Mobile Endpoint Detection & Response

Een moderne mobiele Endpoint Detectie en Response (EDR) oplossing is veelal ontwikkeld om geautomatiseerde Incident Response (IR) toe te kunnen passen. Hierdoor wordt het incident response proces enorm versneld en kunnen de interne IT belanghebbenden in het bezit komen van geavanceerde cyber security expertise en incident response functionaliteit zonder dat hiervoor een Incident Response specialist van een derde partij hoeft te worden ingeschakeld.

De oplossingen in dit vakgebied bieden een breed scala aan mogelijkheden en onder andere de volgende voordelen:

• Detectie van aanvallen variërend van scriptkiddies tot aan advanced persistent threats;
• Reduceren van de digitale forensics- en incident response tijden van meer dan een half jaar
• tot minuten per apparaat;
• Naadloze en effectieve geavanceerde digital forensics en incident response onderzoeken;
• Mogelijkheid om te schalen en duizenden apparaten te kunnen ondersteunen – bewezen implementaties met 10.000+ apparaten in één netwerk.

Samengevat ontstaat een oplossing die helpt om de fouten van aanvallers te detecteren, om de exploits en vasthoudende mechanismes die door aanvallers worden geplaatst te neutraliseren en hiermee de kosten van een aanvalscampagne significant te verhogen.

Een agentless mobiele endpoint detection en response oplossing vereist minder implementatie inspanningen en automatiseert het proces van digitale forensics en incident response, zonder dat er een ‘jailbreak’ nodig is. Het doel blijft nog steeds om op grote schaal geavanceerde near real-time digitale forensics te kunnen leveren voor zowel Android- als iOS apparatuur.

Door deze oplossingen in te zetten kunnen Security Operation Centre (SOC), Incident Response-, en IT teams crash en dump loginformatie verkrijgen waarmee het operating systeem en crashes van applicaties op het mobiele apparaat automatisch kunnen worden geanalyseerd. Deze controle op integriteit van het systeem wordt tevens gecombineerd met diepgaande analyse van de apparatuur.

Met deze unieke mogelijkheden in het kunnen herkennen van geavanceerde cyber security dreigingen die gericht zijn op mobiele apparatuur kan het digitale forensics proces van maanden naar minute worden teruggebracht.

Het ophalen van crash log- en device log informatie van zowel iOS als Android devices kan op meerdere manieren plaatsvinden:

• Een computer met software die automatisch log informatie verzamelt (geen UI);
• Een computer met software die automatisch log informatie verzamelt (met UI);
• Een kiosk op specifiek aangewezen plekken (directie omgeving, SOC, CERT, etc.);
• Draagbare IOT collector die aan SOC, CERT en directie wordt geboden.

Er zijn 3 deployment opties mogelijk, te weten:

• Cloud gebaseerde implementatie (voorkeur);
• Private (Customer) cloud gebaseerde implementatie – de vendor heeft geen inzicht in de informatie / labels / namen van apparaten. De geanonimiseerde analyse wordt uitgevoerd binnen de infrastructuur van de vendor;
• On-premises off-line / air gapped netwerken – volledige implementatie wordt verzorgd in combinatie met off-line ondersteuning voor air gapped netwerken.

SOC en incident response use cases en voorbeeld scenario’s:

• Advanced Persistent Threat (APT) detectie en mobile threat hunting – leg APT’s bloot door eerdere exploit pogingen, lateral movement en malware; mobiele threat hunting functionaliteit die niet in andere platforms beschikbaar is;
• Pre- en post travel inspectie voor mobiele apparaten voor bijvoorbeeld directie/management en VIPs die toegang hebben tot gevoelige data;
• Instant Risk & compromise assessments – schaalbaar en on-demand regelmatige analyse door middel van de collectie van device log informatie door tussenkomst van PC/Mac (met of zonder UI);
• SOC analisten – Stel SOC analisten in staat om geavanceerd inzicht voor digitale forensics en incident response doeleinden te verkrijgen;
• Automatiseer de incident Response processen – near real-time verfijnde geautomatiseerde analyse van apparaten voorafgegaan aan een verdachte situatie op een apparaat of een security incident;
• Automatische oplossing – geautomatiseerde reparatie van gecompromitteerde apparaten door deze in een speciale groep te plaatsen in mobile device management (MDM).
• Organisatiebrede desinfectie – verwijder de dreigingsactoren van alle geïnfecteerde apparaten in de organisatie; detecteer cyber spionage campagnes.

Digitale forensics en incident response (DFIR) oplossingen voor mobiele apparaten worden vaak vergeleken met mobile threat defense (MTD), Enterprise Mobile Management (EMM) en Lawful Interception forensics oplossingen.

Vergeleken met MTD en MDM bieden mobile forensics oplossingen, in near real-time, geavanceerde digitale forensics en incident response functionaliteit waardoor tot op Tier-3 niveau analyse kan worden uitgevoerd op iOS en Android apparatuur. Mobile Forensics oplossingen stellen analisten en onderzoekers in staat om root cause analyse (RCA) te kunnen uitvoeren gevolgd door een naadloze organisatie-brede desinfectie zonder dat uitgebreide DFIR expertise benodigd is.

iSOC24 heeft de mobiele forensics en incident response oplossing van ZecOps in haar portfolio. ZecOps is de enige MTD oplossing die de mogelijkheid biedt om de log informatie op mobiele apparatuur, zonder gebruik van een agent, te extraheren, analyseren en aan te leveren om deze te kunnen onderzoeken op aanwezige exploits of tekens van verdachte activiteit.

Wilt u meer weten over de mobiele forensics en incident response oplossing en hoe deze het beste kan worden ingezet in uw organisatie, neem dan contact op met één van onze specialisten.