Het WatchEagle Detection & Response platform is gebaseerd op een zogenaamd agentframework. Dit is een uniek concept waarbij diverse functionaliteiten benodigd voor het uitvoeren van security monitoring opgesplitst kunnen worden in unieke taken die door agents worden uitgevoerd. Deze agents werken op hun beurt weer samen en vormen op deze manier een bepaalde functie. Het agentframework is in wezen een real time, gedistribueerde gegevensverwerkingsomgeving, waarin onafhankelijke agents samenwerken om complexe problemen stukje bij beetje op te lossen.
Als basis voor het detecteren van cyberincidenten haalt SBL haar inspiratie uit het zogenaamde Mitre Attack Framework. In het Mitre Attack Framework worden cyberaanvallen opgesplitst in 10 stappen, vanaf het verkennen van het aanvalsoppervlak, het initieel binnenkomen tot en met uiteindelijk het doel bereiken (stelen van data of activeren ransomware).
Er wordt elke stap uitgelegd hoe de aanval precies verloopt en welke technieken worden toegepast. Op basis van deze technieken worden aanbevelingen gedaan hoe men zich tegen dergelijke aanvallen kan beschermen en hoe men een dergelijke aanval zou kunnen detecteren. Doordat het Mitre Attack Framework deze stappen en technieken zo gedetailleerd beschrijft, hebben we vanuit SBL deze aanvalspatronen gemodelleerd op ons agentframework. Op het moment dat een vergelijkbare aanval plaatsvindt zoals beschreven in het Mitre Attack Framework, zijn wij in staat om deze aanval te detecteren in de datastromen die wij binnenkrijgen van de verschillende logbronnen. Op dit moment hebben we de meeste netwerkgerelateerde patronen in het framework zitten.
WatchEagle staat los van de overige ingezette securityproducten. Feitelijk kan WatchEagle door haar flexibele concept naadloos met de andere oplossingen samenwerken.
Aangezien het agentframework van WatchEagle is gebaseerd op Java (OpenJDK), kan het framework feitelijk op ieder type systeem draaien. In de praktijk wordt WatchEagle op dit moment ingezet voor het monitoren van het netwerkverkeer. Er zijn echter ook use cases waarbij er een container met agents op een server of werkplek draait en die op basis van een aantal flags kan detecteren of er een ransomware aanval wordt uitgevoerd.
Ondervind dit tijdens een vrijblijvend advies.
Advies aanvragen
In diverse gesprekken met bestaande klanten en relaties kwam naar voren dat er bij het verzamelen van data uit verschillende bronnen om diepgaande analyses te kunnen uitvoeren om dreigingen op te sporen, veel uitdagingen leven. Hoe vind je de speld in de hooiberg? Wat is een effectieve manier om te zoeken naar patronen die duiden op iets ongewoons?
In onze diepgaande Cybersecurity assessments passen we al het Mitre Attack Framework toe om het aanvalspad van een aanvaller te duiden en op basis van het aanvalspad te analyseren in hoeverre onze klant weerbaar is tegen een dergelijk aanvalspatroon. In het Mitre Attack Framework staan namelijk enerzijds de mogelijkheden om tegen een bepaald aanvalspatroon te beschermen en anderzijds hoe men een dergelijk patroon kan detecteren. Dit laatste is enorm zinvol gebleken bij het uitvoeren van diepgaande dreigingsanalyses in grote hoeveelheden data (threathunting).
Het agent-framework waarop het Mitre Attack Framework is gebaseerd, is uitermate geschikt om de diversiteit aan patronen te analyseren. In het framework zijn de agents namelijk taakgericht en door nu een patroon op te splitsen in diverse taken, kan op deze wijze de samenwerking tussen de agents worden geconfigureerd en kunnen ze hun werk doen om de patronen te herkennen. Met WatchEagle zijn we in staat om dit nagenoeg realtime te doen op basis van de data die WatchEagle te verwerken krijgt. Maar WatchEagle kan ook historische data analyseren om te zien of een bepaald patroon al eerder is voorgekomen.
Kortom: door de adoptie van het Mitre Attack Framework zijn we met WatchEagle steeds meer in staat de bekende speld in de hooiberg te vinden. Inmiddels hebben we de volgende patronen in WatchEagle doorgevoerd en geautomatiseerd: