Lesson 10 - Overview.pptx
Summary
# Cyberdreigingsinlichtingen (CTI) levenscyclus en analysekaders
Dit onderwerp behandelt de zes fasen van de CTI-levenscyclus, van richting tot feedback, en introduceert kernanalysekaders zoals het Diamond Model, de Cyber Kill Chain en MITRE ATT&CK.
## 1. De CTI-levenscyclus
De CTI-levenscyclus is een continu proces dat cyberdreigingsinformatie operationaliseert en bestaat uit de volgende zes fasen:
### 1.1 Richting (Direction)
* **Doel:** Het definiëren van doelen en inlichtingenvereisten (PIR's - Priority Intelligence Requirements) op basis van de behoeften van stakeholders. Dit kan variëren van strategische zorgen op C-level tot tactische behoeften van een Security Operations Center (SOC).
* **Methoden:** Frameworks zoals het Diamond Model en MITRE ATT&CK worden gebruikt om kennisgaten te identificeren.
### 1.2 Collectie (Collection)
* **Doel:** Het verzamelen van ruwe data uit diverse bronnen.
* **Bronnen:**
* HUMINT (Human Intelligence)
* OSINT (Open-Source Intelligence)
* SIGINT (Signals Intelligence)
* TECHINT (Technical Intelligence uit logs en netwerkdata)
### 1.3 Verwerking (Processing)
* **Doel:** Het transformeren van ruwe data naar een bruikbaar formaat.
* **Technieken:** Normalisatie, verrijking, deduplicatie en correlatie van data.
### 1.4 Analyse (Analysis)
* **Doel:** Het mensgeleide proces van het omzetten van informatie naar bruikbare inlichtingen. Deze fase richt zich op het toepassen van gestructureerde technieken om tot beoordelingen te komen.
* **Diepe duik: Analyse van concurrerende hypothesen (Analysis of Competing Hypotheses - ACH):**
* Een methode met zeven stappen om meerdere hypothesen te evalueren tegenover beschikbare bewijzen.
* Dwingt analisten om hun eigen aannames uit te dagen.
> **Tip:** Het is cruciaal om analytische valkuilen te herkennen en te mitigeren, zoals bevestigingsbias, ankerbias en survivorship bias, door gestructureerde methoden zoals ACH toe te passen.
### 1.5 Disseminatie (Dissemination)
* **Doel:** Het effectief delen van de verkregen inlichtingen met de juiste stakeholders.
* **Aspecten:** Dit omvat ook het effectief delen van informatie met collega-organisaties, waarbij protocollen zoals Chatham House Rules, het Traffic Light Protocol (TLP) en het Permissible Actions Protocol (PAP) worden gebruikt.
### 1.6 Feedback
* **Doel:** Het incorporeren van feedback op de gedeelde inlichtingen om de kwaliteit en relevantie van toekomstige inlichtingen te verbeteren.
## 2. Kernanalysekaders
CTI-analisten maken gebruik van diverse modellen en kaders om dreigingen te begrijpen, te analyseren en erop te reageren.
### 2.1 Het Diamond Model van Intrusion Analysis
* **Doel:** Een framework voor het beschrijven van elke indringingsgebeurtenis aan de hand van vier kernpunten (vertices).
* **Vertices:**
* **Adversary (Vijand/Aanvaller):** Motivatie, intentie van de aanvaller.
* **Infrastructure (Infrastructuur):** De technische middelen gebruikt door de aanvaller.
* **Capability (Capabiliteit):** De gebruikte tactieken, technieken en procedures (TTP's) van de aanvaller.
* **Victim (Slachtoffer):** De doelwitten en hun kwetsbaarheden.
* **Assen:** Het model houdt ook rekening met de sociaal-politieke en technische assen van een gebeurtenis.
* **Sociaal-politieke as:** Motivatie, intentie, precisiedoelwitten.
* **Technische as:** TTP's, communicatiemethoden.
> **Example:** Het Diamond Model helpt om de relatie tussen een specifieke dreigingsactor, hun gebruikte tools, de infrastructuur die ze opzetten en de bedrijven die ze targeten, te visualiseren.
### 2.2 De Cyber Kill Chain
* **Doel:** Een zevenstapsmodel dat de typische levenscyclus van een cyberinbraak schetst.
* **Fasen:**
1. **Reconnaissance (Verkenning):** De aanvaller verzamelt informatie over het doelwit.
2. **Weaponization (Bewapening):** De aanvaller creëert een exploit en een payload (bijvoorbeeld een malafide e-mail met een bijlage).
3. **Delivery (Levering):** De aanvaller stuurt de bewapende payload naar het doelwit.
4. **Exploitation (Exploitatie):** De payload wordt uitgevoerd en de kwetsbaarheid wordt uitgebuit.
5. **Installation (Installatie):** De aanvaller installeert malware of een backdoor op het systeem van het doelwit.
6. **Command & Control (C2):** De aanvaller vestigt communicatie met de geïnstalleerde malware om deze te besturen.
7. **Actions on Objectives (Acties op Doelstellingen):** De aanvaller voert zijn uiteindelijke doel uit (bijvoorbeeld data diefstal, systeemverstoring).
> **Tip:** Door de Cyber Kill Chain te begrijpen, kunnen verdedigers effectievere detectie- en preventiestrategieën ontwikkelen door te focussen op het verstoren van de aanvaller in elke fase.
### 2.3 MITRE ATT&CK Framework
* **Doel:** Een wereldwijd toegankelijke kennisbank van tactieken en technieken van aanvallers, gebaseerd op real-world observaties.
* **Structuur:**
* **Tactics (Tactieken):** De 'waarom' - de tactische doelen van de aanvaller (bijvoorbeeld 'Command and Control').
* **Techniques (Technieken):** De 'hoe' - de specifieke methoden die worden gebruikt om een doel te bereiken (bijvoorbeeld 'Encrypted Channel').
* **Sub-techniques:** Meer gedetailleerde beschrijvingen van een techniek.
* **Procedures:** De specifieke, real-world implementaties door dreigingsgroepen met behulp van bepaalde software.
* **Praktische Toepassingen:**
* **Threat Intelligence:** Het in kaart brengen van TTP's van dreigingsactoren om hun modus operandi te begrijpen.
* **Detection Engineering:** Het identificeren van verdedigingslacunes en het prioriteren van regelcreatie.
* **Red & Blue Teaming:** Het simuleren van real-world gedrag van aanvallers.
> **Example:** Het MITRE ATT&CK framework stelt een organisatie in staat om te bepalen welke technieken van een bekende dreigingsgroep (bijvoorbeeld APT29) ze het meest waarschijnlijk zullen tegenkomen, en vervolgens detectieregels te ontwikkelen om deze specifieke technieken te detecteren.
### 2.4 De Pyramid of Pain
* **Doel:** Een strategisch model dat de toenemende 'pijn' illustreert die een aanvaller wordt toegebracht door het detecteren van verschillende soorten indicatoren.
* **Niveaus van 'Pijn' (van triviaal tot uitdagend):**
1. **Hash Values (Hasjwaarden):** Eenvoudige, atomische indicatoren. Gemakkelijk te omzeilen door kleine wijzigingen.
2. **IP Addresses (IP-adressen):** Eenvoudige indicatoren.
3. **Domain Names (Domeinnamen):** Annoyance voor de aanvaller.
4. **Network/Host Artifacts (Netwerk/Host Artifacts):** Patronen of afdrukken die een systeem of netwerkactiviteit achterlaat.
5. **TTPs (Tactics, Techniques, and Procedures):** Gedragspatronen en methoden van de aanvaller. Dit is het meest effectieve niveau om op te focussen voor langdurige weerstand, omdat het omzeilen van TTP's complexer is.
> **Tip:** Het focussen op het detecteren van TTP's in plaats van op enkelvoudige indicatoren (zoals IP's of hashes) biedt een meer veerkrachtige verdediging tegen aanvallers die hun tactieken voortdurend aanpassen.
### 2.5 Analyse van concurrerende hypothesen (ACH)
* Zie sectie 1.4 voor een gedetailleerde uitleg. ACH is een cruciale analysemethode om analytische bias te bestrijden en de nauwkeurigheid van conclusies te verhogen.
## 3. Hulpmiddelen voor CTI-analyse
Naast de analysekaders zijn er diverse tools die CTI-analisten gebruiken:
### 3.1 MISP (Malware Information Sharing Platform & Threat Sharing)
* **Functie:** Een open-source tool voor het verzamelen, analyseren en distribueren van CTI.
* **Kern datamodel:**
* **Events:** Containers voor specifieke dreigingscontexten (bijvoorbeeld een hele campagne).
* **Objects:** Gestructureerde sjablonen voor gerelateerde attributen (bijvoorbeeld een `file` object met meerdere hashes).
* **Attributes:** Individuele, atomaire indicators of compromise (IOC's) zoals IP-adressen, domeinen, hashes.
* **Samenwerking en Kwaliteitscontrole:**
* **Distributieniveaus:** Begrijpen hoe informatie wordt gedeeld (bijvoorbeeld 'alleen deze community', 'alle communities').
* **Warning Lists:** Gebruiken om veelvoorkomende false positives te filteren (bijvoorbeeld openbare DNS-resolvers).
* **Context en Verrijking:**
* **Galaxies:** Koppelen van events aan kennisbases zoals dreigingsactoren, malwarefamilies en MITRE ATT&CK TTP's.
* **Taxonomies:** Toepassen van gestandaardiseerde tags voor consistente classificatie (bijvoorbeeld `tlp:amber`).
* **Admiralty Scale:** Een formeel systeem voor het beoordelen van bronbetrouwbaarheid (A-F) en informatiegeloofwaardigheid (1-6).
### 3.2 OSINT & Analyse Platforms
* **Infrastructure & Attack Surface Analysis:** URLscan, Censys, Shodan, VirusTotal, Passive DNS.
* **Malware Analysis Sandboxes:** Tria.ge voor dynamische analyse.
* **Threat Data Repositories:** Abuse.ch platforms (ThreatFox, URLhaus, MalwareBazaar) en Ransomware.live.
* **Domain & Certificate Analysis:** DNSTwister voor typosquatting, crt.sh voor historische certificaatgegevens, CertStream voor realtime monitoring.
### 3.3 CyberChef
* **Functie:** Een "Zwitsers zakmes" voor data-manipulatie, waaronder decoderen, coderen, extraheren en parsen van data.
### 3.4 Pattern Matching (YARA)
* **Functie:** Een krachtig hulpmiddel voor het identificeren van bestanden op basis van tekst- of binaire patronen ("grep on steroids").
* **Regelstructuur:** Bevat `meta` (auteur, datum, beschrijving), `strings` (patronen om te zoeken) en `condition` (logische expressies om de detectie te bepalen).
> **Example:** Een YARA-regel kan specifiek ontworpen zijn om malwarevarianten te detecteren op basis van unieke mutex-namen, PDB-paden of specifieke strings in de binaire code.
---
# Essentiële CTI-tools en platforms voor analyse
Dit onderwerp verkent de praktische hulpmiddelen en platforms die CTI-analisten gebruiken om effectief dreigingsinformatie te verzamelen, analyseren en distribueren.
### 2.1 CTI-platforms voor dreigingsdeling: MISP
De Malware Information Sharing Platform & Threat Sharing (MISP) is een open-source tool die essentieel is voor het verzamelen, analyseren en distribueren van Cyber Threat Intelligence (CTI).
#### 2.1.1 Kerncomponenten van MISP
MISP is opgebouwd rond een gestructureerd datamodel:
* **Events**: Deze fungeren als containers voor specifieke dreigingscontexten, zoals een complete aanvalscampagne.
* **Objects**: Gestructureerde templates die gerelateerde attributen bevatten. Voorbeelden zijn een `file`-object met verschillende hashes, of een `vulnerability`-object.
* **Attributes**: Individuele, atomische indicatoren van compromittering (IoC's), zoals IP-adressen, domeinen of hashes.
#### 2.1.2 Samenwerking en kwaliteitscontrole in MISP
MISP faciliteert samenwerking en waarborgt de kwaliteit van gedeelde informatie via:
* **Distributieniveaus**: Bepalen wie de informatie kan zien en gebruiken, variërend van "alleen deze community" tot "alle communities".
* **Warning Lists**: Deze lijsten helpen bij het filteren van veelvoorkomende false positives, zoals publieke DNS-resolvers.
#### 2.1.3 Context en verrijking van data in MISP
MISP biedt mechanismen om data te verrijken en context te bieden:
* **Galaxies**: Koppel events aan hoogwaardige kennisbanken, zoals dreigingsactoren, malwarefamilies en MITRE ATT&CK tactieken, technieken en procedures (TTP's).
* **Taxonomies**: Gebruik gestandaardiseerde tags voor consistente classificatie, bijvoorbeeld `tlp:amber` of `kill-chain:C2`.
* **Admiralty Scale**: Een formeel systeem voor het beoordelen van de betrouwbaarheid van bronnen (A-F) en de geloofwaardigheid van informatie (1-6):
* A: Volledig betrouwbaar, 1: Bevestigd door andere bronnen
* B: Meestal betrouwbaar, 2: Waarschijnlijk waar
* C: Redelijk betrouwbaar, 3: Mogelijk waar
* D: Niet gewoonlijk betrouwbaar, 4: Twijfelachtig
* E: Onbetrouwbaar, 5: Onwaarschijnlijk
* F: Betrouwbaarheid kan niet worden beoordeeld, 6: Waarheid kan niet worden beoordeeld
> **Tip:** Het effectief gebruiken van MISP vereist een goed begrip van de datastructuur, distributieniveaus en de mogelijkheid om externe kennisbanken te integreren voor een rijkere context.
### 2.2 Patronenherkenning: YARA
YARA wordt vaak omschreven als "grep on steroids" en is een krachtig hulpmiddel voor het identificeren van bestanden op basis van tekstuele of binaire patronen. Het is cruciaal voor het jagen op malware.
#### 2.2.1 Structuur van YARA-regels
Een YARA-regel is typisch opgebouwd uit drie secties:
* **meta**: Bevat metadata over de regel, zoals de auteur, datum en een beschrijving.
* **strings**: Definieert de patronen (tekst of hexadecimaal) waarnaar gezocht moet worden.
* **condition**: Specificeert de logische voorwaarden waaronder een regel wordt geactiveerd. Dit kan variëren van het vinden van alle gedefinieerde strings tot het vinden van een bepaald aantal van de strings.
#### 2.2.2 Best practices voor YARA-regels
Effectieve YARA-regels volgen specifieke best practices:
* **Regelnaamgeving**: Gebruik conventies die duidelijkheid bieden, bijvoorbeeld door de malwarefamilie of een uniek kenmerk te benoemen.
* **Stringselectie**: Kies strings die uniek zijn voor de te detecteren malware. Denk hierbij aan unieke mutexen, PDB-paden, of specifieke API-aanroepen.
> **Voorbeeld:**
> ```yara
> rule best_party
> meta:
> author = "sandro manzo"
> date = "2822-83-11"
> description = "Essential party ingredients"
> strings:
> $string1 = "Friends"
> $string2 = "Fastly"
> $string3 = "Hustc"
> $string4 = "Drinks"
> condition:
> // ($string1 or $string2) and ($string3 or $string4)
> /* 3 of them */
> 4 of ($string4) /* dit zou niet werken, moet 3 zijn voor "4 of them" te activeren */
> ```
> In dit voorbeeld zou de regel geactiveerd worden als er minimaal 4 van de gedefinieerde strings ($string1 tot en met $string4) aanwezig zijn. De commentaren tonen alternatieve conditionele logica.
### 2.3 Essentiële OSINT- en analysepraktijken
Een breed scala aan tools en platforms ondersteunt CTI-analisten bij diverse taken, van infrastructuuranalyse tot data-manipulatie.
#### 2.3.1 Infrastructuur- en aanvalsoppervlakteanalyse
Tools zoals URLscan, Censys, Shodan, VirusTotal en Passive DNS zijn van onschatbare waarde voor het identificeren en analyseren van kwaadaardige infrastructuur en het in kaart brengen van aanvalsoppervlakken.
#### 2.3.2 Malwareanalyse
Sandboxes zoals Tria.ge bieden mogelijkheden voor dynamische analyse, waardoor het gedrag van malware in een gecontroleerde omgeving kan worden bestudeerd.
#### 2.3.3 Repositories voor dreigingsdata
Platforms zoals Abuse.ch (met ThreatFox, URLhaus, MalwareBazaar) en Ransomware.live centrale verzamelingen van informatie over malware en ransomware.
#### 2.3.4 Domein- en certificaatanalyse
* **DNSTwister**: Helpt bij het identificeren van typosquatting-domeinen, waarbij aanvallers domeinnamen creëren die sterk lijken op legitieme domeinen.
* **crt.sh**: Levert historische certificaatgegevens, nuttig voor het traceren van infrastructuur en het identificeren van verdachte certificaatuitgiften.
* **CertStream**: Biedt realtime monitoring van nieuwe certificaten, wat kan helpen bij het detecteren van verdachte activiteiten zodra deze plaatsvinden.
#### 2.3.5 De "Zwitsers zakmes" voor data-analyse: CyberChef
CyberChef is een webgebaseerde, krachtige tool die functioneert als een "culinaire machine" voor data. Het biedt een breed scala aan operaties voor data-manipulatie, waaronder:
* **Decoding en encoding**: Transformatie van dataformaten (bijvoorbeeld Base64, Hex).
* **Extractie**: Het selecteren van specifieke delen uit grotere datasets.
* **Parsing**: Het structureren van ruwe data in een begrijpelijker formaat.
> **Tip:** Het integreren van deze diverse tools in een workflow maakt het mogelijk om vanuit een enkele indicator van compromittering een uitgebreid, open-source onderzoek uit te voeren.
### 2.4 Geavanceerde netwerk- en certificaatfingerprinting
Naast basisindicatoren, bieden geavanceerde fingerprinting-technieken diepere inzichten in infrastructuur en aanwezige diensten.
#### 2.4.1 JA4S: TLS Server Response Fingerprinting
JA4S (Transport Layer Security Server Response Fingerprinting) analyseert specifieke kenmerken van een TLS-serverrespons om deze te classificeren. De componenten omvatten:
* **TLS-versie**: De gebruikte TLS-versie (bijvoorbeeld 1.2, 1.3).
* **Aantal extensies**: Het aantal extensies in de TLS-handshake (exclusief waarden).
* **Protocol**: Het gebruikte protocol (bijvoorbeeld TCP, QUIC).
* **ALPN Chosen**: De Application-Layer Protocol Negotiation (ALPN) string die is gekozen, of `00` indien geen ALPN is onderhandeld.
* **Cipher Suite Chosen**: De geselecteerde cipher suite.
* **Hash van extensies**: Een gehasht representatie van de extensies in de volgorde waarin ze verschijnen.
De output is een string die deze kenmerken samenvat, bijvoorbeeld `$t120400_c030_4e8089b08790$`.
#### 2.4.2 JA4X: X.509 Certificate Fingerprinting
JA4X (X.509 Certificate Fingerprinting) focust op de structuur en inhoud van een X.509-certificaat om een unieke "vingerafdruk" te creëren. De analyse omvat:
* **Protocol**: Het gebruikte protocol.
* **Hash van Issuer RDNs**: Een gehasht representatie van de Relative Distinguished Names (RDNs) in de issuer-naam, in volgorde.
* **Hash van Subject RDNs**: Een gehasht representatie van de RDNs in de subject-naam, in volgorde.
* **Hash van Extensions**: Een gehasht representatie van de extensies in het certificaat, in volgorde.
De output is ook een samenvattende string, bijvoorbeeld `$96a6439c8f5c_96a6439c8f5c_aae71e8db6d7$`.
> **Voorbeeld:** JA4S en JA4X hashes kunnen worden gebruikt om geavanceerde Censys-queries uit te voeren. Dit stelt analisten in staat om nieuwe kwaadaardige domeinen te ontdekken die gerelateerd zijn aan een specifieke campagnestijl, zelfs als de IP-adressen of domeinnamen zelf nieuw zijn.
### 2.5 CTI-tools voor onderzoek en analyse
Naast MISP en YARA, omvat de toolkit van een CTI-analist een breed scala aan platforms voor verschillende doeleinden.
#### 2.5.1 Infrastructuur- en attack surface hunting
* **URLscan**: Analyseert HTTP-transacties en identificeert unieke artefacten.
* **Censys**: Een zoekmachine voor geïnventariseerd internet, nuttig voor het mappen van onderliggende IP-infrastructuren en het identificeren van gedeelde kenmerken.
* **Shodan**: Vergelijkbaar met Censys, focust op het indexeren van apparaten die verbonden zijn met het internet.
* **VirusTotal**: Biedt een platform voor het analyseren van bestanden en URL's, met resultaten van meerdere beveiligingsscanners.
* **Passive DNS**: Geeft een historisch overzicht van DNS-recordresoluties.
#### 2.5.2 Malware analyse sandboxes
* **Tria.ge**: Een platform voor dynamische malware-analyse.
#### 2.5.3 Threat Data Repositories
* **Abuse.ch platforms**:
* **ThreatFox**: Een database van malware-indicatoren.
* **URLhaus**: Een project dat kwaadaardige URL's verzamelt.
* **MalwareBazaar**: Een repository van malware-samples.
* **Ransomware.live**: Biedt informatie over actieve ransomware-groepen en hun slachtoffers.
#### 2.5.4 Domein- en certificaatanalyse
* **DNSTwister**: Detecteert typosquatting-domeinen.
* **crt.sh**: Zoekt naar SSL/TLS-certificaten.
* **CertStream**: Biedt realtime updates over nieuwe certificaten.
#### 2.5.5 OSINT en data-manipulatie
* **CyberChef**: De "culinaire machine" voor data-manipulatie, waaronder decoding, encoding, extractie en parsing.
> **Voorbeeld:** Een typische open-source onderzoeksworkflow kan beginnen met een enkele Indicator of Compromise (IoC) zoals een domeinnaam. Door dit in te voeren in tools zoals URLscan, kunnen analisten HTTP-transacties en unieke artefacten identificeren. Vervolgens kunnen ze pivoteren op artefacten zoals resource-hashes en bestandsnamen om gerelateerde kwaadaardige websites te vinden. Tools zoals Censys kunnen vervolgens worden gebruikt om de onderliggende IP-infrastructuur te mappen en gedeelde kenmerken te ontdekken, wat leidt tot een dieper begrip van de aanval.
---
# Kwetsbaarheden, Advanced Persistent Threats (APT's) en verspreiding
Dit onderwerp behandelt de kritieke rol van kwetsbaarheidsintelligentie, prioriteringsmethoden, en biedt diepgaande profielen van staatsgesteunde actoren (APT's) inclusief hun tactieken, technieken en procedures (TTP's).
## 3. Kwetsbaarheden, geavanceerde persistente dreigingen (APT's) en verspreiding
### 3.1 Kwetsbaarheidsintelligentie en prioritering
Effectieve kwetsbaarheidsintelligentie is cruciaal voor het begrijpen en mitigeren van risico's. Dit omvat het identificeren van kwetsbaarheden, het beoordelen van hun potentiële impact en het prioriteren van de aanpak.
#### 3.1.1 Prioriteringsframeworks voor kwetsbaarheden
Diverse frameworks helpen bij het prioriteren van kwetsbaarheden, gebaseerd op verschillende factoren. Deze frameworks bieden een gestructureerde manier om te bepalen welke kwetsbaarheden de meeste aandacht vereisen.
* **CVSS (Common Vulnerability Scoring System):** Een open standaard voor het beoordelen van de ernst van computerbeveiligingskwetsbaarheden. Het berekent een score op basis van kenmerken zoals de aanvalsvector, complexiteit, benodigde privileges, gebruikersinteractie, impact op vertrouwelijkheid, integriteit en beschikbaarheid.
* **EPSS (Exploit Prediction Scoring System):** Dit systeem probeert de waarschijnlijkheid te voorspellen dat een kwetsbaarheid binnen de komende 72 uur actief zal worden uitgebuit. Het is ontworpen om te helpen bij het prioriteren van patches door zich te richten op kwetsbaarheden die waarschijnlijk in het wild worden misbruikt.
* **CISA KEV (Known Exploited Vulnerabilities Catalog):** De Cybersecurity and Infrastructure Security Agency (CISA) onderhoudt een lijst van kwetsbaarheden waarvan bekend is dat ze actief worden uitgebuit. Organisaties worden aangemoedigd om kwetsbaarheden op deze lijst met prioriteit aan te pakken.
* **SSVC (Stakeholder-Specific Vulnerability Categorization):** Een framework dat wordt gebruikt om kwetsbaarheden te categoriseren op basis van de specifieke behoeften en context van verschillende stakeholders. Het helpt bij het nemen van beslissingen over hoe om te gaan met kwetsbaarheden.
#### 3.1.2 Verrijking van CVE's met CTI-context
Het is van essentieel belang om Common Vulnerabilities and Exposures (CVE's) te verrijken met Cyber Threat Intelligence (CTI)-context. Dit betekent dat men verder kijkt dan alleen de technische beschrijving van een kwetsbaarheid en informatie toevoegt over:
* Wie de kwetsbaarheid misbruikt (APT-groepen, criminele organisaties).
* Hoe de kwetsbaarheid wordt misbruikt (specifieke TTP's, malware).
* Wat het doelwit is (specifieke sectoren, organisaties).
* De waarschijnlijkheid van misbruik in de huidige dreigingsomgeving.
Deze context helpt analisten om te focussen op de kwetsbaarheden die het meest relevant zijn voor hun organisatie, in plaats van te proberen alles te patchen.
### 3.2 Geavanceerde Persistente Dreigingen (APT's)
Geavanceerde Persistente Dreigingen (APT's) zijn geavanceerde, langdurige en doelgerichte cyberaanvallen, vaak uitgevoerd door staatsgesteunde actoren of georganiseerde groepen met aanzienlijke middelen. Hun doel is meestal spionage, sabotage of diefstal van gevoelige informatie over een langere periode, waarbij ze proberen onopgemerkt te blijven.
#### 3.2.1 Profielen van staatsgesteunde actoren
De documentatie vermeldt specifieke staatsgesteunde actoren en hun oorsprong, met nadruk op hun link met overheidsinstanties of groeperingen:
* **Rusland:**
* **APT29 (Cozy Bear / Nobelium):** Vaak geassocieerd met de Russische Foreign Intelligence Service (SVR). Bekend om het richten op overheden, diplomatieke missies en organisaties die betrokken zijn bij politieke of strategische belangen.
* **APT28 (Fancy Bear / Pawn Storm / Strontium):** Vaak geassocieerd met de Russische Main Intelligence Directorate (GRU). Bekend om hacktivisme, desinformatiecampagnes en het richten op politieke organisaties, militaire instellingen en denktanks.
* **Sandworm:** Een groepering die wordt geassocieerd met de GRU, bekend om destructieve aanvallen op kritieke infrastructuur en politieke doelen.
* **Dragonfly (ook bekend als Energetic Bear of Crouching Dragon):** Een groep die wordt geassocieerd met Russische staatsbelangen, gericht op de energiesector.
* **China:**
* **APT's geassocieerd met China:** De documentatie suggereert dat Chinese staatsgesteunde groepen (vaak benoemd door vendors) zich richten op spionage, intellectuele eigendomsdiefstal en het verzamelen van strategische informatie.
* **Noord-Korea:**
* **Chollima:** Een door Noord-Korea gesteunde groepering die wordt geassocieerd met financiële cybercriminaliteit en spionageactiviteiten.
* **Andere Noord-Koreaanse actoren:** De documentatie vermeldt 'DPRK' (Democratic People's Republic of Korea) als oorsprong voor bepaalde groepen.
* **Iran:**
* **Kitten:** Een Iraanse groepering die wordt geassocieerd met spionage en het richten op organisaties in het Midden-Oosten en daarbuiten.
* **Andere Iraanse actoren:** De documentatie vermeldt 'Iran' als oorsprong voor bepaalde groepen.
* **Verenigde Staten:**
* De documentatie vermeldt 'US' als oorsprong voor bepaalde groeperingen, wat kan verwijzen naar staatsgesteunde actoren die zich richten op nationale veiligheidsbelangen of cyberoperaties.
#### 3.2.2 Tactieken, Technieken en Procedures (TTP's)
APT's maken gebruik van geavanceerde en vaak aangepaste TTP's om hun doelen te bereiken en detectie te vermijden. Het begrijpen van deze TTP's is essentieel voor defensieve maatregelen en threat hunting. De TTP's worden vaak in kaart gebracht met frameworks zoals MITRE ATT&CK. Enkele algemene fasen en technieken die door APT's worden gebruikt, omvatten:
* **Initiële Toegang:** Phishing, spear-phishing, uitbuiting van zero-day kwetsbaarheden, supply chain aanvallen.
* **Verkenning (Reconnaissance):** Het verzamelen van informatie over het doelwit, netwerkstructuur, systemen en gebruikers.
* **Wapenisering (Weaponization):** Het creëren van malware, exploitkits of kwaadaardige documenten.
* **Levering (Delivery):** Het distribueren van de wapenisering, vaak via e-mail of geïnfecteerde websites.
* **Uitbuiting (Exploitation):** Het misbruiken van kwetsbaarheden om toegang te krijgen tot systemen.
* **Installatie (Installation):** Het installeren van malware of backdoors om persistentie te verkrijgen.
* **Command & Control (C2):** Het opzetten van communicatiekanalen om het gecompromitteerde systeem op afstand te besturen.
* **Acties op Doelstellingen (Actions on Objectives):** Het uitvoeren van de uiteindelijke doelen, zoals gegevensdiefstal, sabotage of verstoring.
* **Persistentie:** Technieken om ervoor te zorgen dat toegang behouden blijft, zelfs na herstarts van systemen of detectiepogingen (bijv. het aanpassen van registerinstellingen, het creëren van scheduled tasks).
* **Gegevensdiefstal (Data Exfiltration):** Het heimelijk overdragen van verzamelde gegevens van het doelwitnetwerk naar een locatie die onder controle staat van de aanvaller.
* **Ontwijking van Detectie:** Technieken zoals het aanpassen van bestandsnamen, het versleutelen van communicatie, het gebruik van legitieme tools (Living-off-the-Land), het uitschakelen van beveiligingssoftware.
#### 3.2.3 Naamgevingsconventies voor actoren
Verschillende beveiligingsonderzoekers en bedrijven gebruiken hun eigen naamgevingsconventies voor het identificeren van APT-groepen. Dit kan leiden tot verwarring, aangezien dezelfde groep onder verschillende namen bekend kan zijn bij verschillende vendors. Voorbeelden van deze vendors zijn Microsoft, CrowdStrike en Mandiant, die elk hun eigen schema's hanteren voor het benoemen van actoren. Het is belangrijk om deze verschillende namen te kunnen koppelen aan dezelfde dreigingsgroep om een volledig beeld te krijgen van hun activiteiten.
> **Tip:** Het bijhouden van een interne lijst met aliasnamen van bekende APT's en de bijbehorende vendors kan helpen bij het effectief interpreteren van threat intelligence rapporten.
### 3.3 Verspreiding van dreigingen
De verspreiding van dreigingen verwijst naar hoe kwaadaardige software, aanvallen of informatie zich verspreiden binnen een netwerk of over netwerken heen. Dit kan op verschillende manieren gebeuren, variërend van geautomatiseerde wormen tot handmatige infiltratie door APT-groepen.
#### 3.3.1 Tactieken voor verspreiding
* **Wormen en zelfreplicerende malware:** Programma's die zich automatisch verspreiden naar andere systemen via netwerkkwetsbaarheden of gedeelde mappen.
* **Gecompromitteerde supply chains:** Wanneer een legitiem softwareproduct wordt geïnfecteerd met malware voordat het bij de eindgebruiker terechtkomt.
* **Interne laterale beweging (Lateral Movement):** Technieken die APT's gebruiken om zich vanuit een initiëel gecompromitteerd systeem verder binnen het netwerk te verspreiden, bijvoorbeeld door het stelen van inloggegevens of het misbruiken van netwerkprotocollen.
* **Fysieke toegang:** In zeldzame gevallen kan fysieke toegang tot systemen worden gebruikt voor de verspreiding.
Het begrijpen van de verspreidingstactieken van bedreigingen is cruciaal voor het ontwerpen van effectieve beveiligingscontroles die de impact van een inbreuk kunnen beperken en de verspreiding kunnen stoppen.
---
# Modelleren van de tegenstander en dreigingslandschap
Hieronder volgt een gedetailleerd overzicht van het onderwerp "Modelleren van de tegenstander en dreigingslandschap", ontworpen als een studiehandleiding voor examens.
## 4. Modelleren van de tegenstander en dreigingslandschap
Dit onderwerp verkent modellen zoals de Cyber Kill Chain en de Pyramid of Pain om de tactieken van tegenstanders te begrijpen en hoe dreigingen zich ontwikkelen in een dynamische en complexe cyberomgeving.
### 4.1 Het Diamond Model van Intrusieanalyse
Het Diamond Model is een raamwerk voor het beschrijven van elke intrusiegebeurtenis op basis van zijn vier kernhoeken: de Tegenstander (Adversary), Infrastructuur (Infrastructure), Mogelijkheden (Capability) en Slachtoffer (Victim). Daarnaast houdt het rekening met de sociaal-politieke en technische assen van de gebeurtenis.
* **Tegenstander (Adversary):** Beschrijft de persoon of groep achter de aanval, inclusief hun motieven en intenties.
* **Infrastructuur (Infrastructure):** Omvat de middelen die door de tegenstander worden gebruikt, zoals servers, domeinen en netwerkapparatuur.
* **Mogelijkheden (Capability):** Verwijst naar de tools, technieken en procedures (TTPs) die de tegenstander bezit en inzet, inclusief de precisie en controle die zij uitoefenen.
* **Slachtoffer (Victim):** Geeft aan wie of wat het doelwit is, met de nadruk op de specifieke targeting en de kwetsbaarheden die worden uitgebuit.
Deze elementen worden geplaatst binnen twee assen:
* **Sociaal-politieke as:** Houdt rekening met de bredere politieke, economische en sociale context die de aanval kan beïnvloeden.
* **Technische as:** Richt zich op de specifieke technische aspecten van de aanval, zoals de gebruikte protocollen, versleuteling en communicatiemethoden.
> **Tip:** Het Diamond Model helpt bij het structureren van informatie over een specifieke aanval en biedt een kader om de relatie tussen de verschillende componenten te begrijpen.
### 4.2 De Cyber Kill Chain
De Cyber Kill Chain is een zevenfasenmodel dat de typische levenscyclus van een cyberinbreuk beschrijft. Het model helpt bij het identificeren van de stappen die een tegenstander neemt om een doel te bereiken en biedt aanknopingspunten voor detectie en verdediging.
1. **Reconnaissance (Verkenning):** De tegenstander verzamelt informatie over het doelwit, zoals IP-adressen, netwerkstructuren en kwetsbaarheden.
2. **Weaponization (Bewapening):** De tegenstander combineert een exploit met een backdoor tot een wapen, bijvoorbeeld een gemodificeerd document of uitvoerbaar bestand.
3. **Delivery (Levering):** Het wapen wordt naar het doelwit gestuurd via verschillende methoden, zoals e-mail, verwijderbare media of een kwetsbare webserver.
4. **Exploitation (Exploitatie):** De kwetsbaarheid wordt uitgebuit om code uit te voeren op het systeem van het slachtoffer.
5. **Installation (Installatie):** De tegenstander installeert een backdoor of ander malware op het systeem om blijvende toegang te verkrijgen.
6. **Command & Control (C2):** De geïnstalleerde malware maakt verbinding met een externe server om commando's te ontvangen en gegevens te exfiltreren.
7. **Actions on Objectives (Acties op Doelstellingen):** De tegenstander voert de uiteindelijke doelen uit, zoals gegevensdiefstal, sabotage of het uitvoeren van verdere aanvallen.
> **Voorbeeld:** Een aanvaller die zich richt op een bedrijf, kan eerst openbare informatie verzamelen over hun netwerk (verkenning), vervolgens een gecompromitteerd document maken met een exploit (bewapening), dit versturen via een phishing-e-mail (levering), het document openen waardoor de exploit wordt geactiveerd (exploitatie), een backdoor installeren (installatie), deze verbinden met hun C2-server (C2) en vervolgens gevoelige financiële gegevens stelen (acties op doelstellingen).
### 4.3 De Pyramid of Pain
De Pyramid of Pain is een strategisch model dat de toenemende 'pijn' illustreert die wordt veroorzaakt bij een tegenstander door het detecteren van verschillende soorten indicatoren. Het richten op TTPs (Tactics, Techniques, en Procedures) bovenaan de piramide is effectiever dan het blokkeren van wegwerpbare hashes en IP-adressen onderaan.
* **Hash Values (Hasjwaarden):** Eenvoudige, atomaire indicatoren die relatief makkelijk te omzeilen zijn door kleine wijzigingen in de malware.
* **IP Addresses (IP-adressen):** Enkele datapunten die ook gemakkelijk kunnen veranderen of worden vervangen door proxy's.
* **Domain Names (Domeinnamen):** Iets complexer dan IP-adressen, maar nog steeds relatief eenvoudig te omzeilen door nieuwe domeinen te registreren.
* **Network/Host Artifacts (Netwerk/Host Artefacten):** Meer specifieke patronen die worden achtergelaten op het netwerk of host, zoals configuratiebestanden, register sleutels, of specifieke netwerkverkeer patronen. Deze zijn vervelender voor een tegenstander.
* **Behavioral (Gedragsindicatoren):** Een reeks of patroon van acties (TTPs). Dit vereist het begrijpen van de modus operandi van de tegenstander en is uitdagend voor hen om te veranderen zonder hun hele strategie aan te passen.
* **TTPs (Tactics, Techniques, and Procedures):** De meest effectieve indicatoren om op te richten, omdat het de algemene strategie en werkwijze van de tegenstander blootlegt. Het detecteren en blokkeren van TTPs veroorzaakt de meeste "pijn" voor een tegenstander, omdat het hen dwingt hun fundamentele aanpak te herzien.
**Typen Indicatoren van Compromis (IOCs):**
* **Atomic:** Simpele, enkele datapunten (IPs, hashes).
* **Computed:** Afgeleide patronen (regex, fuzzy hashes).
* **Behavioral:** Een sequentie of patroon van acties (TTPs).
> **Tip:** Concentreer uw detectie-inspanningen op gedragsindicatoren en TTPs voor een duurzamere en effectievere verdediging tegen tegenstanders.
### 4.4 Fuzzy Hashing
Fuzzy hashing, zoals ssdeep en TLSH, is een techniek die wordt gebruikt om vergelijkbare bestanden te identificeren, zelfs na kleine wijzigingen. Dit stelt analisten in staat om malwarevarianten te vinden die zijn aangepast om traditionele hash-signaturen te ontwijken. Het genereert een "fuzzy hash" die niet exact overeenkomt, maar wel een hoge mate van gelijkenis aangeeft. Dit is een vorm van "computed" IOC.
### 4.5 Modellen in het Dreigingslandschap
Het begrijpen van de modellen zoals de Cyber Kill Chain en de Pyramid of Pain is cruciaal voor het modelleren van de tegenstander. Ze bieden gestructureerde manieren om:
* **De tactieken van tegenstanders te ontleden:** Door de fasen van de Cyber Kill Chain te analyseren, kunnen verdedigers de intenties en acties van aanvallers voorspellen.
* **De effectiviteit van verdedigingsmaatregelen te beoordelen:** De Pyramid of Pain helpt bij het prioriteren van detectie- en preventiemethoden door te focussen op indicatoren die de meeste "pijn" veroorzaken voor de tegenstander.
* **Een dynamisch dreigingslandschap te navigeren:** Deze modellen bieden een raamwerk om de voortdurend veranderende tactieken, technieken en procedures van bedreigingsactoren te begrijpen en hierop te anticiperen.
Door deze modellen te combineren met real-world data, kunnen CTI-analisten een dieper inzicht krijgen in de motieven, capaciteiten en methoden van tegenstanders, wat leidt tot effectievere beveiligingsstrategieën.
---
## Veelgemaakte fouten om te vermijden
- Bestudeer alle onderwerpen grondig voor examens
- Let op formules en belangrijke definities
- Oefen met de voorbeelden in elke sectie
- Memoriseer niet zonder de onderliggende concepten te begrijpen
Glossary
| Term | Definition |
|------|------------|
| Cyberdreigingsinlichtingen (CTI) | Het verzamelen, verwerken en analyseren van informatie over cyberdreigingen om bedreigingen voor organisaties te begrijpen, te voorspellen en te bestrijden. |
| CTI-levenscyclus | Een continu proces dat bestaat uit zes fasen: richting, verzameling, verwerking, analyse, verspreiding en feedback, om dreigingsinlichtingen te operationaliseren. |
| Diamond Model | Een analysekader dat de interactie tussen de tegenstander, infrastructuur, capaciteiten en het slachtoffer gebruikt om een inbreukgebeurtenis te beschrijven. |
| Cyber Kill Chain | Een zevenfasenmodel dat de typische levenscyclus van een cyberinbraak schetst, van verkenning tot acties op doelstellingen. |
| MITRE ATT&CK | Een wereldwijd toegankelijke kennisbank van tegenstandertactieken en -technieken, gebaseerd op echte observaties van cyberaanvallen. |
| Pyramid of Pain | Een strategisch model dat de toenemende "pijn" illustreert die aan een tegenstander wordt toegebracht door verschillende soorten indicatoren te detecteren, waarbij TTP's bovenaan het meest effectief zijn. |
| MISP (Malware Information Sharing Platform) | Een open-source tool voor het verzamelen, analyseren en distribueren van CTI, met een kerngegevensmodel bestaande uit gebeurtenissen, objecten en attributen. |
| YARA | Een hulpmiddel voor patroonherkenning dat wordt gebruikt om bestanden te identificeren op basis van tekst- of binaire patronen, vaak aangeduid als "grep on steroids". |
| Kwetsbaarheidsintelligentie | Inlichtingen die gericht zijn op het begrijpen en prioriteren van kwetsbaarheden in systemen en software, vaak met behulp van frameworks zoals CVSS en EPSS. |
| CVSS (Common Vulnerability Scoring System) | Een open industriestandaard voor het beoordelen van de ernst van beveiligingskwetsbaarheden. |
| EPSS (Exploit Prediction Scoring System) | Een systeem dat een waarschijnlijkheidsscore toekent aan het waargenomen actieve misbruik van een specifieke kwetsbaarheid. |
| KEV (Known Exploited Vulnerabilities) | Een catalogus van kwetsbaarheden waarvan bekend is dat ze actief worden misbruikt, onderhouden door CISA. |
| JA4+ & JARM | Geavanceerde technieken voor netwerkvingerafdrukken die worden gebruikt om infrastructuur te identificeren op basis van TLS-serverreacties en X.509-certificaatkenmerken. |
| OSINT (Open-Source Intelligence) | Informatie die is verzameld uit openbaar beschikbare bronnen, zoals websites, sociale media en publieke databases. |
| CyberChef | Een webgebaseerde tool die dient als een 'Zwitsers zakmes' voor gegevensmanipulatie, inclusief decoderen, coderen, extraheren en parsen. |
| Advanced Persistent Threats (APTs) | Langdurige en gerichte cyberaanvallen, vaak uitgevoerd door staatsgesteunde groeperingen, met als doel het stelen van gevoelige informatie of het verstoren van operaties. |
| TTP's (Tactics, Techniques, and Procedures) | De methoden die tegenstanders gebruiken om hun doelen te bereiken, inclusief hun tactieken, specifieke technieken en de procedures die ze volgen. |
| Analyse van Concurrerende Hypothesen (ACH) | Een gestructureerde methode om meerdere hypothesen te evalueren tegenover beschikbaar bewijs, om analytische vooroordelen te verminderen en de nauwkeurigheid van beoordelingen te verbeteren. |
| Data | Ruwe, onbewerkte feiten en cijfers die nog geen specifieke context of betekenis hebben. |
| Informatie | Gegevens die zijn georganiseerd en verwerkt om een zekere mate van context en betekenis te hebben. |
| Intelligentie | Informatie die is geanalyseerd en geïnterpreteerd om bruikbaar te zijn voor besluitvorming, in dit geval met betrekking tot cyberdreigingen. |
| CIA Triad | De drie kernprincipes van informatiebeveiliging: Vertrouwelijkheid, Integriteit en Beschikbaarheid. |
| Risico | De kans dat een bedreiging gebruik maakt van een kwetsbaarheid en schade toebrengt aan een organisatie, vaak uitgedrukt als 'risico = waarschijnlijkheid x impact'. |