LLoD: Databestanden

Symbool voor LLoD Malware en Ransomware

De Last Line of Defense maakt onderdeel uit van de systeembenadering is en zit als het ware “bovenop de data”, als bewaker van de informatie. Het is een combinatie van een (Host) Intrusion Detection System (HIDS, IDS) (*1) en een koppeling naar acties waardoor het in principe aangemerkt moet worden als een (Host) Intrusion Prevention System (HIPS, IPS) en (Host) Intrusion Correction System met een hele specifieke en afgebakende taak. Deze taak betreft alleen het beschermen van een van te voren gedefinieerde dataset of verzameling van datasets.

Dit LLoD systeem gaat hierbij dus verder dan een IDS, er wordt namelijk direct ingegrepen. Een standaard IDS rapporteert aan een administrator of een SIEM tool. Hiermee is een IDS wat de naam al zegt een detectie tool. Het is dus niet preventief of correctief. Voor Ransomware is een standaard IDS dus altijd te laat (als de Malware is doorgedrongen op host niveau).

Note: Strikt genomen is het een HIPS en Host Intrusion Correction System (HICS).

REF: https://en.wikipedia.org/wiki/Intrusion_detection_system

Werking: Alle veranderingen van, en toegang tot, bestanden worden voortdurend (real-time) bewaakt. Wanneer er bijvoorbeeld een proces wordt geconstateerd dat iets verdachts doet zoals het inpakken van data (de encryptie is gestart) wordt bijzonder snel ingegrepen door de veroorzaker (een proces) “af te schieten” of de toegang onmogelijk te maken. De Agent op de server of end-point wordt daarna in hoge alertheidsmodus geplaatst. Dit is noodzakelijk omdat Malware vaak verder gaat en probeert de beveiliging van het systeem op verschillende wijzen te omzeilen waaronder het opstarten van andere processen.

Kenmerken LLoD software:

  1. Agent based, er dient een Agent te worden geïnstalleerd op elk systeem dat beschermd dient te worden.
  2. De agent heeft een kleine footprint (data, geheugen en CPU).
  3. De Agent is autonoom maar kan communiceren met een centrale server die bijzondere gebeurtenissen opvangt.
  4. De centrale server kan ook commando’s naar de Agent sturen (niet noodzakelijk).
  5. De verbinding tussen de Agent en de Centrale server wordt beschermd met een dubbele encryptie (o.a. AES).
  6. Kan rapporteren aan een set van SIEM tools (o.a. Splunk, SolarWinds SEM, Elasticsearch, LogRhythm, Arcsight, QRadar, Securonix, AlienVault USM, McAfee Enterprise Security Manager, Graylog, LogPoint en EventSentry)

Voorwaarden voor goede werking van de Agent:

  1. Dient een aantal rechten te krijgen zoals het stoppen van processen,
  2. Rechten om Windows Firewall rules aan te maken en te verwijderen,
  3. Dient mee te kunnen kijken op het OS (o.a. auditing events).

Door toepassing van de LLoD verkrijgt u een aantal interessante bijproducten zoals:

  1. Wie heeft toegang gehad tot welke data.
  2. Detectie van onopgemerkte Malware.
  3. Het voldoen aan compliance (de wet- en regelgeving o.a. AVG / GDPR).
  4. Detecteert op systeem niveau data leakage.

(*1) Een Host IDS (HIDS) is de tegenpool van een Network IDS volgens de systeembenadering versus de netwerkbenadering

Proof of Concept (POC)

We nodigen u uit om een Proof of Concept uit te voeren waarbij u zelf de functionaliteit kunt testen.

Aanvraag POC