Wat te doen wanneer een melding verschijnt die er normaal uitziet, maar toch een beetje blijft knagen? Wanneer alle tools zeggen dat er niets aan de hand is, maar iets het idee geeft dat dit niet zomaar een routine alert is? Jean-Marc, securityspecialist bij Cyberlab, gaat er altijd van uit dat technologie slechts de helft van het verhaal vertelt.
In dat soort momenten begint het echte werk pas. En precies zo startte een recente casus bij een klant, waarin een klein signaal uiteindelijk leidde tot de ontdekking van goksoftware. Die diep in een zakelijke laptop was beland. En: daar absoluut niet thuishoorde.
Zoals Jean-Marc het later verwoordt: “Ik kreeg een vrij onschuldig onderzoek naar me toegeworpen dat vaak een false positive is, maar de titel van het pad triggerde me direct om verder te kijken.” Een detectie en een twijfelachtige bestandsnaam leidde tot software die zich gedroeg alsof het meer wilde dan alleen vermaak bieden.
Wanneer een onschuldige melding net iets té veel vragen oproept
Bij een klant kwam een melding binnen via Rapid7: afwijkend gedrag van een executable. Niet iets om direct van te schrikken. Het ging namelijk om een soort codering die vaker tot false positives leidt. “Ik pakte het logboek erbij om meer details te zien. Maar vaak is dit type melding gewoon onschuldig,” vertelt Jean-Marc.
Toen viel hem iets op: de bestandsnaam en het pad. “De titel van het pad trok mijn aandacht. Het deed vermoeden dat het ging om goksoftware. Dat hoort niet op een zakelijke laptop: laat staan op het account van een administrator.” Want dat was het geval.
De software leek op het eerste gezicht legitiem. Het was geen malware verpakt in een spel: de antivirus sloeg niet aan en in VirusTotal werd alles als schoon gemeld. “Als ik enkel op de securitytools zou vertrouwen, had ik niet gedaan. Maar ik voelde: dit klopt niet. Het is niet per se extreem kwaadaardig, maar het hoort hier niet thuis. Hier moet ik iets mee.”
De commandline als startpunt van een dieper onderzoek
Om te achterhalen wat er precies speelde, zette Jean-Marc de gevonden commandline over naar SentinelOne. Een commandline is simpel gezegd de regel tekst waarmee een programma wordt gestart: alsof je ziet welke knop iemand heeft ingedrukt, maar dan in woorden. Die ene regel laat precies zien wat er is gestart en hoe.
“Die commandline heb ik in SentinelOne gezet. En die kan de hele storyline, de boom van processen ervoor en erna, helemaal in kaart brengen. Je ziet precies: vanaf dit moment is dit gebeurd, en daarna dat. En: je kunt als je wil alles weer terugdraaien alsof het nooit gebeurd is.”
Het gokspel had zich diep genesteld in de laptop
Toen de volledige procesboom zichtbaar werd, bleek al snel dat dit geen eenvoudig spelletje was dat verder niets doet. Het programma veranderde systeeminstellingen, schreef in de registry en voegde variabelen en scripts toe. In normale taal: het ging veel dieper het systeem in dan een doorsnee game ooit zou moeten doen.
“De storyline liet precies zien wanneer de software gestart was en welke configuratiewijzigingen erna volgden,” legt Jean-Marc uit. Dat gedrag is niet direct kwaadaardig, maar het is wél een teken dat er iets gebeurt wat je niet op een zakelijke laptop wilt zien. “In dit geval was het vooral dat het programma ontzettend veel systeemconfiguratiewijzigingen deed. Dan moet je je afvragen of dat wel wenselijk is op een zakelijke laptop.”
Dat gold extra zwaar omdat dit gebeurde op een administratoraccount: het soort account waar je juist géén onvoorspelbare software wilt. “Een zakelijke laptop moet voorspelbaar en controleerbaar blijven. Als software zich zo diep in het systeem nestelt, verlies je grip op wat er draait. Zeker bij een adminaccount is dat heel onwenselijk.”
Waarom zulke software gevaarlijk is: zelfs als het ‘legitiem’ lijkt
Hier mist vaak de nuance waar Jean-Marc op wijst. Een game of gokprogramma op een zakelijke laptop is niet alleen ongewenst omdat het niet zakelijk is: het vormt een keten van risico’s die tools niet automatisch herkennen.
Zoals hij het zelf zegt: “Het hoeft geen malware te zijn om een risico te vormen.”:
- Privacyrisico’s: “Games en gratis software verzamelen vaak gegevens. Je hebt geen grip op wat ze verzamelen, of waar het heen gaat. Zeker bij gratis software zie je vaak dat data een betaalmiddel is.”
- Kwetsbaarheden door gebrek aan updates: “Stel je zet een verouderde game op een laptop; die heeft vaak door gebrek aan updates kwetsbaarheden. Dat wordt een ingang voor daadwerkelijke aanvallen.”
- Onbekende of buitenlandse leveranciers: “Stel het is een Chinese of Russische vendor: dan zijn we hier in Europa natuurlijk ook meer huiverig. Het gaat er in die zin om dat je eigenlijk software op je machines installeert die je goedkeurt als bedrijf.”
- Verlies van controle: “Als software zo diep in het systeem schrijft (registry keys, scripts, variabelen) dan weet je gewoon niet meer wat er allemaal draait. Dat is een risico op zichzelf.”
Volgens Jean-Marc zit het gevaar dus in het onverwachte gedrag. “Het zijn geen keiharde bewijzen. Maar indicatoren. En indicatoren moet je onderzoeken.”
“Dit is waar het menselijk oog het verschil maakt”
Daar komt de menselijke factor naar boven. Jean-Marc zei het tijdens ons gesprek heel helder: “Indicatoren zijn geen bewijzen. Maar je ziet soms dingen waarvan je denkt: dit moet ik gewoon even checken.”
En dat is niet omdat een tool iets verkeerd doet: integendeel. Rapid7 en SentinelOne deden precies wat ze moesten doen. Een persoon kijkt gewoon net iets verder. Omdat die kan bepalen: ik ga toch even de klant bellen. Even dubbelchecken. Even vragen waarom dit hier staat.
Dat is precies wat Jean-Marc deed. Hij belde de klant en legde uit: “We zien dit gedrag. De antivirus heeft niet ingegrepen, maar ik wil overleggen of dit thuishoort op een zakelijke laptop, want dat vraag ik me af.” En daarmee begon een kettingreactie die liet zien dat veiligheid niet zwart-wit is, maar bestaat uit grijstinten die alleen zichtbaar zijn wanneer iemand bewust kijkt.
Wanneer een ‘onschuldig spel’ toch teruggedraaid moet
Omdat het programma zich zo diep genesteld had, overlegde Jean-Marc met de verantwoordelijke van de klant. “Ik zei: ik vermoed dat dit niet thuishoort op jullie zakelijke laptops. Willen jullie dat ik dit met terugwerkende kracht als threat markeer, zodat SentinelOne alles terugdraait?” De klant stemde in.
“Dus heb ik iets wat officieel geen threat is, toch als threat gemarkeerd. En die gebruiker kon verder en de computer was gewoon schoon.” Het systeem werd teruggezet alsof het programma nooit bestaan had. Alle wijzigingen, registry keys, scripts, systeemvariabelen verdwenen.
Je kunt alles meten, maar niet alles begrijpen
Jean-Marc vat het mooi samen: “Indicatoren zijn geen bewijzen. Tools kunnen veel, maar ze herkennen niet wat cultureel, zakelijk of moreel ongepast is. Dat doet een mens. Daarom is een SOC-dienst met echte analisten zoveel krachtiger dan alleen technologie.”
Waar tools piekfijn meten wat er gebeurt, kijkt een mens naar waarom dat gebeurt. En: of het wenselijk is. En juist die combinatie houdt organisaties veilig.
Daarnaast blijft het belangrijk een streng beleid te voeren rondom third-party apps. Door zorgvuldig te bepalen welke apps toegang krijgen, hoe ze worden beheerd en welke data ze mogen gebruiken, blijft de organisatie niet alleen technisch beschermd. Maar ook in controle over haar eigen informatie.
Menselijk inzicht, heldere processen en gecontroleerde technologie.
