De top 5 netwerkondersteuningstickets om te automatiseren
Wat frustreert u het meest aan netwerkondersteuning? Niets voelt beter dan detective spelen over een obscuur netwerkprobleem en de IT-held zijn die het oplost. Maar te veel...
Het National Cybersecurity and Communications Integration Centre (NCCIC) heeft vorige week gewaarschuwd voor een opkomende geavanceerde campagne gericht op belangrijke sectoren, waaronder informatietechnologie, energie, gezondheidszorg en volksgezondheid, communicatie en kritieke productie.
De dreiging, die zich sinds ten minste mei 2016 voordoet, lijkt gebruik te maken van gestolen administratieve inloggegevens (lokaal en domein) en certificaten, samen met het plaatsen van geavanceerde malware-implantaten op kritieke systemen.
Volgens het rapport: "Afhankelijk van de aanwezige defensieve maatregelen, kan de dreigingsactor mogelijk volledige toegang krijgen tot netwerken en gegevens op een manier die legitiem lijkt voor bestaande monitoringtools." Het belangrijkste en misschien wel meest unieke implantaat dat in deze campagne is waargenomen, is de REDLEAVES-malware. Het REDLEAVES-implantaat bestaat uit drie delen: een uitvoerbaar bestand, een lader en de implantaat-shellcode. Het REDLEAVES-implantaat is een trojan voor beheer op afstand (RAT) die is ingebouwd in Visual C++ en tijdens de uitvoering intensief gebruik maakt van het genereren van threads. Het implantaat bevat een aantal functies die typerend zijn voor RAT's, waaronder systeemopsomming en het creëren van een externe shell terug naar de C2.
Het is een onheilspellende waarschuwing van het Department of Homeland Security en een die netwerkteams serieus moeten nemen. Zoals opgemerkt in de waarschuwing van de NCCIC, kan succesvolle netwerkinbraak ernstige gevolgen hebben, vooral als het compromis openbaar wordt en gevoelige informatie wordt vrijgegeven. Mogelijke gevolgen zijn onder meer:
- tijdelijk of permanent verlies van gevoelige of bedrijfseigen informatie,
- verstoring van de reguliere bedrijfsvoering,
- financiële verliezen opgelopen om systemen en bestanden te herstellen, en
- potentiële schade aan de reputatie van een organisatie.
Er zijn stappen die netwerkteams moeten nemen om ervoor te zorgen dat het risico beperkt is en dat mogelijke aanvallen in korte tijd kunnen worden opgelost. In het bijzonder merkt de NCCIC op dat alle teams "netwerk- en systeemdocumentatie moeten invullen en onderhouden om te helpen bij een tijdige reactie op incidenten".
Zoals bij elke aanval is inzicht in het netwerk van cruciaal belang, en hoe sneller een netwerkengineer een real-time beeld van het netwerk kan creëren, hoe sneller een aanval kan worden afgewend. Dynamic Maps zijn een belangrijk voordeel voor elke organisatie die met een netwerkdreiging te maken heeft, omdat de mogelijkheid om te begrijpen welke delen van het netwerk worden aangevallen, waardevolle analyse-uren kan besparen.
Om nog een stap verder te gaan, vertrouwen de meeste netwerkteams op statische draaiboeken bij het oplossen van problemen met een netwerkaanval, misschien zelfs met behulp van de handleiding van de NCCIC in hun recente waarschuwing. Het kan handig zijn om naar die documenten te verwijzen, maar het kost ook tijd en kan niet worden geautomatiseerd. Implementeren Uitvoerbaar Runbooks kan ervoor zorgen dat netwerkengineers voorbereid zijn om problemen op te lossen bij het eerste teken van een aanval, wat wederom kostbare downtime bespaart.
Ten slotte, wanneer beveiligingsaanvallen in realtime plaatsvinden, zijn netwerk- en beveiligingsteams mogelijk niet voorbereid om de dreiging te beperken. Of ze zijn bezig met andere zaken, of de aanval heeft zichzelf niet zomaar als prioriteit gepresenteerd. Door het creëren en diagnosticeren van het aanvalspad mogelijk te maken – geactiveerd door systemen zoals een Beveiligingsinformatie en gebeurtenisbeheer (SIEM) oplossing: netwerkengineers kunnen het kwaadaardige verkeer op het moment van de aanval visualiseren en er inzicht in krijgen. Dit resultaat? Volledigere en nauwkeurigere informatie om het netwerk te verdedigen.
De laatste waarschuwing van het Department of Homeland Security herinnert ons eraan dat netwerken voortdurend worden bedreigd en dat uitgerust zijn met de juiste tools ervoor kan zorgen dat u voorbereid bent op deze situaties.
Voor meer informatie over de NCCIC waarschuwing hier zijn de volledige details. Voor meer informatie over netwerkautomatisering en dynamic mapping, bekijk onze recente discussie met Move, Inc. over netwerkuitdagingen en de juiste tools om te gebruiken.