RESEARCH

Case Story: Sikkerhedsbrud detekteret og mitigeret på 36 minutter

28. september 2017

Nutidens trusselslandskab er stadigt skiftende og bliver mere og mere kompleks, og organisationer får nye udfordringer med at beskytte sig mod avancerede trusler. Antallet og mangfoldigheden af angreb skaber en uoverskuelig mængde af områder, som virksomheder skal fokusere på inden for it-sikkerhed – og en stor portion af sikkerhedsbrud forbliver uopdaget i flere hundrede dage.

Her bringer vi en historie fra en af vores kunder, som fik mitigeret en trussel inden hændelsen nåede at eskalere.

Udfordringen

Et forsikringsselskab henvendte sig til os, da de ønskede sig en pålidelig og omkostningseffektiv måde at håndtere cybertrusler og sikre sig, at de fik advarsler, når der var tegn på uautoriseret adgang til deres netværk.

Firmaet havde allerede anerkendte antivirus og IDS-løsninger på plads, og NCC Groups Security Operations Centre (SOC) administrerede alarmsignaler fra deres 24/7 Security Incident Event Management (SIEM) løsning.

Men da et stigende antal angreb forbigår disse typer af forsvarsstrukturer, indså forsikringsselskabet, at de havde brug for en mere pålidelig løsning. De henvendte sig til NCC Group for at få en Managed Detection and Response (MDR) service for at skifte til en full-managed løsning og udskifte deres daværende IDS-løsning. 

Løsningen

Inden for to uger efter vi påbegyndte samarbejdet, havde vi opfanget en cyberhændelse, som blev vurderet til at have en høj risiko. NCC Groups 24/7 SOC og Cyber Defence Operations (CDO) teams var i stand til at informere forsikringsselskabet øjeblikkeligt om hændelsen, som blev opdaget af vores threat sensor, der var placeret et strategisk sted i netværket.

Alarmen viste, at et internt system kommunikerede med et ondsindet domæne, der brugte en mistænkelig http post string.

NCC Groups SOC-team var i stand til at triage og analysere hændelsen ved at bruge threat sensoren og korrelere dataene med den etablerede managed SIEM-løsning. Således fik kunden hurtig besked og var i stand til at handle effektivt.

Inden for 17 minutter efter hændelsen var NCC Groups analytikere i stand til:

  • Triage alarmen
  • Undersøge det eksterne domæne og konstatere, at det rejste en alarm i vores interne threat intelligence feed
  • Bruge packet capture teknologi i vores network threat monitoring sensor (NTM) til at lede efter anden lignende trafik og klarlægge den præcise dato, hvor det interne system begyndte at kommunikere med det mistænkelige domæne
  • Korrelere data i SIEM-løsningen til at identificere dette interne system som et trådløst access point og bekræfte, at der havde været 7 pc-klienter tilsluttet til dette indenfor de sidste 24 timer. Dette betød, at undersøgelsen kunne indsnævres væsentligt

Inden for yderligere 19 minutter, var kunden i stand til:

  • Identificere hændelsen og begynde at kigge på remedieringsmuligheder
  • Identificere og slukke for access point’et
  • Begyndte at analysere de 7 pc’er, der potentielt kunne have været inficeret
  • Det vil sige, at blot 36 minutter efter den første alarm blev aktiveret, var kunden allerede beskyttet mod yderligere skade eller datalæk som følge af malware inficering. 

Takket være den avancerede detekteringskapacitet i NTM-sensoren, som brugte Indicator of Compromise (IoC) detektering baseret på vores proprietære threat intelligence, var kunden hurtigt i stand til at identificere et mistænkeligt trafikmønster. Dette gjorde, at virksomheden kunne handle effektivt og tage foranstaltninger for at forhindre, at truslen spredte sig i deres netværk.

Konklusioner

Denne case story er et godt eksempel på fordelene ved MDR-løsninger, som går ud over den traditionelle sikkerhedsovervågning og device management, der tilbydes af Managed Security Service Providers (MSSP). Med et stort fokus på 24/7 overvågning, threat detection og hurtig incident response, kan denne metode identificere cyberhændelser og –aktiviteter, der ikke vil blive opfanget af traditionelle alarmer og/eller signaturer. For forsikringsselskabet havde det ikke været muligt at detektere og reagere på sikkerhedsbruddet på så kort tid (36 minutter) uden den unikke kombination af proprietær viden, ekspertkompetencer og teknologi, der tilbydes med en avanceret Managed Detection and Response (MDR) løsning.

En interessant bemærkning er, at da sikkerhedsbruddet blev opdaget af vores SOC team, var kundens IDS-løsning stadig aktiv (dette er typisk i MDR-opstartsfasen). Den formåede dog ikke at opfange den mistænkelige aktivitet.

Du kan læse mere om vores MDR-løsninger og om hvordan vores CDO-teams arbejder her, eller se Neal Hindochas råd til hvordan du kan forberede dig på et sikkerhedsbrud i videoen nedenunder: