by Philip Gervasi Oktober 25, 2017
Mijn vriend, Dave, is een politieagent van de staat New York, en als ik naar zijn huis ga voor barbecues, luister ik graag naar zijn verhalen terwijl we rond het kampvuur zitten.
Tijdens een bepaalde cookout afgelopen zomer vertelde hij over een recente opwinding.
“We hebben dat drugslaboratorium een paar keer eerder overvallen, dus we wisten waar we aan begonnen. Tommy brak de deur in en we gingen naar binnen met de lokale politie die dekking bood.
Wauw. Ik meen daarover gehoord te hebben op het nieuws.
Toen hij klaar was, voelde het alsof het mijn beurt was om iets te zeggen. Ik begon met een grapje te maken over hoe ik de hele dag met computers rommel. Hij keek me ernstig aan en legde uit: 'Je wilt geen drugslabs plunderen, Phil. Wees dankbaar voor wat je hebt.”
Vriendelijke woorden, maar ik voelde me nog steeds als Gomer Pyle die met Rambo praatte. Desalniettemin stond hij erop dat hij het grootste deel van zijn tijd aan een bureau doorbracht, in een hokje, rapporten aan het typen.
'Phil,' begon hij, 'negenennegentig procent van de tijd zit ik saai, saai werk te doen, wachtend tot er iets spannends gaat gebeuren. En als het dan eindelijk zover is, is het in een flits voorbij.”
Dit resoneerde met mij. Zie je, ik hield er echt van om een traditionele netwerkingenieur te zijn. Misschien kwam het omdat ik voor wederverkopers met toegevoegde waarde werkte en de nieuwste en coolste nieuwe uitrusting in handen kreeg, maar ik denk dat het meer kwam omdat ik de kans kreeg om als netwerkheld van project naar project te vliegen. Elke dag voelde als opwinding, georganiseerde chaos en avontuur.
Netwerkbeveiliging is echter een heel ander balspel. Tegenwoordig werk ik voor een interne IT-afdeling, niet voor een adviesbureau, en in plaats van als de netwerkheld van project naar project te gaan, breng ik mijn dagen door met de eentonigheid en eentonigheid van beveiligingstaken. Het verzamelen en bestuderen van enorme hoeveelheden informatie uit netwerkscans en audits is helemaal niet spannend, maar deze verveling is de kern van informatiebeveiliging.
Dave legde het me uit. Bij wetshandhaving is het verzamelen en categoriseren van informatie die kan leiden tot een arrestatie en uiteindelijk bewijsmateriaal voor de rechtbank, van het allergrootste belang. Niets mag ontbreken en alles moet perfect worden gedaan. Het spannende deel duurt misschien maar een paar minuten, maar het vervelende werk dat eraan voorafgaat en als gevolg daarvan is net zo belangrijk.
Informatiebeveiliging heeft veel parallellen. Een van de redenen waarom het werk dat ik doe zo saai is, is dat het gewoon zo saai is. Het beheren van scripts om gegevens te verzamelen, het toezicht houden op een handvol scanplatforms die een hoop lawaai genereren, en het bekijken van de e-mails met auditoverzichten die mijn mailbox elke ochtend overspoelen, motiveert me niet om elke dag uit bed te komen. Beveiligingsmoeheid is echt iets.
Maar toen gebeurde het. Terwijl ons gesprek overging op praten over onze kinderen, begon mijn telefoon als een bezetene te zoemen. Ik rommelde in het donker met de ontgrendelknop om te zien dat het mijn baas was die me sms'te dat bestandsservers waren opgesloten. Het leek op een ransomware-aanval en ik wist waarom hij zo bezorgd was. Deze servers hadden heel veel waardevol intellectueel eigendom.
Onmiddellijk stond ik op en verontschuldigde me dat ik haastig moest vertrekken. Normaal zou ik gewoon via een VPN verbinding maken met het bedrijfsnetwerk, maar ik had mijn laptop niet bij me en Dave's satelliet-internetverbinding was verschrikkelijk. Trouwens, in een situatie als deze wilde ik zoveel mogelijk monitoren voor me hebben, evenals de grote schermen aan de muur waarop de dashboards voor veiligheidsbewaking in realtime te zien waren.
Nadat we op kantoor waren aangekomen, was het scheiden van de locatie van de rest van het wereldwijde netwerk de eerste stap. Het plan op hoog niveau was simpel: beperk het risico voor de rest van het netwerk en stop het bloeden
- Dood de WAN.
- Vergrendel de server-VLAN.
- Zoek de IP-adressen van de bestandsserver op in IPAM.
- Controleer of ik toegang heb tot de servers in de VMware-console en schakel het netwerk naar hen afzonderlijk uit.
- Neem contact op met de back-up- en servermensen om te zien of de servers kunnen worden gewist en opnieuw kunnen worden opgebouwd vanaf de back-up.
Nadat een klein team zich had verzameld en de rest van het netwerk had gecontroleerd op ransomware, kwam alles weer goed. De CIO belde op zoek naar een update. Zijn we gegevens kwijtgeraakt? Hoe is deze ransomware binnengekomen? Hoe heeft het zich verspreid? Hadden we goede back-ups?
Dit is waar het rubber de weg ontmoet in informatiebeveiliging. Als alles op slot zit en het bloeden is gestopt, beginnen de vragen. Net als die snelle uitbarsting van intense actie gevolgd door een terugkeer naar het alledaagse die mijn vriend beschreef rond het kampvuur, was dit het moment voor mij om me te settelen en aanwijzingen te zoeken in de talloze scangegevens.
Maar houd er rekening mee dat dit geen triviale taak is. Er werden geen geautomatiseerde scripts gestart wanneer afwijkende activiteit werd gedetecteerd, en ik had meerdere tools om naar te kijken om een compleet beeld te krijgen. Ik moest logs bekijken. Ik moest door tientallen grafieken scrollen. Ik moest mensen 's avonds laat wakker maken. Ik moest inloggen op tientallen apparaten. Had ik maar de informatie bij de hand van wat er gebeurde op het moment van de aanval.
Dit is verveling, dit is inefficiëntie, dit is foutgevoelig en dit is zeker niet de manier om een cyberaanval in de 21e eeuw te managen. Maar het is wat ik had, en ik moest nagaan hoe deze malware binnenkwam en zijn weg vond naar de bestandsservers.
Omgekeerd, NetBrain automatiseert dit hele proces. In mijn specifieke geval, Uitvoerbaar Runbooks hadden automatisch kunnen worden gestart om scripts uit te voeren die informatie in realtime verzamelen. Dat zou specifieke en relevante informatie binnen handbereik van ons team hebben gebracht wanneer we die nodig hadden.
Dit is geen klein voordeel bij een post-mortem veiligheidsonderzoek. Ik moest het alleen doen, zoeken in logboeken die waren gegenereerd door apparaten die door meerdere teams werden beheerd. Geautomatiseerd Runbook output zou voor al onze teams dezelfde relevante informatie op hetzelfde moment beschikbaar hebben gemaakt.
En net zo belangrijk als uitzoeken hoe en wanneer de slechteriken binnenkwamen, is hoe de malware zich door ons netwerk verspreidde. NetBrain Dynamic Mapping biedt de visuele probleemoplossing die ik handmatig moest uitzoeken. In plaats van apparaten één voor één te crawlen, wat zowel vervelend als foutgevoelig is, NetBrain biedt een door API geactiveerde methode voor het dynamisch maken van een netwerkkaart van een aanvalspad in realtime.
We waren niet grondig voorbereid op een aanval, vooral vanwege de tijd en energie die het kost om voorbereid te zijn en adequaat te reageren. Robuuste software die het hele proces automatiseert, zou me in staat hebben gesteld om de beveiliging van mijn bedrijf drastisch te verbeteren zonder teams van stagiaires in te huren om logbestanden te lezen.
Helaas zat ik vast in het stenen tijdperk. Nadat ik mijn vrouw had gebeld om haar te laten weten dat het een tijdje zou duren, schonk ik mezelf een verse kop koffie in, haalde diep adem en begon handmatig door boomstammen te graven. . . één regel tegelijk.