1. Agent policies aanmaken

Per OS (windows – MacOS) dat moest gemonitord worden, werd in Elastic fleet een agent policy gemaakt.

2. Integrations aan policies toevoegen

Aan deze policies zijn verschillende integrations toegevoegd. Deze integrations zorgen ervoor dat je bepaalde onderdelen kan loggen zoals windows event logs, netwerk packets, etc.

Aan beide policies voor zowel Windows als MacOS werden de “System”, “Network Packet Capture” en “Endpoint Security” integrations toegevoegd.

Aan de windows policy is er nog 1 extra integration toegevoegd, genaamd “Windows” om de windows event logs binnen te halen.

3. Integrations configureren

Vervolgens zijn alle integrations ingesteld zodat ze de nodige data capteren. De endpoint protection integration is ook ingesteld als een antivirus en zal actie ondernemen door dreigingen te detecteren en blokkeren.

4. Agents uitrollen op endpoints

Na het instellen van de agent policies werden de Elastic Agents uitgerold op de laptops van de werknemers van Formica. Eens de Elastic Agents geïnstalleerd waren, werd de data doorgestuurd naar Elastic Cloud en waren de laptops beschermd.

5. Rules aanzetten gebaseerd op MITRE ATT&CK

Elastic heeft op het moment van het schrijven van dit artikel 1051 voorgemaakte detection rules om je SIEM te ondersteunen. Om te bepalen welke rules er wel of niet interessant zijn, hebben we gebruik gemaakt van het MITRE ATT&CK framework. Hieruit hebben we bepaalde threat groups geïdentificeerd, die specifiek de technologiesector aanvallen en voor de aanvalstechnieken die deze groepen gebruiken en de detection rules aangezet. Op deze manier komen er alerts binnen als deze aanvalsmethodes voorkomen op de laptops.

6. Dashboards

Elastic Security bevat tal van out of the box dashboards, die een mooi beeld geven over je environment. Je vindt hier bijvoorbeeld Alerts die zijn afgegaan, het aantal logs die binnen komen en een overzicht van de laptops die beschermd worden.

Elastic Security in actie

Recent was er een kritieke melding over een endpoint dat een verdachte launch agent vertoonde – genaamd ‘ksinstall’.

1. eerste stappen

Na het opmerken van deze alert werden de details bekeken in een timeline. We filterden op het process “ksinstall” waarbij een overvloed aan informatie naar boven kwam over alle actie’s die ksinstall heeft ondernomen op de host.

Op het eerste zicht was niet duidelijk of dit nu al dan niet kwaadaardig was.

2. de Elastic AI assistant gebruiken

Om de situatie verder en sneller te onderzoeken hebben we besloten om gebruik te maken van de security AI assistant dat Elastic introduceerde in juni 2023. De AI assistant werkt achterliggend met het bekende gpt-4 van OpenAI. Om de AI assistant te kunnen gebruiken is volgende setup nodig:

1. OpenAI developer account

Om te starten heb je een OpenAI developer account nodig, zodat je een API key kan genereren om de connector in Elastic Cloud in te stellen.

2. Credit card opladen

Je moet 1 keer een top up doen via een credit kaart om credits of tokens op je account te zetten zodat je toegang krijgt tot het gpt-4 model. Je kan ook pas je API key genereren na de top up.

3. Elastic Cloud Configuratie

Eens je een API key bemachtigd hebt, kan je de AI assistant openen in Elastic Cloud waarbij deze je dan zal begeleiden in het opzetten van de connector.

4. Elastic AI assistentie

Vraag 1 – Alert Summary

Als eerste vraag hebben we 1 van de voorgemaakte Elastic prompts gebruikt een een samenvatting van de alert te geven en wat deze kan betekenen. Op die manier krijg je snel een duidelijk overzicht wat er aan de hand is.

Vraag 2 – Workflow Alert Investigation

Vervolgens hebben we om een stappenplan gevraagd om de alert te onderzoeken.

Via dit stappenplan krijg je ook KQL queries die je direct kan copy pasten in Elastic “discover” of kan toevoegen aan de timeline.

Wij hebben deze in “discover” gestoken, om vervolgens de fields ‘process.name’ en ‘process.args’ te tonen zodat we snel kunnen zien wat dit process deed met het systeem.

Hieruit kan je zien dat ksinstall een install wilde uitvoeren van het bestand Keystone.tbz. Dit bestand staat in een Google Chrome folder en ksinstall was een child process van Google Chrome.

Vraag 3 – Process arguments clarification

Om dit te verduidelijken is dit gevraagd aan de AI assistant wat Keystone.tbz is, en of dit normaal is voor Google Chrome om te doen.

Hieruit heb je snel een antwoord dat dit deel uitmaakt van het update process van chrome.

Vraag 4 – Malicious examples

Verder hebben we gevraagd om wat voorbeelden te geven van zaken die wel verdacht zijn en onderzoek nodig hebben

Tijdens het verder zoeken in de discover is geen enkel van deze 4 punten boven gekomen dus hebben we nog een laatste vraag gesteld aan de assistant om tot conclusies te komen.

Vraag 5 – Wrapping up

Dit was het antwoord die eruit komt en zo kunnen we concluderen dat deze alert een false positive is.

3. Resultaat

Met behulp van de AI assistant is deze alert snel behandelt. De totale kost van het gesprek met de AI assistant kwam op $0.32ct uit.

Elk Factory – Elastic Premier Partner

Elk Factory is dé Elastic partner om het Elastic Security platform te implementeren. We gaan telkens voor een win-win! We bekijken samen hoe dit platform jouw bedrijf efficiënter kan maken, zodat jij je voordeel haalt en wij er een tevreden klant bij hebben!

Maak kennis met ons, of contacteer ons vrijblijvend

Het bericht de workload van SecOps Verminderen met een AI ondersteunde cybersecurityoplossing. verscheen eerst op Elk Factory.

inleiding

Computers zijn niet weg te denken uit ons dagelijkse leven. Maar staan we wel stil bij de potentiële ingebouwde kwetsbaarheden? We drukken onze werknemers op het hart om voor hun paswoorden sterke credentials te kiezen, liefst met speciale karakters, hoofdletters en cijfers. Maar wat als er een aantal regels tekst of enkele commando’s zijn die deze credentials gewoon kunnen opvragen? Wat als deze commando’s ingebouwd zijn in Windows? Wat als deze vrij te bekomen zijn op het internet?

Dit hebben we uitgetest, met Elastic Security als verdediging om deze breach tegen te houden.

We starten eerst om gevoelige data te verzamelen en vervolgens deze data te verplaatsen om ze dan ten slotte te kraken.

Powershell

De eerste stap die we ondernemen is via Powershell. Je kan aan de hand van een paar powershell commando’s een minidump script maken. Dit script zorgt ervoor dat via lsass.exe (Local Security Authority Subsystem Service) credentials kunnen opgevraagd worden. Deze scripts zijn beschikbaar op het internet en zijn maar een paar google searches verwijdert van iedereen.

Zoals we zien heeft Elastic security dit reeds tegengehouden. Dankzij de notificatie onderaan het scherm weten we dat het aanmaken van de dumpfile voorkomen is. Laat ons daarom een andere manier proberen.

Mimikatz (Encryptie/decryptie)

Er zijn voldoende manieren om aan de hashes van een wachtwoord te komen, via credential access – om er respectievelijk een dump van te maken – kan je een hoop wachtwoord hashes bekomen. Deze hashes zijn geencrypteerde waarden die na decryptie als plain-tekst wachtwoorden overblijven.

Bv:

Hier zien we het mimikatz.exe commando “sekurlsa::logonpasswords”. Je ziet de NTLM en SHA1 Hashes, deze Hashes kunnen we decrypten met tools zoals Hashcat. Maar dit is niet nodig. Je kan ook Online deze hashes laten decrypten op verschillende publieke websites als je er zelf de technische kennis niet voor hebt.

Ook dit houdt Elastic Security tegen. Door dit te melden en te voorkomen van zodra dat mimikatz.exe gevonden wordt op een agent.

Registry Hive Dumping

Ook dit is een manier voor hackers om aan credential dumping te doen.

Systeembeheerders kunnen dit gebruiken om back-ups te maken.

Reg.exe is een hulpprogramma voor Windows waarmee gebruikers toegang hebben tot het Windows register. Hier kunnen ze deze dan uitlezen, aanpassen of verwijderen. Een hacker kan reg.exe ook gebruiken om gebruiksgegevens te dumpen aan de hand van volgende stappen:

1. Als gebruiker met lage privileges kan hij toegang tot het systeem krijgen
2. Hij kan een back-up maken van HKLM/SYSTEM
3. Vervolgens kan hij een back-up maken van het SAM(Security Account Manager)-Bestand (hier staan de wachtwoorden van lokale accounts in)
4. Vervolgens kunnen de bestanden gekopieerd worden naar een systeem waar hij meer privileges in heeft
5. Met behulp van programma’s als Mimikatz.exe of Hashcat.exe kan het SAM bestand gedecodeerd worden om zo de wachtwoorden in plain-tekst te verkrijgen.

Stap 1 is naar de juiste folder gaan. Dit doen we door naar de reg(van register) te gaan. Vervolgens trachten we een back-up te maken. Maar ook hier worden we al tegengehouden door Elastic Security. Ook dit pad loopt dood.

Zoals de screenshots aantonen heeft Elastic security dit met de melding: “Failed to run: Toegang geweigerd” tegengehouden.

Hashcat

De laatste stap zou de hashes omzetten naar plain-tekst. In dit voorbeeld hebben we de hash gebruikt in een programma genaamd Hashcat om dit te vertalen naar plain-tekst. We zien bij status: Cracked dat het succesvol is uitgevoerd. Bij Candidats.#1 zien we dan het wachtwoord terug in plain tekst. Zo simpel kan het zijn voor hackers om op onbeveiligde systemen data te verzamelen en deze te kraken.

Conclusie

Er zijn zeer veel build-in tools die een systeembeheerder kan gebruiken voor normale operaties, die ook gebruikt kunnen worden door hackers om gevoelige gegevens te bemachtigen. Een goede beveiliging is daarom noodzakelijk om zoveel mogelijk schade te voorkomen.
Heel veel van deze “wel known-tools” zitten in de default van Elastic Security waardoor we kunnen spreken over een ruime en moderne bescherming. Een goede sensibilisering is zeker belangrijk maar een ijzersterke end-game belangrijker. Veel van de uitgevoerde aanvallen kan geautomatiseerd worden met scripts die op de achtergrond kunnen draaien zonder dat de eindgebruiker dit opmerkt. Dit soort Malware is voor het blote oog onzichtbaar maar niet voor Elastic Security.

Het bericht Hacking test(s): gebruikersgegevens bemachtigen via bekende applicaties. verscheen eerst op Elk Factory.

Introductie

Ransomware

Ransomware is een populaire vorm van malware die gebruikt wordt door cybercriminelen om computers te versleutelen en onbruikbaar maken. waardoor gebruikers geen toegang meer hebben tot hun bestanden en systemen. De criminelen vragen dan losgeld om de computers terug te geven. Een voorbeeld hiervan is de WannaCry-aanval die in 2017 plaatsvond. Deze aanval trof honderdduizenden computers over de hele wereld en bracht miljoenen euro’s schade op aan bedrijven.

Elastic Security

Elastic Security is een belangrijke speler op het gebied van cybersecurity. Elastic Security geeft je de mogelijkheid te beschermen, te onderzoeken en te reageren op complexe bedreigingen door de kracht van SIEM, endpoint security en cloud security te combineren.

Simulatie

Scenario

Je krijgt als werknemer een phishing mail die meldt dat je van je bedrijf een nieuw antivirus moet downloaden eens je op de link klikt wordt er een WannaCry virus gedownload op je computer.

Opzetten van experiment

Om deze aanval te simuleren hebben we 2 virtual machines nodig. 1 voor de aanvaller (Kali) en 1 voor het slachtoffer (Windows). Als eerste starten we met het downloaden van een WannaCry ransomware sample van The Zoo (Een github repo met live malware samples) op het toestel van de aanvaller.

Aanvaller Kali

Start met het downloaden van het ransomware sample dit kan je vinden op TheZoo github repo. Voor dit experiment maken we gebruik van WannaCry.

Eens de zip gedownload is kan je de sample eruit halen met het wachtwoord infected. Hernoem het bestand naar Anti-Virus.exe. Hierna kunnen we het verplaatsen naar een Apache webserver om de delivery naar het slachtoffer te laten gebeuren.

Het verplaatsen kan via dit commando:

mv Anti-Virus.exe /var/www/html

Start de Apache webserver :

service apache2 start

Eens de webserver opgestart is kan je de sample downloaden op:

http://192.168.**.***/Anti-Virus.exe

Dit is dan de link die in de phishing mail zou staan. Schrijf hiervoor een mail naar je eigen email adres zodat deze kan geopend worden op de VM van het slachtoffer.

Elastic Defense

Zorg ervoor dat de host die getest wordt de Elastic Defend integratie heeft. Dit zal zorgen voor de bescherming verder moeten er geen specifieke rules aangezet worden.

Slachtoffer Windows

Om zeker te zijn dat we de capabilities van Elastic Defend aan het testen waren hebben we Windows Defender uitgeschakeld. Daarna werd de link in de mail geopend die het virus download. Elastic Defend verwijdert het bestand direct en de downloads folder is leeg. Zo heb je de kans niet om het uit te voeren.

Elastic Defend reactie

In Elastic Defend staan er 2 alerts dat er Malware voorkomen is. 1 voor de download en 1 voor het Anti-Virus.exe bestand.
Vanaf hier kan je ook een timeline en case maken van de alerts om ze verder te analyseren. Je kan bijvoorbeeld zien welke processen betrokken zijn bij de malware.

Conclusie

Ransomware aanvallen zijn een reële bedreiging voor bedrijven en overheden. Daarom is het belangrijk om beschermd te blijven. In deze blogpost toonden we hoe Elastic Security kan helpen bij het voorkomen van ransomware aanvallen.

Belangrijk om weten is dat naast Endpoint Security,  Elastic ook een volwaardige SIEM en Cloud Security oplossing biedt binnen hetzelfde platform om zo tot “XDR” (eXtended Detection & Response) te komen.
Daarnaast biedt Elastic ook een zeer krachtige Observability oplossing, wederom binnen ditzelfde platform.

Dit maakt Elastic de beste keuze om met dezelfde technologie verschillende use cases te realiseren op een zeer efficiënte manier.

Het bericht Ransomware: WannaCry aanval voorkomen met Elastic verscheen eerst op Elk Factory.

Wat we bij Elk Factory al een tijdje hadden verwacht, is eindelijk zover. Elastic krijgt erkenning voor z’n Elastic Security oplossing dankzij vooruitstrevende innovaties en snelle ontwikkeling van een strategisch sterke roadmap .

Elastic staat in de leiderspositie in de Forrester Wave voor Security Analytics Platforms vanaf het 4de kwartaal van 2022 en wordt onder meer erkend voor z’n ongeëvenaarde flexibiliteit en visualisatiemogelijkheden binnen een open oplossing. Het naadloos combineren van SIEM, cloud security en XDR binnen eenzelfde globaal platform maakt dat Elastic erbovenuit steekt en wapent cybersecurity teams om sneller en efficiënter op aanvallen en bedreigingen te reageren of ze te voorkomen.

Hiermee wordt wederom bevestigd dat Elastic Security bovenaan de lijstjes staat als platform dat een allesomvattend cybersecurity beleid kan ondersteunen in jouw bedrijf.

Heb je hier vragen over? Aarzel niet en contacteer ons, voor meer info of een demo.

Het bericht Elastic leider in Forrester Wave™: Security Analytics Platforms verscheen eerst op Elk Factory.

In deze test gebruiken we Elastic Security endpoint protection om te voorkomen dat de aanval wordt uitgevoerd en gebruiken we de tevens diagnostische hulpmiddelen om de oorzaak van de infectie te vinden. Het GitHub-project van John Hammond zullen we gebruiken om de infectie te simuleren op onze Windows 11 machine met Elastic endpoint bescherming. Dit GitHub-project stelt ons in staat om het geïnfecteerde Word-document te maken en via een aanvallende Kali Linux-machine te verzenden naar onze Windows 11 machine.

In de meeste gevallen worden dergelijke documenten via een bulk e-mail verspreid om ze snel en zonder enige moeite onder zoveel mogelijk mensen te verspreiden.

De computer infecteren

De eerste stap is om het geïnfecteerde Follina-document naar onze doelcomputer te downloaden.

Het bericht Zero-Day exploit Follina – Microsoft Office verscheen eerst op Elk Factory.

Verschillende Cybersecurity verbetertrajecten

Wil je de cyberveiligheid van je onderneming op een duurzame manier verbeteren of krijg je graag meer vat op de kwetsbaarheden van je bedrijf? Heb je nog geen strategie om de cyberveiligheid van je onderneming te verhogen? Dan is een cybersecurity verbetertraject iets voor jou! Wij zijn een onderdeel van Cronos en daarom een door VLAIO geselecteerde dienstverlener. We ondersteunen KMO’s en maatwerkbedrijven bij het duurzaam versterken van hun cyberveiligheid. Op basis van een grondige analyse werken we, pragmatisch een implementatietraject op maat uit waarbij wordt ingezet op noodzakelijke maatregelen om de cybersecurity maturiteit van jouw kmo te verhogen.

Tijdens een intakegesprek bepalen we of je bedrijf in aanmerking komt voor de dienstverlening die aangeboden wordt via het raamcontract. Indien dit het geval is zullen we in overeenstemming met de noden van je bedrijf een offerte maken in functie van de vooropgestelde dienstverlening. In deze fase worden naast de kostprijs en de betalingsmodaliteiten volgende zaken verduidelijkt:

1. welke de verschillende stappen van het traject zijn (deliverables)
2. wat het beoogde resultaat is
3. welke tools en methodieken zullen ingezet worden
4. welke de voorziene tijdsinzet is
5. wat er van jouw onderneming zelf verwacht wordt tijdens het traject

Na jouw goedkeuring van deze offerte en VLAIO kunnen we van start gaan met het cybersecurity traject.

Komt je onderneming niet in aanmerking voor deze dienstverlening? Geen nood, We helpen je graag naar meer geschikte advies- en begeleidingsinitiatieven.

Voor wie?

• Lightpakket: Voor kmo’s en maatwerkbedrijven die hun eerste stappen zetten op vlak van cyberveiligheid en/of kmo’s met een minder complexe IT/OT-omgeving.
• Standaardpakket: Voor kmo’s en maatwerkbedrijven met een business kritische hoeveelheid aan IT-architectuur, software of verbonden IoT-systemen.

Waarvoor?

Om advies en begeleiding in te kopen waarmee je de cyberveiligheid van jouw bedrijf versterkt. We werken samen met jou aan een grondige (technische) analyse, de opmaak van een actieplan en het oplossen van de prioritaire veiligheidsproblemen.

Welke financiële steun kan je krijgen?

De omvang van de begeleidingstrajecten wordt bepaald in functie van de geïdentificeerde noden van de onderneming. Na een intakegesprek zullen we een offerte opstellen. Een traject heeft een totale kostprijs tussen de € 15.000 en € 30.000 (exclusief btw).

“Kmo’s zien cybersecurity vaak als een kost. Maar ze kunnen het ook als een investering bekijken. Bovendien subsidieert de overheid verbeteringen op vlak van cybersecurity.”

Prijzen basispakket

• Lightversie: tussen € 15.000 en € 20.000 (exclusief btw) voor de lightversie van het basispakket
• Volledig basispakket: tussen de € 25.000 en € 30.000 (exclusief btw) voor het volledig basispakket.

VLAIO steun

VLAIO neemt maximaal 45% van de kostprijs (inclusief btw) voor zijn rekening en betaalt dit aandeel rechtstreeks uit aan ons uit. Het resterende bedrag dient door jouw bedrijf betaalt te worden.

Elk Factory

Elk Factory is partner van Bow Tie Security en onderdeel van de Cronos groep, waardoor we je steeds de juist oplossing kunnen aanbieden. Contacteer ons nu, en ontdek de voordelen.

Het bericht Subsidie voor de KMO tot liefst 45% om te investeren in de cybersecurity verscheen eerst op Elk Factory.

logs gebruiken voor Elastic security

Sitecore heeft een groter beeld getoond van hun use cases rond monitoring logs tijdens het gebruik van Elastic Security. Tijdens de demonstratie lieten ze zien dat – naast Elastic Security specifieke features – de gehele Elastic stack bijdraagt om je cyber security setup voor applicaties of toepassingen tot een hoger niveau te tillen.

We delen graag dit overzicht, waarom je Elastic moet gebruiken voor je security setup.

Lijst met voordelen die Elastic brengt tegenover andere security oplossingen.

1. Real-time alerting.
2. Snelle zoek resultaten dankzij Elasticsearch.
3. Geautomatiseerd issues uitdelen aan agenten of personeel.
4. ILM om data te splitsen in de ‘tiers’ hot/warm/cold/frozen zodat oudere logs nog steeds snel en kostenefficiënt gezocht kunnen worden.
5. Elastic watcher die je zal melden wanneer een log source stopt met werken. Door de doorvoer van logs te monitoren en een threshold aan te duiden zodat minder logs verwerkt moeten worden, zal Elastic watcher een alert sturen naar een admin, of een issue doorgeven aan de verantwoordelijke.
6. Elastic SIEM, niet enkel de vooraf gedefinieerde detectie regels kunnen gebruikt worden, maar ook complexere regels kunnen aangemaakt worden, op maat van hun specifieke use case.
7. Fleet maakt configuraties minder complex en tijds efficiënter.
8. Een extra voordeel is, dat een analyst het systeem niet constant moet monitoren, maar dat je gaat naar een systeem van geautomatiseerd en proactief monitoren waar een interventie van personeel tot een minimum beperkt kan worden tot slechts complexe of waardevollere activiteiten.

Synthetic _source

Tijdens de presentatie toonde Sitecore een demo hoe je synthetic _source kan gebruiken om de script size te verkleinen

“Instead of storing source documents on disk exactly as you send them, Elasticsearch can reconstruct source content on the fly upon retrieval. Enable this by setting mode: synthetic in _source: While this on-the-fly reconstruction is generally slower than saving the source documents verbatim and loading them at query time, it saves a lot of storage space.”

Voorlopig is deze functionaliteit enkel beschikbaar in ‘Technical Preview’ maar deze zal beschikbaar zijn in Elastic 8.5

Elastic meetups

De meetups van de Elastic community in België zijn altijd geweldig, ook deze waar we te gast waren bij Sitecore. Het is steeds een perfecte balans tussen vermaak en het informatieve.
De presentatie van Sitecore demonstreerde in real-life applicaties de interconnectiviteit en veelzijdigheid van de Elastic stack.

Na de presentatie, kregen we als community het privilege, om een preview the zien van Elastic’s nieuwste versie 8.5! Deze versie verbetert de synthetic source feature die was geïntroduceerd in 8.4.

We zagen in de huidige versie reeds het grote potentieel van dit feature, door de reductie van opslagruimte. In Elastic 8.5, zal dit feature meer data types ondersteunen, met mogelijke ondersteuning van nog exta data types in toekomstige versies.

Een vernieuwende feature dat je echt in het oog moet houden!

Het is altijd reikhalzend uitkijken naar een volgende meetup, om te netwerken en om geinspireerd te geraken, over wat onze collega’s doen met Elastic, alsook welke vernieuwingen Elastic ons zal tonen.

Vanzelfsprekend helpen de pizza’s ook om er een geslaagde avond van te maken

Het bericht Elastic Meetup – Elastic security use case verscheen eerst op Elk Factory.