Gedragsgerichte AI: een grenzeloze aanpak om het bedrijf te beschermen

Een CISO wordt ’s morgens wakker en ziet de naam van zijn bedrijf groot op de voorpagina van de krant.

Het nieuws is niet positief. De data van het bedrijf is door een lek op straat komen te liggen. Dit is een nachtmerrie die voor velen inmiddels al werkelijkheid is geworden. Denk bijvoorbeeld aan Singapore in 2018, toen de gezondheidsdata van 1,5 miljoen burgers, inclusief die van premier Lee Hsien Loong, werden gestolen door hackers.

Maar misschien waren de systemen van het bedrijf niet aangevallen door hackers of een natiestaat. Misschien gaan de krantenkoppen wel over een malafide medewerker, wat in PR-taal zou worden omschreven als “een werknemer met kwade bedoelingen die onrechtmatig heeft gehandeld en het vertrouwen van zijn werkgever heeft geschonden”. Een voorbeeld: een malafide ingehuurde IT-beheerder die het domein van zijn klant overnam, $10.000 losgeld eiste en de site omleidde naar een pornosite toen het bedrijf weigerde te betalen.

Er zijn talloze varianten van dit verhaal en ze hebben allemaal één ding gemeen: de ellende is groot wanneer een bedrijf op deze manier in het nieuws komt. Het wie, wat en hoe is voer voor journalisten en advocaten. Voor het Security Operations Center (SOC) van het bedrijf is iets anders van belang, namelijk de verhaallijn die beschrijft hoe de aanval heeft kunnen plaatsvinden, wie er schuldig aan is en hoe het probleem kan worden opgelost als dat nog niet is gebeurd. Dat zijn de verhalen die maar al te vaak niet worden verteld, omdat ze lastig te achterhalen zijn uit de stroom van data die betrekking heeft op zowel verdachte als alledaagse systeemactiviteiten; het type data dat achteraf op onschuldige systeemafwijkingen wijst, maar teams toch handenvol werk bezorgt.

Die ingewikkelde verhaallijnen beginnen vaak bij de endpoints in het systeem van een bedrijf. Dat kan bijvoorbeeld een endpoint zijn waarop een medewerker een USB-stick heeft aangesloten die hij net op de parkeerplaats heeft gevonden, om te kijken wat erop staat. Het kan ook zijn dat een medewerker een schadelijke pdf-bijlage heeft geopend die met een e-mail is meegestuurd.

Omdat zoveel aanvallen bij endpoints beginnen, is het belangrijk om een goed inzicht te krijgen in die endpoints. Uit een enquête uit 2018 van het SANS Institute blijkt dat 42% van de respondenten ten minste één geval van misbruik van een endpoint heeft meegemaakt waarbij data is gelekt of gestolen, of waardoor de activiteiten van het bedrijf zijn verstoord. Bovendien zit encryptie niet in de weg op endpoints. Endpoints zijn plekken waar netwerk- en procesactiviteiten beschikbaar zijn en waar je zelfs externe monitoring van apparaten kunt doen. Zo kun je er bijvoorbeeld achter komen wie die USB-stick erin heeft gestopt… en wanneer, en waar.

Te veel datapunten, niet genoeg antwoorden

Nu is het niet zo dat we geen endpointmonitoring hebben die ons antwoorden geeft. We hebben tegenwoordig veel meer inzicht in cyberaanvallen dan in de tijd van de EPP’s (Endpoint Protection Platforms). Dat waren producten die vertrouwden op signatures, maar blind waren voor geheugengebaseerde malware, lateral movement, bestandsloze malware of zero day aanvallen.

Het probleem zit hem hierin: EPP biedt wel bescherming voor endpoints, maar het geeft organisaties geen inzicht in de dreigingen. EDR-tools (Endpoint Detection and Response) van de eerste generatie waren een bijproduct van de behoefte aan het inzicht dat EPP’s niet konden bieden. Die generatie EDR, zeg maar passieve EDR, geeft ons wel data maar geen context. We krijgen wel de stukjes van de puzzel, maar geen afbeelding om te kijken hoe we hem in elkaar moeten zetten.

Als je bijvoorbeeld kijkt naar een voorbeeld van ingebouwde, passieve endpointmonitoring, zou je kunnen zien dat Windows-gebeurtenislogboeken hebben geregistreerd hoe door die USB-stick een PowerShell is gestart via een virtueel toetsenbord; dat bij de aanval geavanceerde technieken zijn gebruikt zoals het wissen van logboeken; dat er een backdoor is geïnstalleerd om blijvend toegang te krijgen; dat er vervolgens inloggegevens zijn gestolen die werden gebruikt om in te loggen; dat – oeps – het inloggen op een bepaald punt niet is gelukt; dat er bevoegdheden zijn verhoogd; dat er logboeken zijn gewist; dat er een nieuwe lokale gebruiker is toegevoegd die vervolgens toegelaten is tot een Admin-groep enzovoort, enzovoort. Probeer dat maar eens uit te zoeken.

In de demo zag het er misschien geweldig uit, maar hoe gaat dat dan in de dagelijkse praktijk? Wie kan hier echt wijs uit worden? Misschien een paar doorgewinterde, goed opgeleide beveiligingsanalisten. Maar helaas zijn er daar niet genoeg van. En bovendien moeten die ook af en toe slapen. Als een aanval dus midden in de nacht wordt uitgevoerd, hebben de aanvallers extra tijd voordat de analisten weer op het werk komen en het wat, waar, hoe en wanneer gaan uitpluizen.

Een CISO is niet geïnteresseerd in alle afzonderlijke data die verband houden met een aanval. Het is eerder een spelletje Cluedo. Wie heeft het gedaan: kolonel van Geelen, een uitzendkracht met een USB-stick, een door een natiestaat betaalde groep? Is de dreiging al gestopt en zo ja, hoelang is deze actief geweest? Wie van de weinige analisten van het SOC gaan die overweldigende datastroom vanuit het passieve EDR-systeem analyseren?

Wat is gedragsgerichte AI en hoe kan het helpen?

Wat gebeurt er na een aanval? Het verhaal kan twee kanten op gaan. De eerste kant, die veel problemen oplevert, kent u waarschijnlijk wel: beveiligingsanalisten moeten alle waarschuwingen, meldingen en afwijkingen doorspitten die door de passieve EDR zijn gegenereerd. Dergelijke onderzoeken vereisen veel tijd en vaardigheden. Die vaardigheden zijn echter schaars. U weet hoe moeilijk het is om het juiste personeel hiervoor te vinden, te trainen en te behouden. Er zijn te weinig mensen die de expertise hebben om de beveiligingsplatforms te bedienen en weten hoe ze het kaf van het koren moeten scheiden, ofwel de normale bugs van de echte inbreuken.

Het verhaal kan echter ook een andere kant op gaan: die van de verhaallijnen, ofwel de contextualisatie van alle losse datapunten in een beknopt verhaal. SentinelOne noemt dit ActiveEDR, een gedragsgericht AI-model dat niet alleen voorkomt dat een organisatie volledig afhankelijk is van schaarse analisten, maar dat ook nog eens 24 uur per dag actief is. Dit model legt voortdurend vast wat er gebeurt op elk apparaat dat in aanraking komt met het netwerk en plaatst dat vervolgens in een context.

De gedragsgerichte AI-engine van SentinelOne maakt wat wij “Storylines” noemen: verhaallijnen. Een Storyline is een set voetafdrukken waarmee organisaties incidenten kunnen herleiden om erachter te komen wie er schuldig is aan een IOC, een Indicator Of Compromise, oftewel besmettingsindicator. Dat is nog steeds EDR, maar niet de passieve EDR die u waarschijnlijk al kent. Bij de oude EDR wordt er gezocht naar een geïsoleerde activiteit en wordt vervolgens geprobeerd die te koppelen aan een andere activiteit en dan weer een andere enzovoort. Dit is een tijdrovende, arbeidsintensieve en specialistische exercitie achteraf om het totaalplaatje te reconstrueren.

Met de ActiveEDR-technologie van SentinelOne doet de computer het werk in plaats van de analist. De technologie volgt en contextualiseert alles wat er op een apparaat gebeurt, identificeert schadelijke activiteiten in real time en voert automatisch de benodigde reacties uit. Indien en wanneer de analist mee wil doen, kan deze met ActiveEDR eenvoudig dreigingen opsporen door uitgebreid te zoeken aan de hand van één besmettingsindicator.

In tegenstelling tot andere EDR-oplossingen is ActiveEDR voor een detectie niet afhankelijk van cloudconnectiviteit. De duur van dreigingen wordt hierdoor effectief gereduceerd tot de uitvoeringstijd. De AI-agent op elk apparaat heeft geen cloudconnectiviteit nodig om een beslissing te nemen. De agent maakt voortdurend verhalen van wat er op het endpoint gebeurt en als er schadelijk gedrag wordt gedetecteerd, kan de agent niet alleen schadelijke bestanden en processen stoppen, maar ook de hele Storyline afsluiten en zelfs automatisch terugdraaien.

Waarom kan ActiveEDR aanvallen met en zonder bestanden beter stoppen?

Moderne cybercriminelen hebben een manier gevonden om niet langer afhankelijk te zijn van bestanden. Ze laten nu geen voetafdruk meer achter en gebruiken bestandsloze malware  in het geheugen om onzichtbaar te blijven voor de meeste beveiligingsoplossingen. Alleen de meest geavanceerde oplossingen herkennen dit type aanvallen. Omdat ActiveEDR echter alles bijhoudt, kunt u aanvallers detecteren die mogelijk al over inloggegevens in uw omgeving beschikken en die dingen doen zoals Living off the Land (LotL). Dit is een term voor aanvallen zonder bestanden of malware, waarbij met de eigen, volledig legitieme tools van een systeem de criminele activiteiten worden uitgevoerd. Ze gaan op in het netwerk en verstoppen zich tussen de legitieme processen om ongemerkt hun kwalijke praktijken uit te voeren.

Gedragsgerichte AI: een scenario uit de praktijk

Het volgende scenario uit de praktijk laat zien hoe het werkt: de politie belt u om u te laten weten dat uw inloggegevens op Pastebin staan. U wilt weten hoe die daar terecht zijn gekomen, dus u gaat op zoek in de Deep Visibility Threat Hunting-module. Deep Visibility laat de Storylines van SentinelOne zien. Doordat gebruikers naar verwijzingen kunnen zoeken, in dit voorbeeld verwijzingen naar Pastebin, kunnen dreigingen snel worden opgespoord.

Met Storyline maakt elke autonome endpoint AI-agent een model van zijn endpointinfrastructuur en het gedrag tijdens de realtime uitvoering van dat endpoint. Hieraan wordt een Storyline-ID toegewezen. Dit is een ID voor een groep gerelateerde gebeurtenissen. Als u op “Pastebin” zoekt, vindt u een Storyline-ID die u snel doorverwijst naar alle gerelateerde processen, bestanden, threads, gebeurtenissen en andere data die overeenkomen met die ene query. Deep Visibility retourneert volledige, gecontextualiseerde data waarmee u snel inzicht krijgt in de onderliggende oorzaak van een dreiging, inclusief alle context, relaties en activiteiten.

Elke agent kan, automatisch of handmatig, opruimen na een aanval, het systeem terugrollen, het apparaat loskoppelen van het netwerk of een remote shell uitvoeren in het systeem. Dit kan allemaal automatisch gebeuren, met één klik. Het kost maar enkele seconden, is niet afhankelijk van de cloud en er hoeft geen data geüpload te worden zodat die door mensen bekeken kunnen worden. Cloudanalyse is overbodig omdat alles op de agent gebeurt.

Door zoveel mogelijk te automatiseren, worden meerdere problemen opgelost. Op de eerste plaats kunnen aanvallen op basis van bestanden eenvoudig worden geïdentificeerd zonder gebruik te maken van signatures, aangezien schadelijk gedrag wordt herkend. Bovendien kunnen aanvallen zonder bestanden worden voorkomen en voorspeld.

De endpointbeveiliging van SentinelOne werkt al vóór de uitvoering. Een aanval wordt gestopt voordat deze kan worden uitgevoerd met een gemanipuleerd pdf-bestand, Word-document of wat dan ook. De eerste stap is om de situatie te analyseren, om te kijken of er iets vreemds aan is. Als dit het geval is, wordt het in quarantaine geplaatst. Als de code de eerste test heeft doorstaan en met de uitvoering begint, komt ActiveEDR in actie. Dit autonome, geautomatiseerde mechanisme voor het opsporen van dreigingen − met detectie en reactie in de agent − gaat op zoek naar vreemd, afwijkend gedrag. Bijvoorbeeld iemand die Word opent, waardoor een PowerShell wordt geactiveerd en iets van internet wordt gehaald. Dat is meestal geen goedaardig, normaal gedrag. ActiveEDR bekijkt het gedrag tijdens de uitvoering van de code en houdt alles wat er in het besturingssysteem gebeurt bij als een reeks verhalen, van het begin tot einde en ongeacht of dit 1 seconde of een maand duurt, of langer. De technologie blijft het gedrag voortdurend evalueren om te controleren of er ergens iets fout gaat.

De menselijke inbreng, met hulp van gedragsgerichte AI

Dat is allemaal heel goed, maar het is niet genoeg, omdat niemand ooit alles vangt. Daarom beschikt ActiveEDR over mogelijkheden om dreigingen op te sporen: Threat Hunting. Dit is een functie die van SentinelOne een superieure oplossing maakt voor aanvallen met en zonder bestanden.

Stel u hebt een apparaat gevonden dat meerdere keren met Pastebin heeft gecommuniceerd. Als u dan op de Storyline-ID in de SentinelOne-console klikt, gaat u naar het volledige verhaal van de aanval. U vindt hier alle relevante context, een algemeen diagram van de oorsprong van de aanval en een tijdlijn van de processtructuur met alle relevante processen: er werd een Microsoft Word-document geopend, hierdoor werd een Windows PowerShell geactiveerd en daarmee werden weer zeven andere processen in gang gezet. Storylines bevatten zelfs volledige opdrachtregelargumenten, die onderzoekers nodig hebben om de aanval goed te begrijpen. Ze bieden de volledige context van de aanval, die niet door een compleet Incident Response Team is geproduceerd, maar met één query.

Demo van SentinelOne ActiveEDR
Dreigingen opsporen anno nu.

Een AI-assistent, en zeker een AI-agent die aanwezig is op elk apparaat dat verbinding maakt met het netwerk, bespaart veel tijd. Een organisatie is dan niet meer volledig afhankelijk van mensen die dingen analyseren die uiteindelijk helemaal niks opleveren.

U kunt verder slapen: wij pakken het op

Is het niet tijd om de zaken anders aan te pakken? Dat kan nu.

Gedragsgerichte AI kan worden ingesteld om dreigingen automatisch aan te pakken en dat is een zeer krachtige methode. De technologie kan zelf beslissingen nemen op het apparaat, onafhankelijk van de cloud en zonder dat mensen moeten aangeven wat er moet gebeuren. Als ActiveEDR is ingesteld op Detect, krijgt u gecontextualiseerde waarschuwingen. Als u het instelt op Protect, wordt dat Word-document met een boobytrap gewoon geblokkeerd. En geen mens die hoeft in te grijpen. Wanneer een gebruiker probeert het Word-bestand te openen, wordt de dreiging gedetecteerd, geblokkeerd en razendsnel verwijderd. Als ActiveEDR op Protect is ingesteld, laat de Storyline van de aanval zien dat deze niet ver is gekomen: de aanval is geblokkeerd voordat deze extern kon communiceren.

Omdat gedragsgerichte AI-agents in elk endpointapparaat zijn ingebakken, kan schadelijk gedrag direct worden gestopt. Als u later besluit dat een blokkering toch niet nodig was, kunt u die eenvoudig terugdraaien. En in tegenstelling tot mensen heeft ActiveEDR met gedragsgerichte AI van SentinelOne geen slaap nodig en trekt het ook niet om vijf uur de deur achter zich dicht.

Met de automatische aanpak van dreigingen met gedragsgerichte AI hoeft u zich geen zorgen meer te maken over gestolen data, schreeuwende krantenkoppen of telefoontjes van de politie.

Neem contact met ons op of vraag een gratis demo aan als u meer wilt weten over gedragsgerichte AI van SentinelOne en hoe dit kan helpen uw organisatie te beschermen.


Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.

Read more about Cyber Security