BLOG: SIEM lessons learned bij Autoturven

Door Robert Metsemakers 18 okt 2018

Ook afgelopen vakantie turfden mijn vriendin en ik tijdens onze reis door Duitsland weer auto’s. Bij dit spel houden bestuurder en bijrijder op een turflijst bij hoe vaak ze bepaalde voertuigen zien. Het gaat bij ons om John Deere tractors, Flix reisbussen en vrachtwagencombinaties van Wolter Koops. ...

Ervaring leerde ons dat deze voertuigen vaak genoeg rondrijden om het spel zin en spanning te geven. Degene met de meeste streepjes wint het recht de ander te trakteren op gebak of een Japans buffet, al naar het zo uitkomt. Het houdt ons bezig en alert op lange trajecten van soms honderden kilometers rechte Autobahn. Door de onvoorspelbaarheid (soms zie je er uren geen en dan drie tegelijk) levert het ook mooie herinneringen en associaties: aan ander werk (Deere), aan andere vakanties (Flix) en zelfs aan een toekomstige erfenis. Want Wolter deelt zijn achternaam met mijn vriendin, en mogelijk blijkt zij - pas over vele jaren natuurlijk! - bij het verdelen van de erfenis een verre achternicht te zijn. Die dan bijvoorbeeld één zo’n wagen krijgt. Dat zou al ontzettend mooi zijn!

Eerdere vakanties toonden aan dat de landbouwers in de diverse Bondslanden niet allemaal hetzelfde merk tractor gebruiken. Afhankelijk van waar je rijdt, zie je veel of weinig van die knalgroene JD-jongens met een horizontale gele streep op de motorkap. Het zijn nogal uit de kluiten gewassen knapen, die qua aanschafprijs starten bij een flinke starterswoning. Je kan ze dus goed herkennen, zeker als bijrijder die nu eenmaal meer tijd en aandacht heeft voor de omgeving dan voor de snelweg zelf. De Flix-reisbussen hebben ongeveer dezelfde groene kleur, maar er staat met grote witte letters “Flix-bus" op de zijkant. Deze busmaatschappij concurreert met de trein op trajecten tussen steden waar geen goed treinalternatief is. Soms zie je wel een enkele keer een Flix-bus aankomen of vertrekken in een grote stad (we tellen namelijk ook lopend!), maar de meeste bussen zie je onderweg. Op de langgerekte stukken tussen grote Duitse steden en dus zoals gezegd eigenlijk nooit langs een treinspoor. Ze zijn natuurlijk zo groot als een autobus. En het wifi-netwerk van de bus heeft als SSID ook iets met Flix. Ja inderdaad, als je het eigen rijtempo nauwkeurig afstemt op dat van zo’n bus, kun je onderweg vanuit je eigen auto gratis op internet. Heb ik “gehoord”. De Wolter Koops vrachtwagens zijn wit, minstens zo groot als één Flix-reisbus en er staat met enorme zwarte letters “Wolter Koops” op beide zijkanten. Als bijrijder zie ik ongeveer evenveel WK-wagens rijdend als stilstaand op de truckerrustplaatsen naast de snelweg. Een Wolter Koops chauffeur die al vroeg op de werkdag aan het rusten is, suggereert dat het voor die dag alweer verdiend is, en dat wakkert onze hoop op een kleine erfenis aan. Plaats en tijd van de waarneming heeft dus wel een positieve invloed op de teller, maar dat nemen we niet mee in de telling.

Als lezer denkt u nu: wat heeft dit met security te maken? “Wat zijn de zaken waarop u let in uw SIEM?”, vraag ik dan terug. Welke “anomalies” (gekkigheden) worden er opgespoord op uw netwerk? Wat zijn de signaleringen van gebeurtenissen waarvoor ze u letterlijk uit bed mogen bellen en bij welke u denkt laat maar gaan? Is dat een vaste verzameling van gebeurtenissen of stopt u ook weleens met het tellen van één ervan?

De gedefinieerde incidenten en events in een SIEM (Security Incident & Event Monitoring) systeem moeten immers ook voldoende opvallend en daarmee goed herkenbaar zijn. Als ze per stuk ook nog groot zijn, is de investering in de aanschaf van een SIEM en wat nog duurder is, het inrichten daarvan, gemakkelijker te verantwoorden. Dit geldt zeker voor de eerste gevallen (of “use cases”) die in de monitoring worden opgenomen. Je gaat immers niet lopen zoeken naar securityzaken die nooit of zeer zelden optreden. Je weet dat ze kunnen en dus ooit zullen (wet van Murphy) optreden, alleen niet precies wanneer en met welke frequentie. Aan de andere kant zie je een John Deere tractor vrijwel nooit in het stadscentrum en er staat geen enkele Flix-reisbus volgeladen met passagiers stationair te draaien in een weiland, terwijl de bestuurder zijn boterhammen zit op te eten. Toegegeven, ik heb zelf één keer drie Wolter Koops vrachtwagens in colonne achter elkaar zien rijden, maar dat is dan ook mijn persoonlijk record van ruim 10 jaar spotten. Je krijgt op den duur een gevoel voor waar en wanneer je ze zult zien. Zoals je ook, wanneer er halverwege de reis een achterstand in bijvoorbeeld getelde Flix-bussen ontstaat, een gevoel kunt hebben dat alles nog niet verloren is en dat het verschil op het resterende traject nog ingehaald kan worden.

Aan het eind van de monitoring-periode (dag, week of kwartaal) heb je - bij een goede selectie van waar te nemen gebeurtenissen - dus vrijwel zeker een aantal turfstreepjes bij verschillende gebeurtenissen kunnen zetten. Sommige soorten komen vaker voor dan je vooraf had verwacht, andere juist minder. Over die mee- of tegenvallers kun je dan nog eens verder nadenken. Ook kun je de security-afdeling op gebak trakteren. Dat kan zowel bij hoge (= goed opgelet zodat je ze ziet!) als bij lage aantallen (= goede preventie gedaan zodat het niet meer vaak gebeurt!).

Maar helaas, de werkelijke gekkigheden op het netwerk ga je zo niet vinden. Want in de SIE-monitoring (één M is genoeg) wordt meestal vooral (of zelfs uitsluitend) gelet op vooraf gedefinieerde, goed herkenbare objecten en gebeurtenissen. Op het bekende werk dus, dat al eens eerder in de eigen organisatie is waargenomen en daardoor in de eerste plaats te definiëren was. Maar om een werkelijke knaller te maken, moet je het onverwachte doen, leerde ik van mijn grootvader. Hij had het daarbij weliswaar over het invullen van het toto-formulier, waarmee hij wekelijks gokte op de uitslagen van voetbalwedstrijden. Het beschikbare prijsbedrag wordt daarbij verdeeld onder de goede voorspellers. Met het team van toen zou Ajax elke voetbalwedstrijd van Willem II winnen, maar dat wist iedereen en iedereen gokte dus ook op die uitslag. Om de kans op een grote toto-prijs te verhogen, vertelde opa mij, moest je dus juist Willem II van Ajax laten winnen op je formulier. “Contrair beleggen” is ook zoiets: kopen als iedereen zijn aandelen verkoopt. Met andere woorden: je moet uitkijken naar iets dat je nog nooit gezien hebt.

Bij mijn eerste security-cursus hoorde ik dat fraudeurs wachten tot iedereen van kantoor weg is om dan hun gemene slag te slaan. Het was daarom nuttig om in de monitoring te kijken naar aanlogpogingen op het systeem (toen: het centrale mainframe) buiten de normale kantooruren. Fraudeurs gingen destijds ook nooit met vakantie. Want gingen ze wel een keertje weg, dan zou de bedrijfswinst die periode ineens veel hoger zijn en zouden hun malversaties aan het licht komen. Dus waren ook medewerkers die dagelijks aanlogden gedurende een lange periode interessante gevallen voor de security-monitoring. Ook de werkzaamheden van systeembeheerders, met name als het via “inbelverbindingen” van buiten het pand gebeurde, moest in die tijd met argusogen worden gevolgd. Immers die beheerder zat daar zomaar thuis te werken, zonder oogtoezicht of sociale controle. Dit soort security-monitoring is door het always on (“ubiquitous”) internet concept geheel onderuit gehaald. Er zijn nu immers gebruikers die meerdere keren per dag (ha!) naar hun e-mail kijken en daarvoor steeds opnieuw aanloggen op hun smartphone met een pincode, vingerbeweging of vingerafdruk. Ook als zij met vakantie zijn. Daardoor is een aantal in de loop van jaren of decennia bekend geworden voor security-monitoring interessante gebeurtenissen eigenlijk niet meer relevant. Ook in een bos moet regelmatig het dode hout worden verwijderd om zo de wezenlijke zaken over te houden.

Naast de bovengenoemde voertuigen (JD, FB, WK), speur ik tijdens reizen ook naar Mercedessen met vleugeldeuren, Porsche sportwagens (maar niet de jeeps) en Italiaanse auto’s eindigend op een “i” (maar niet Auto Bianchi). Zeg maar alles waar in Nederland enorm veel BPM op wordt geheven. Dat zijn voor mij de echte verrassingen en van zo’n mooi stuk techniek kan ik echt genieten, zelfs al rijd ik er zelf niet in. Wat ik leuk vind, is dat Ferrari en Lamborghini ooit ook als tractorbouwer zijn begonnen; van Maserati weet ik dit niet, maar het zou best kunnen. In de verzameling zaken waar ik naar kijk, beste lezer, zit dus zeker wel een structuur, rode lijn of achterliggende bedoeling (hint!).

En dan let ik ook nog op of motorrijders, vrachtwagen- en buschauffeurs (alle merken bij alle drie) elkaar groeten, via het opsteken van de niet-schakelhand of een wijsvinger of met een kort lichtsignaal. Dit is natuurlijk geen wettelijke verplichting en mijn vriendin wordt gek van de meldingen die ik aan haar doe als het eens een keertje niet gebeurt. Maar het is wel een schade beperkende preventiemaatregel voor het geval je als chauffeur met pech langs de weg staat, met je exotische mechanische motortechniek of je kostbare lading mensen, dieren of platte TV’s. Een ander lid van jouw groep chauffeurs zal, is de gedachte, eerder geneigd zijn voor een groeter te stoppen en je te helpen met een krik, telefoontje of goede raad.

Toegegeven, deze gewoonte zorgt er niet voor dat je nooit pech krijgt, maar het helpt wel bij het oplossen ervan. Het is vergelijkbaar met het aanbrengen van security-patches. Als je software leverancier zelf aangeeft dat er iets niet goed zit of zelfs ontbreekt in het door jou gebruikte pakket of systeem en hij biedt ook nog een oplossing aan? Dan zal er echt wel iets aan de hand zijn. En dus kun je security-patches maar beter metéén bij het beschikbaar komen installeren, heb ik altijd gedacht. Wie als gebruiker weleens een vergadering over releaseplanning heeft bijgewoond, kent het gelukzalige gevoel als je verzoek (“feature request” heet dat tegenwoordig) wordt opgenomen in de komende release en bij security-patches is het dan nog gratis ook! Je vermijdt er inderdaad niet mee dat een collega op een link in een phishing-mail klikt en daarmee toestemming geeft voor het installeren van malware (bijvoorbeeld ransomware). Maar de schade wordt er allicht wel door beperkt omdat de grote, algemeen bekende security-gaten in elk geval niet meer kunnen worden misbruikt op een juist en volledig gepatchte machine.

Ik adviseer overigens wel om een installatie-procedure in te richten om zoveel mogelijk medewerkers te voorzien van de nieuwste security-patches. In plaats van een monitoring-procedure op te stellen die opspoort hoeveel machines van welke medewerkers (gesorteerd per afdeling) er helaas nog niet gepatcht zijn om dit dan aan de hoogste directie te gaan rapporteren. Af en toe komt het voor dat een organisatie het SIEM-systeem ook voor deze laatste soort compliance-metingen inzet. Vanuit mijn principe “security-patches van de leverancier altijd en snel toepassen” zijn niet-gepatchte machines geen echte gekkigheden, en zou je dit eigenlijk niet moeten doen. Ik heb namelijk liever een rapportage over een klein aantal SIEM-use cases die er werkelijk toe doen.

Afgaan van een inbraakalarm bij het rekencentrum is niet zo boeiend, want het kan ook een vogel zijn die tegen een raam botst en beduusd verder vliegt. Dat het alarm afgaat zonder dat er iemand in het systeem is gekomen, hoef je eigenlijk niet eens te weten. Geen alarm en ook niemand binnengedrongen, is de meestal geldende situatie. Je wilt dus eigenlijk alleen een melding krijgen wanneer de inbrekers binnen zijn, zonder dat het inbraakalarm is afgegaan. Zo’n melding is natuurlijk niet eenvoudig, maar met het combineren van data en diverse metingen kom je een heel eind. Als je organisatie zich met zijn producten louter richt op de Nederlandse markt en midden in de nacht zijn er forse versleutelde bestanden verzonden via internetverbindingen naar IP-adressen in China? Dan is dat eerder data-exfiltratie door een APT-groep dan een noeste arbeider die ’s nachts speciaal naar kantoor is gekomen om een enorme PDF met product- of polisvoorwaarden te verzenden aan een expat prospect in China. En daarmee heb je dan toch een echte anomalie te pakken, die verder onderzocht en opgelost kan worden. Als je vervolgens de oorzaak van de gekkigheid oplost met behulp van preventieve maatregelen, dan is er eigenlijk geen goede reden meer om zo’n geval als monitoring use case op te nemen in het SIEM-systeem. Want het kan door de getroffen maatregelen immers niet meer gebeuren!

Samenvatting

1

Zorg in je SIEM-systeem voor duidelijk gedefinieerde te monitoren zaken, die werkelijk kunnen optreden en herkenbaar zijn (bijvoorbeeld John Deere green);

2

Maar staar je niet blind op die verzameling en zoek ook steeds naar nieuwe opvallende gebeurtenissen (denk aan vleugeldeuren);

3

Kijk periodiek kritisch naar de use cases in je SIEM: zijn ze nog steeds relevant? en durf te schrappen (zoals monitoren op aanloggen tijdens vakantie);

4

Durf ook uit te breiden. “Normale” waargenomen gebeurtenissen kunnen op een ongewone tijd, in een ongebruikelijke richting of heel vaak (frequentie) of veel (bandbreedte) toch weer abnormaal worden en daarmee tóch een anomalie (gekkigheid) zijn (zoals een 4,3 GB file ’s nachts naar Bejing);

5

En bedenk: degene die de meeste gekkigheden vindt, mag de ander (die er vervolgens veel uitzoekwerk aan heeft) trakteren op taart of een Japans buffet.

Auteursgegevens

Robert is als ervaren IT auditor en informatiebeveiliging expert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com.