Download: Whitepaper Interne bedreigingen

Laat uw gegevens achter en wij versturen de whitepaper direct!
Ik geef CBABenelux toestemming om gerelateerde emails te versturen.
*Uw gegevens worden niet aan derden doorgegeven of verhandeld.

Het detecteren van Interne bedreigingen en Aanvallen

Interne bedreigingen en aanvallen op uw bedrijf en data vormen helaas meer en meer een risico. Zorg er daarom voor dat uw organisatie en IT omgeving goed beveiligd zijn en minimaliseer risico op een datalek of interne aanval.
  • Leer alles over het detecteren aanvallen op accounts en hoe je die kunt beschermen.
  • Detectie van aanvallen en veranderingen via grouprights, inheret rights en de lokale beheerdersgroep.
  • Benutten en uitbreiden van SIEM security en technieken.
  • Alles over UEBA en UBA
  • Tien cruciale leerpunten om interne aanvallen te voorkomen
Het grootste deel van bedreigingen en aanvallen komen uit uw eigen organisatie

Download onze whitepaper en leer alles over interne bedreigingen en aanvallen!

Waar gaat de whitepaper 'Interne bedreigingen en aanvallen over?

Aanmeldingsaanvallen detecteren

Voordat u de aanval kunt detecteren, moet u de basis voor deze aanval begrijpen. Lees daarom alles over de beste werkwijze om uw accounts te beschermen tegen kwaadwillende hackers of medewerkers.

Bewaking van gebruikersaccounts zonder beheerdersmachtigingen voor mislukte aanmeldingen

Als u alle aanmeldingsfouten van gebruikersaccounts controleert en probeert een waarschuwing te ontvangen avoor een mislukte aanmelding, resulteert dit in te veel waarschuwingen die geen duidelijke indicatie van een aanval geven.

Veranderingen aan groepen in domeinen met rechten detecteren

Elke AD-installatie heeft dezelfde groepen met rechten die direct (OOB, Out Of the Box) worden geïnstalleerd. Zo weten aanvallers waar ze zich op moeten richten. Organisaties moeten echter verder kijken dan deze OOB-groepen met rechten om er zeker van te zijn dat ze alle groepen met rechten controleren die mogelijk zijn aangevallen.

Aanvallen op groepen in domeinen met rechten detecteren

  • Verkrijg een lijst van de leden van elke groep, tot op gebruikersniveau. 
  • Geef de lijst aan de groepseigenaar, zodat deze de juiste leden kan verifiëren. 
  • Werk de groep bij met de juiste leden.

Veranderingen detecteren in een lokale beheerdersgroep

  • Het lidmaatschap mag alleen domeinbeheerders en de lokale beheerdersaccount omvatten. 
  • Geen enkele gebruikersaccount, lokaal of domein, mag lid zijn van deze groep. 
  • In zeldzame gevallen, als een bedrijfstoepassing wordt gebruikt om computers te beheren, kan een service-account voor deze toepassing lid zijn van deze groep.

Benutten en uitbreiden van SIEM-technologieën

Nu de lokale beheerdersgroep beperkt is tot domeinbeheerders, andere service-accounts en de lokale beheerdersaccount (zie hoofdstuk 1), mag het lidmaatschap van deze groepen niet veranderen, tenzij een 'admin' de wijziging aanbrengt. Als een waarschuwing wordt geactiveerd bij het controleren van wijzigingen aan een lokale beheerdersgroep op een Windows-computer, wijst dit duidelijk op een aanval.

Welke SIEM-regels goed werken en waar ze kunnen mislukken

Denk hierbij bijvoorbeeld aan mislukte aanmeldingen door gebruikers binnen uw Active Directory-domein (AD). Stel dat u een evenement bijwoont en niet op kantoor bent. Tijdens het evenement ontvangt u een e-mail van uw SIEM-oplossing. Hierin wordt aangegeven dat uw gebruikersaccount een mislukte aanmeldingspoging heeft ondervonden via een computer op uw bedrijfsnetwerk. Deze aanmeldingsfout heeft slechts één mogelijke oorzaak: De realiteit is dat u wordt aangevallen.

Welke SIEM-drempelwaarden goed werken en wanneer kunnen ze mislukken

SIEM-oplossingen worden ook geleverd met drempelwaarden. Hiermee kunt u het systeem instellen om te zoeken naar een herhaalde gebeurtenis, die vervolgens een waarschuwing kan activeren. In veel gevallen betekent een enkele gebeurtenis in een typisch netwerk niet veel. Dezelfde gebeurtenis die in korte tijd meerdere keren wordt geactiveerd, kan echter duiden op een aanval.

Welke SIEM-regels goed werken en waar ze kunnen mislukken

Denk hierbij bijvoorbeeld aan mislukte aanmeldingen door gebruikers binnen uw Active Directory-domein (AD). Stel dat u een evenement bijwoont en niet op kantoor bent. Tijdens het evenement ontvangt u een e-mail van uw SIEM-oplossing. Hierin wordt aangegeven dat uw gebruikersaccount een mislukte aanmeldingspoging heeft ondervonden via een computer op uw bedrijfsnetwerk. Deze aanmeldingsfout heeft slechts één mogelijke oorzaak: De realiteit is dat u wordt aangevallen.

Lees de 4 belangrijkste drempelwaarden om aanvallen te detecteren en voorkomen in de whitepaper!

Waar kunt u UEBA/UBA voor gebruiken?

In onze whitepaper wordt uitgebreid ingegaan op de handige manieren waarmee UEBA en UBA te gebruiken zijn en hoe bepaalde waarden en acties kunnen helpen bij het detecteren van en anticiperen op interne aanvallen.