Versions Compared

Old Version 1

changes.mady.by.user Raf Geuns

Saved on

compared with

New Version 2

changes.mady.by.user Raf Geuns

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Snelle navigatie

1.1 Vooralarm
1.2 Onderzoek de melding
1.3 Beeldvorming en forensisch onderzoek
1.4 Voorzorgen back-ups
1.5 Effectief alarm
1.6 Initiële crisismeeting
1.7 Melding politie en CERT
1.8 Voorzie een logboek
1.9 Leg register aan voor datalekken
1.10 Schakel externe expertise in
1.11 Maximaliseer de inzet

Het detecteren van een cyberaanval kan op meerdere manieren gebeuren. In het best mogelijke scenario is er automatische monitoring voorhanden die bij bepaalde gebeurtenissen, zoals een plotse toename van dataverkeer op bepaalde plaatsen in het netwerk, de beheerders verwittigt zodat deze informatie verder onderzocht kan worden. 

...

Tijdens de eerste fase van een cyberaanval zal de focus voornamelijk liggen op het onderzoeken van een melding of storing, en het alarmeren van de interne en externe eerstelijnscontacten. Daarnaast dienen de eerste stappen gezet te worden om een verspreiding van de besmetting of aanval te voorkomen en bewijsmateriaal veilig te stellen. 

In deze fase behandelen we de volgende onderwerpen:

1.1 Vooralarm

Deze fase kan gebruikt worden wanneer er zich tekenen manifesteren dat er iets loos is, maar het nog niet helemaal zeker is dat de eigen organisatie getroffen wordt door een cyberaanval. Als actie worden de leidinggevende ambtenaren die de IT-dienst aansturen in kennis gesteld dat er zich problemen voordoen en dat de IT-dienst het onderzoek zal opstarten. Een voormelding bij de communicatiedeskundige of -dienst is ook aangewezen, zodat al geanticipeerd kan worden op mogelijke crisiscommunicatie.

Het is ook aanbevolen om reeds een vooralarm te luiden als er in het eigen lokaal bestuur nog geen tastbare symptomen van onheil zijn, maar men verwittigd wordt door een ketenpartner - denk aan een ander lokaal bestuur, het Centre for Cybersecurity Belgium (CCB), het Cyber Response Team voor Lokale Besturen (Vo-CRT) of een belangrijke toeleverancier van IT-platformen - dat er een reëel risico is op cybercriminaliteit.

Onderzoek de melding

Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval. 

Signalen voor servers

  • Je ontdekt verdachte ‘cron/batch jobs’, automatische taken die niet door een medewerker werden opgezet) 

  • Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen

  • Extra activiteit in de server logs

  • Verhoogde belasting van de server

  • Applicaties die offline gaan 

Signalen voor computers

  • De computer werkt plots een stuk trager

  • Pop-ups blijven uit het niets verschijnen 

  • Wachtwoorden zijn plotsklaps veranderd, je account is gehackt 

  • Er staan nieuwe programma's op een computer 

  • Frauduleuze (antivirus) waarschuwingen 

  • Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagen ontvangen

  • Een ransomware-bericht komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingen 

  • De muiscursor beweegt uit zichzelf 

Signalen voor websites

  • De browser laat weten bij een websitebezoek dat de website mogelijk gehackt is 

  • Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffen 

  • Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevatten 

  • De website is onbereikbaar, laadt traag of crasht regelmatig 

  • Het is niet langer mogelijk om in te loggen op het content management systeem (CMS) of beheertool 

  • De website kent een opvallende daling in bezoekersaantallen 

  • Onbekende user accounts worden aangetroffen in het content management systeem 

  • Onbekende plug-ins of scripts werden geïnstalleerd op de website 

  • De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuur 

Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht worden en kan men kijken of het gaat over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn: 

  • Social engineering, zoals phishing en impersonatie 

  • Onbevoegde toegang

  • Denial Of Service

  • Aanval met kwaadaardige code, zoals ransomware

  • Ongepast gebruik en fraude

  • Verlies of diefstal van gegevens 

1.2 Beeldvorming en opstart forensisch onderzoek

Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst. Een dergelijk forensisch onderzoek is belangrijk voor het vergaderen van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken. Middelen om volledige schijfkopieën te maken en te analyseren, geheugendumps (op afstand) te nemen van een verdachte machine en write-blockers zijn nuttig bij de uitvoering van deze analyse.  

Tijdens het forensisch onderzoek dienen o.a. volgende zaken onderzocht te worden: 

  • Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens 

  • Toegangslogs van servers en toestellen

  • Operationele logs van systemen

  • Firewall-logs

  • Netwerkverkeer

  • Meldingen uit endpointbeveiliging

  • Gestolen, gemanipuleerde of onbeschikbare data

  • Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens 

Het is cruciaal voor het forensisch onderzoek dat mogelijk besmette systemen als computers niet uitgezet worden, aangezien op deze manier belangrijke sporen verloren kunnen gaan die gebruikt kunnen worden om de daders te achterhalen en de concrete oorzaak te identificeren. Het is wel mogelijk om de systemen en toepassingen los te koppelen van het internet en lokale netwerk. Bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm. 

Vergeet niet om in deze fase een inventaris op te maken met al het beschikbare bewijsmateriaal en wijs ook een verantwoordelijke aan om dit inventaris bij te houden en bij te werken. Indien het incident ook het lekken van persoonsgegevens betreft, dient dit meteen vastgelegd en geïnventariseerd te worden.

Panel
bgColor#FFFAE6

Afweging: Loskoppelen of bewijs vergaren?

Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening, en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren.  

Hierin zullen dus keuzes gemaakt moeten worden. In het ene geval houden we bewijsmateriaal maximaal intact voor forensisch onderzoek door toestellen aan te laten, maar kan de schade snel om zich heen grijpen en het herstellen van de dienstverlening bemoeilijkt worden. In het andere geval wordt besloten om machines binnen een afgelijnd proces uit te zetten, zodat de voortplanting van schade daadkrachtig een halt toegeroepen. Dit houdt wel in dat relevante sporen zo goed als zeker voorgoed verloren raken. 

Het is dus belangrijk om te beseffen dat beide keuzes hun voor- en nadelen hebben: 

Keuze 1: Loskoppelen 

Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt. Voor computers kan je de gewoonweg de netwerkverbinding verbreken, bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm. 

Nadelen: 

  • Deze aanpak verhindert meer diepgaand onderzoek, waardoor mogelijk zaken over het hoofd gezien worden en het oorspronkelijke probleem kan terugkeren. 

  • Je loopt het risico dat de dader alarm slaat en op korte termijn nog zoveel mogelijk schade tracht te berokkenen. 

Voordelen: 

  • De dienstverlening kan via deze weg sneller terug opgestart worden. 

  • De snelheid van deze oplossing maakt het moeilijker voor malware en besmettingen om zich verder uit te breiden binnen je systemen en netwerken. 

Keuze 2: Bewijs vergaren 

Deze keuze betekent dat je je activiteiten zo goed als mogelijk tracht verder te zetten en zoveel mogelijk inzet op bewijsvergaring.  

Nadelen: 

  • Een forensisch onderzoek vraagt bijkomende tijd en middelen. 

  • Deze keuze kan de heropstart van de dienstverlening vertragen. 

Voordelen: 

  • De kans is groter dat je het probleem bij de wortel kan aanpakken door extra in te zetten op beeldvorming. 

  • Zonder het nodige sporenonderzoek is het niet mogelijk om de daders te achterhalen en eventueel te vervolgen. 

In vele gevallen zal de oplossing ergens tussen beide keuzes in liggen. Welke beslissing je lokaal bestuur neemt, hangt af van het bereik, de grootte en impact van het incident.

Bij het loskoppelen van servers of computers is het van groot belang dat niets weggegooid wordt en dat ook geen (nieuwe) virusscanners lopen, aangezien dit mogelijke aanwijzingen kan verwijderen.

Panel

bgColor#FFFAE6

Verdieping: Tips en tricks voor forensisch onderzoek

Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren. Hieronder worden enkele tips en aanwijzingen opgelijst:

  • Controleer firewall logs en netwerkverkeer: Door verbanden te leggen tussen tijdstippen in vreemd verkeer, is het mogelijk om te achterhalen op welke wijze de cybercriminelen zijn binnengekomen, alsook wanneer de intrusie plaatsvond. Noteer belangrijke tijdstippen voor verdacht netwerkverkeer, zodat deze gebruikt kunnen worden voor onderzoek op logfiles en eventlogs.

  • Controleer de gebruikersaccounts binnen de active directory (AD): Mogelijks merk je nieuwe accounts op zonder logische verklaring. Denk bijvoorbeeld aan een nieuwe account die niet vergelijkbaar is met accounts van nieuwe medewerkers.

  • Kijk naar accounts met verhoogde systeemrechten: Werden beheersaccounts aangepast of gewijzigd? Dit is belangrijke informatie, aangezien de domain controller een gegeerd doel is voor cybercriminelen. Mogelijks merk je ook vreemd gedrag op in beheerdersaccounts, zoals nachtelijke activiteit ondanks dat er geen wijzigingen gepland waren.

  • Inventariseer vreemde incidenten die mogelijk verband houden met de cyberaanval: Ga terug in de tijd en zoek naar problemen met de back-up omgeving, storage omgeving of niet gedocumenteerde wijzigingen in de DMZ-omgeving. Deze informatie kan helpen om het pad en de werkwijze van de cybercriminelen te schetsen.

    • Werd een gehackte computer via Remote Desktop Protocol (RDP) overgenomen? Via een tools als 'RDP Cached Bitmap Extractor' kan je het beeld oproepen dat de hacker het laatst heeft gezien tijdens de RDP-sessie.1.2 Onderzoek de melding
    1.3 Beeldvorming en opstart forensisch onderzoek
    1.4 Neem de nodige voorzorgen inzake back-ups
    1.5 Effectief alarm
    1.6 Zet een initiële crisismeeting op voor verdere beeldvorming
    1.7 Meld het incident bij de lokale politie en het CERT
    1.8 Leg een logboek aan voor crisisbeheer
    1.9 Leg een register aan voor potentiële datalekken
    1.10 Schakel externe hulp in waar nodig
    1.11 Maximaliseer de inzet en neem initiatief