Use cases versus hunting

Use cases versus hunting

DearBytesBlogUse cases versus hunting

woensdag 8 juli 2015

Proces Use Cases

Proces Use Cases

In mijn eerdere blogs heb ik het al vaak gehad over use cases. Use cases zijn een sterk middel om vooraf gedefinieerde acties in kaart te brengen. Maar als we ons alleen op use cases richten, hebben we oogkleppen op: dan kijken we immers alleen naar wat wij vooraf als verdacht of gevaarlijk hebben bestempeld. We letten als het ware alleen op of het brandalarm in een huis afgaat, maar niet of er iemand bezig is in te breken.

Use cases zijn een traditionele aanpak om incidenten inzichtelijk te krijgen in SIEM. De aanpak die nu in opkomst is, houdt in dat iemand met verstand van zaken in SIEM op jacht gaat naar nieuwe dreigingen. Out of the box denken is hierbij belangrijk. Bijvoorbeeld: kan ik dit proces op afstand stoppen? Waardoor kunnen kritieke bedrijfsprocessen het laten afweten? Een analist moet kennis hebben van de omgeving en de klant, maar

moet ook op de hoogte zijn van de nieuwste dreigingen.

Traditioneel vs. opkomend

Hieronder heb ik de verschillen tussen de use case-aanpak (traditioneel) en de hunting-aanpak (in opkomst) naast elkaar gezet.

Traditionele aanpakOpkomende aanpak
Detectie (use case)Hunting
Alarm gaat af -> je reageertJe gaat op onderzoek uit -> je vindt informatie waarop je moet acteren -> je reageert
Meer zoals traditionele supportMeer vraag en antwoord
Focus op use caseFocus op vragen “Wat zijn de mogelijkheden/Wat kan er gebeuren?” -> kan zorgen voor nieuwe use cases
Analyseer deze asset/user/IPLaten we deze richting onderzoeken
Sterk op proces gebaseerdOp onderzoek gebaseerd
Vereist proceduresVereist kennis van de omgeving en opkomende dreigingen

 

Via hunting kan inzichtelijk worden dat er een dreiging op komst is voor de organisatie. Zo kan hunting zicht geven op zaken die mogelijk onder de radar blijven als we alleen use cases gebruiken. Vervolgens kan hunting ook weer zorgen voor nieuwe use cases. Als bijvoorbeeld blijkt dat het eenvoudig is om een kritiek bedrijfsproces te stoppen met een bepaald account, en dit risico is niet te verminderen, dan kan het wenselijk zijn om voor deze gebeurtenis (of signalen daarvan) een alarm in te stellen via een use case.

Op onderzoek gebaseerd

Use cases drijven sterk op processen en procedures: als alarm X afgaat, doe dan actie Y en rapporteer naar afdeling Z. Dit is ook nodig om snel actie te kunnen ondernemen en geen onduidelijkheden te hebben als er een use case afgaat. Hunting daarentegen is op onderzoek gebaseerd en laat zich niet in processen en procedures gieten. Een hunter moet de vrijheid hebben om een bepaalde richting te onderzoeken en te analyseren. Zo’n onderzoek kan verschillende kanten op gaan. Denk bijvoorbeeld aan de resultaten van een interne audit of een vulnerability scan. Ook kunnen nieuwe kwetsbaarheden en aanvallen in de boze buitenwereld een reden zijn om te onderzoeken in hoeverre de organisatie hierdoor kan worden geraakt. Een hunter moet de vrijheid hebben om zijn onderzoek te kunnen doen, maar het moet natuurlijk wel relevant zijn voor de organisatie. Om voldoende draagvlak te krijgen is het verstandig op regelmatige basis verschillende onderzoeksvelden te bespreken binnen de afdelingen IT, risk en compliance.

soc banner

 

De waarde van hunting voor het SOC

Het moge duidelijk zijn dat een hunter een specialist is. Iemand die meer kan dan alleen op een aantal knoppen drukken, iemand die diepgaande kennis heeft van aanvallen, methodes en risico’s. DearBytes heeft een 24/7 SOC en heeft ervaren analisten in dienst, die continu hunting uitvoeren voor onze SOC-klanten. Deze hunters houden op regelmatige basis besprekingen met onze klanten, niet alleen om contact te onderhouden maar ook om inzichten met elkaar te delen. U vraagt zich misschien af hoe lang een analist bezig is met hunting. Het antwoord is eenvoudig: zolang als hij of zij ervoor nodig heeft. Een onderzoek kan een uur duren als blijkt dat er niets te vinden is, of als er juist heel snel dingen worden gevonden. In andere gevallen kan een onderzoek meerdere dagen duren, omdat er historische analyses moeten worden gedaan en er tijdens het onderzoek mogelijk nieuwe invalshoeken worden ontdekt die verder onderzocht moeten worden.

Hunting is dus een toegevoegde waarde voor uw SOC. Het is een aanpak die verder gaat dan de use cases. Met hunting kunt u nieuwe inzichten scheppen, zodat uw SOC én organisatie beter bewapend zijn tegen aanvallen en deze beter kunnen detecteren. Ik wens u een fijne jacht!