Et case-study i SIEM anvendelse

407

Et case-study i SIEM anvendelse

Christian Have

Efter at have læst Johan Christensens og Kevin Loumann Eienstrands artikel i Børsen omkring lækage af filer i Kalundborg kommune, kigger vi i denne blogpost på hvordan security analytics gennem SIEM kan anvendes til at identificere, imødegå og reagere på lignende trusler. 

Sagen kort jf. Artiklen

Man har fået godkendt en FTP server, der kan bruges når der skal udveksles filer i forbindelse med aktindsigt.

Denne server har haft et login, man har givet ud til samtlige eksterne parter. Alle eksterne brugere, samme brugernavn og password. 

Systemet har på et tidspunkt fået uploadet en backup af et centralt IT-system.

Dette IT-system indeholder:

  • Credentials til central infrastruktur
  • Certifikater og user/pass til eksterne services 
  • Arkitekturtegninger, ip-planer mv
  • Yderst kritiske filer omkring alle de sagsakter, en kommune nu engang beskæftiger sig med

Kalundborg Kommune lukker for adgangen når Børsens journalister kontakter kommunen for at høre om det kan være rigtigt.

Enter SIEM

I en situation som dette, vil relativt simple ændringer i den tekniske infrastruktur kunne have afhjulpet problemet.

Logning af adgang

Ved at bruge LogPoint vil man altid have en central logning af adgangen til FTP serveren.

I det tilfælde Børsens journalister ringer, vil man ved at bruge et search template i LogPoint få visualiseret i små widgets, hvornår, hvorfra, hvor meget data der er blevet overført. Denne data lagres på LogPoint serveren, placeret sikret og væk fra den eksponerede FTP server. Selv om loggen overskrives løbende på FTP serveren, er revisionssporet bevaret - krypteret og med checksum, til brug ved et eventuelt efterfølgende juridisk efterspil.

Logning af tilgang

Lad os antage at man har et unikt brugernavn for hver bruger, er problemet stadig her, at data ligger længere på FTP serveren end det skal.

I det tilfælde vil LogPoint kunne bruges til at fjerne filer første gang de er blevet overført.

Ved at lave en alert-rule der kigger på filadgang for eksterne brugere, vil der blive rejst en alert, med en notifikation til fil-sletning.

Det betyder at første gang man har fået adgang til sin fil, så bliver den fjernet fra FTP serveren.

Logning og alarmering på anormal adgang

En FTP server der bruges til sagsakter har et givent tilgangsmønster.

Lad os antage at der typisk uploades TIFF og PDF dokumenter. Disse dokumenter har en bestemt størrelse, typisk og uploades fra en juridisk afdeling og læses typisk ikke ret mange gange af den forventede modtager (i hvert fald ikke på FTP serveren).

I dette tilfælde kan man bruge LogPoint’s Machine-Learning modul. Modulet vil reagere på følgende afvigelser:

  • FTP serveren anvendes, atypisk for normen, af interne brugere (IT) hvor det typisk var andre brugere (Juridisk afdeling)
  • Størrelsen på filerne (backups), antallet af filer i mappen (dump), typen af filer (.cert, docx, zip, vmdk) vil være unormal
  • Hvis eksterne brugere typisk kun læser fra den folder de har fået oplyst, vil denne folder måske tiltrække sig opmærksomhed (og læses mange gange).
  • Mængden af data der pludseligt forlader FTP serveren, fra denne folder, vil være abnorm og også flages.

Logning post-compromise.

Hvis man vil redegøre for hvor mange der har læst de kompromitterede filer.

Hvis vi antager at filerne indeholder “the keys to the kingdom” er logningen i den centrale infrastruktur essentiel, for at overvåge hvorvidt den viden er faldet i forkerte hænder. I princippet kan passwords, certifikater, eksterne tjenester osv. være “pwned” til en grad, hvor en motiveret angriber kan være i kontrol af systemerne. Her vil en LogPoint løsning være essentiel i det efterfølgende forensicsarbejde; 

  • hvor ser vi unormale administrator-logins?
  • er der brugere der logger ind på mange systemer på samme tid?
  • ser vi uventede data flows (meget lig med det vi så på FTP serveren)?
  • ser vi brugere der bliver logget på fra mange lokationer samtidig?

Med LogPoint ville man kunne have identificeret angrebet og reageret på lækagen. Med fokus på at kunne dokumentere hvem der har haft adgang til hvilke filer, hvor lang tid osv. burde man også internt i organisationen kunne have opdaget at noget var galt før Børsens journalister henvendte sig.


For further questions regarding this topic, please contact us using the form below.

 
FaLang translation system by Faboba

Why LogPoint?

With LogPoint, you will discover a full enterprise SIEM solution. 

LogPoint is EAL 3+ certified and the solution is tailored to solve the specific security management challenges of your business - whether the goal is compliance, forensics or operational insight.

And the best part..? We have the most predictable licensing model in the industry.