Snelle navigatie
1.1 Vooralarm
1.2 Onderzoek de melding
1.3 Beeldvorming en forensisch onderzoek
1.4 Voorzorgen back-ups
1.5 Effectief alarm
1.6 Initiële crisismeeting
1.7 Melding politie en CERT
1.8 Voorzie een logboek
1.9 Leg register aan voor datalekken
1.10 Schakel externe expertise in
1.11 Maximaliseer de inzet
Het detecteren van een cyberaanval kan op meerdere manieren gebeuren. In het best mogelijke scenario is er automatische monitoring voorhanden die bij bepaalde gebeurtenissen, zoals een plotse toename van dataverkeer op bepaalde plaatsen in het netwerk, de beheerders verwittigt zodat deze informatie verder onderzocht kan worden.
Het kan echter ook voorvallen dat eindgebruikers abnormaal gedrag ondervinden bij het bedienen van systemen, zoals een toepassing die veel langer over een opzoeking of bewerking doet dan men zou mogen verwachten. Tenslotte is de kans ook reëel dat de boosdoeners er doelbewust voor kiezen om te melden dat zij uw organisatie hebben aangevallen hebben, en geld eisen om u naar uw normale werking terug te laten keren.
Tijdens de eerste fase van een cyberaanval zal de focus voornamelijk liggen op het onderzoeken van een melding of storing, en het alarmeren van de interne en externe eerstelijnscontacten. Daarnaast dienen de eerste stappen gezet te worden om een verspreiding van de besmetting of aanval te voorkomen en bewijsmateriaal veilig te stellen.
1.1 Vooralarm
Deze fase kan gebruikt worden wanneer er zich tekenen manifesteren dat er iets loos is, maar het nog niet helemaal zeker is dat de eigen organisatie getroffen wordt door een cyberaanval. Als actie worden de leidinggevende ambtenaren die de IT-dienst aansturen in kennis gesteld dat er zich problemen voordoen en dat de IT-dienst het onderzoek zal opstarten. Een voormelding bij de communicatiedeskundige of -dienst is ook aangewezen, zodat al geanticipeerd kan worden op mogelijke crisiscommunicatie.
Het is ook aanbevolen om reeds een vooralarm te luiden als er in het eigen lokaal bestuur nog geen tastbare symptomen van onheil zijn, maar men verwittigd wordt door een ketenpartner - denk aan een ander lokaal bestuur, het Centre for Cybersecurity Belgium (CCB), het Cyber Response Team voor Lokale Besturen (Vo-CRT) of een belangrijke toeleverancier van IT-platformen - dat er een reëel risico is op cybercriminaliteit.
Onderzoek de melding
Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval.
Signalen voor servers
Je ontdekt verdachte ‘cron/batch jobs’, automatische taken die niet door een medewerker werden opgezet)
Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen
Extra activiteit in de server logs
Verhoogde belasting van de server
Applicaties die offline gaan
Signalen voor computers
De computer werkt plots een stuk trager
Pop-ups blijven uit het niets verschijnen
Wachtwoorden zijn plotsklaps veranderd, je account is gehackt
Er staan nieuwe programma's op een computer
Frauduleuze (antivirus) waarschuwingen
Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagen ontvangen
Een ransomware-bericht komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingen
De muiscursor beweegt uit zichzelf
Signalen voor websites
De browser laat weten bij een websitebezoek dat de website mogelijk gehackt is
Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffen
Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevatten
De website is onbereikbaar, laadt traag of crasht regelmatig
Het is niet langer mogelijk om in te loggen op het content management systeem (CMS) of beheertool
De website kent een opvallende daling in bezoekersaantallen
Onbekende user accounts worden aangetroffen in het content management systeem
Onbekende plug-ins of scripts werden geïnstalleerd op de website
De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuur
Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht worden en kan men kijken of het gaat over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn:
Social engineering, zoals phishing en impersonatie
Onbevoegde toegang
Denial Of Service
Aanval met kwaadaardige code, zoals ransomware
Ongepast gebruik en fraude
Verlies of diefstal van gegevens
1.2 Beeldvorming en opstart forensisch onderzoek
Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst. Een dergelijk forensisch onderzoek is belangrijk voor het vergaderen van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken. Middelen om volledige schijfkopieën te maken en te analyseren, geheugendumps (op afstand) te nemen van een verdachte machine en write-blockers zijn nuttig bij de uitvoering van deze analyse.
Tijdens het forensisch onderzoek dienen o.a. volgende zaken onderzocht te worden:
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens
Toegangslogs van servers en toestellen
Operationele logs van systemen
Firewall-logs
Netwerkverkeer
Meldingen uit endpointbeveiliging
Gestolen, gemanipuleerde of onbeschikbare data
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens
Het is cruciaal voor het forensisch onderzoek dat mogelijk besmette systemen als computers niet uitgezet worden, aangezien op deze manier belangrijke sporen verloren kunnen gaan die gebruikt kunnen worden om de daders te achterhalen en de concrete oorzaak te identificeren. Het is wel mogelijk om de systemen en toepassingen los te koppelen van het internet en lokale netwerk. Bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.
Vergeet niet om in deze fase een inventaris op te maken met al het beschikbare bewijsmateriaal en wijs ook een verantwoordelijke aan om dit inventaris bij te houden en bij te werken. Indien het incident ook het lekken van persoonsgegevens betreft, dient dit meteen vastgelegd en geïnventariseerd te worden.
Afweging: Loskoppelen of bewijs vergaren?
Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening, en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren.
Hierin zullen dus keuzes gemaakt moeten worden. In het ene geval houden we bewijsmateriaal maximaal intact voor forensisch onderzoek door toestellen aan te laten, maar kan de schade snel om zich heen grijpen en het herstellen van de dienstverlening bemoeilijkt worden. In het andere geval wordt besloten om machines binnen een afgelijnd proces uit te zetten, zodat de voortplanting van schade daadkrachtig een halt toegeroepen. Dit houdt wel in dat relevante sporen zo goed als zeker voorgoed verloren raken.
Het is dus belangrijk om te beseffen dat beide keuzes hun voor- en nadelen hebben:
Keuze 1: Loskoppelen
Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt. Voor computers kan je de gewoonweg de netwerkverbinding verbreken, bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.
Nadelen:
Deze aanpak verhindert meer diepgaand onderzoek, waardoor mogelijk zaken over het hoofd gezien worden en het oorspronkelijke probleem kan terugkeren.
Je loopt het risico dat de dader alarm slaat en op korte termijn nog zoveel mogelijk schade tracht te berokkenen.
Voordelen:
De dienstverlening kan via deze weg sneller terug opgestart worden.
De snelheid van deze oplossing maakt het moeilijker voor malware en besmettingen om zich verder uit te breiden binnen je systemen en netwerken.
Keuze 2: Bewijs vergaren
Deze keuze betekent dat je je activiteiten zo goed als mogelijk tracht verder te zetten en zoveel mogelijk inzet op bewijsvergaring.
Nadelen:
Een forensisch onderzoek vraagt bijkomende tijd en middelen.
Deze keuze kan de heropstart van de dienstverlening vertragen.
Voordelen:
De kans is groter dat je het probleem bij de wortel kan aanpakken door extra in te zetten op beeldvorming.
Zonder het nodige sporenonderzoek is het niet mogelijk om de daders te achterhalen en eventueel te vervolgen.
In vele gevallen zal de oplossing ergens tussen beide keuzes in liggen. Welke beslissing je lokaal bestuur neemt, hangt af van het bereik, de grootte en impact van het incident.
Bij het loskoppelen van servers of computers is het van groot belang dat niets weggegooid wordt en dat ook geen (nieuwe) virusscanners lopen, aangezien dit mogelijke aanwijzingen kan verwijderen.
Verdieping: Tips en tricks voor forensisch onderzoek
Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren. Hieronder worden enkele tips en aanwijzingen opgelijst:
Controleer firewall logs en netwerkverkeer: Door verbanden te leggen tussen tijdstippen in vreemd verkeer, is het mogelijk om te achterhalen op welke wijze de cybercriminelen zijn binnengekomen, alsook wanneer de intrusie plaatsvond. Noteer belangrijke tijdstippen voor verdacht netwerkverkeer, zodat deze gebruikt kunnen worden voor onderzoek op logfiles en eventlogs.
Controleer de gebruikersaccounts binnen de active directory (AD): Mogelijks merk je nieuwe accounts op zonder logische verklaring. Denk bijvoorbeeld aan een nieuwe account die niet vergelijkbaar is met accounts van nieuwe medewerkers.
Kijk naar accounts met verhoogde systeemrechten: Werden beheersaccounts aangepast of gewijzigd? Dit is belangrijke informatie, aangezien de domain controller een gegeerd doel is voor cybercriminelen. Mogelijks merk je ook vreemd gedrag op in beheerdersaccounts, zoals nachtelijke activiteit ondanks dat er geen wijzigingen gepland waren.
Inventariseer vreemde incidenten die mogelijk verband houden met de cyberaanval: Ga terug in de tijd en zoek naar problemen met de back-up omgeving, storage omgeving of niet gedocumenteerde wijzigingen in de DMZ-omgeving. Deze informatie kan helpen om het pad en de werkwijze van de cybercriminelen te schetsen.
Werd een gehackte computer via Remote Desktop Protocol (RDP) overgenomen? Via een tools als 'RDP Cached Bitmap Extractor' kan je het beeld oproepen dat de hacker het laatst heeft gezien tijdens de RDP-sessie.