bij firewall en anti-virus leveranciers. Deze hackers weten hoe ze detectie kunnen vermijden door onder de radar van onze detectiesystemen te vliegen. Om deze aanvallen af te kunnen slaan zullen we daarom slimmere oplossingen moeten implementeren.

Veel bedrijven hebben tegenwoordig wel een “Security Information and Event Management” (SIEM) oplossing geïmplementeerd. Diverse systemen sturen hun logging en events naar dit systeem waarna er regels op worden losgelaten die alarmbellen kunnen laten rinkelen. De meeste regels gaan echter over een enkele bron: 5 foutieve inlogpogingen op een systeem, 10 hoog risico anti-virusmeldingen. Gerichte aanvallen zullen nooit (of zelden) op deze wijze ontdekt worden.

Door de logging en “events” van onze systemen met elkaar te correleren kunnen we slimmere detecties implementeren. Een buffer overflow op een systeem blijkt vaker valide dan malafide te zijn, het bezoeken van Russische domeinen ook (echt waar). Maar een buffer overflow direct gevolgd door veelvuldig bezoek aan zo’n domein is opeens veel verdachter. Door de gegevens op deze wijze slim met elkaar te combineren kunnen op zichzelf valide ogende gebeurtenissen bij elkaar een concrete dreiging aantonen.

Probeer het eens uit

Veel van onze systemen worden solitair geïmplementeerd. Het systeem doet wat het moet doen, de logging lijkt bruikbaar en wordt in sommige gevallen zelfs nog naar een centraal systeem weggeschreven. Zo lang er geen problemen of incidenten zijn lijkt alles prima onder controle.

Om echter weerstand te bieden tegen huidige en toekomstige dreigingen is het verstandig om de logging van onze systemen toch eens goed onder de loep te nemen. Hoe snel zijn gegevens beschikbaar in een noodsituatie, hoe kunnen we de gegevens van verschillende systemen slim combineren, wat zijn patronen die duiden op misbruik? Het uitwerken van aanvalscenario’s en deze in de praktijk naspelen kan daarbij nuttige informatie opleveren.

Onze tegenstanders zitten niet stil en komen met steeds slimmere aanvallen. Incidenten zoals bij Nu.nl en doelgerichte aanvallen komen steeds vaker voor. Aan ons de taak om onze systemen zo slim te maken dat ze gedetecteerd en gestopt kunnen worden.


Martijn Veken is Security specialist bij Sirius Security.

Over Martijn Veken