Quadrant Crunching Cyber voorbeeld

Written by Manu Steens in Risicomanagement 
Quadrant Crunching Cyber voorbeeld
Recent legde ik me meer toe op het verschijnsel BIAS en het ondersteunen van beslissing nemers om hun beslissingen zo min mogelijk BIAS te laten ondergaan. Ik geef hier een Quadrant Crunching Cyber voorbeeld om aan te tonen dat dit zaken zijn die de BCM manager en de Risico Manager (samen) kunnen leveren. Het voorbeeld dient enkel als academische illustratie, niet als een grondig uitgewerkte analyse van een logistieke organisatie.In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.

Author: Manu Steens

Ik gaf onlangs een eerste introductie in Structured Analytic Techniques for Intelligence Analysis, die kunnen gebruikt worden bij risicoanalyse oefeningen en crisisoefeningen bij het nemen van beslissingen.

Een vraag die ik kreeg was: ‘Kan dit ook gebruikt worden in BCM?’. Het antwoord was ‘Ja’. En belofte maakt schuld uiteraard. Het idee was dat Quadrant Crunching bruikbaar is om zwakke plekken van een organisatie op te sporen ten aanzien van een bedreiging.

Ik geef hier als voorbeeld een logistieke instelling met als bedreiging cyber risico’s.

Inhoud

Wat doet de analysetechniek ‘Quadrant Crunching’

Quadrant Crunching helpt de analist om verrassingen te voorkomen door het systematisch onderzoeken van de uitgebreidheid aan mogelijke combinaties van geselecteerde key variables. Die Key Variables zijn ‘parameters’ waaruit een hypothese van een crisis kan bestaan. Hoe uitgebreider het aantal zinvolle combinaties, hoe uitgebreider het aantal mogelijke types crises is.

Op deze manier verbreedt Quadrant Crunching enorm de kijk op mogelijke kwetsbaarheden, en voorkomt het zaken als tunnelvisie, group thinking, recency bias enz. …

Wanneer gebruik je Quadrant Crunching

Je gebruikt het in zeer complexe en hoog ambigue situaties met weinig data voorhanden en met veel kans op verrassingen.

Je kan Classic Quadrant Crunching hierbij gebruiken om veel mogelijkheden te genereren en systematisch de gemaakte aannamen te challengen.

Hoe verloopt de analyseprocedure: De Methode

  • Het vertrekpunt is een goed gedefinieerde ‘lead hypothesis’. Dit is een zin die een crisis beschrijft met de essentiële componenten erin vermeld. Dat zijn de antwoorden op de vragen die journalisten veelal stellen. Het gaat dan om de ‘Wie’, ‘Wat’, ‘Waar’, ‘Wanneer’, ‘Waarom’ en de ‘Hoe’ uit een ‘STAR’-analyse.
  • Deze lead hypothese wordt opgedeeld in zijn componenten. Deze componenten zijn de ‘key assumptions’ van de ‘lead hypothesis’. De key assumpties ontrafelt men verder in key dimensies.
  • Na deze key assumpties genereert de analist twee, vier,… meer voorbeelden van ‘contrary assumptions. Hij doet dit door te variëren op de assumpties en dimensies van de lead hypothese.
  • Samenspel van telkens twee contrary dimensions worden geplaatst in sets van    2 x 2 matrices. Met telkens 4 kwadranten. Het aantal combinaties loopt snel op naargelang het aantal dimensies. Dit kan het plaatsen in kwadranten een langdurende opdracht maken.
  •  Creëer een of meer verhalen voor elk kwadrant.
  • Identificeer en verwijder de foute combinaties. Dit zijn combinaties die niet kunnen of moeilijk samengaan. Bijvoorbeeld een ransomware aanval die tegelijk een wiping aanval is.
  • Selecteer een aantal verhalen die de meeste aandacht verdienen volgens vooraf bepaalde criteria. Dit worden de belangrijkste scenario’s Deze criteria zijn criteria ten behoeve van de doelen van de opponent. Combineer daarbij indien nuttig een aantal verhalen uit verschillende matrices.
  • Maak een lijst van indicatoren per verhaal.
  • Bepaal en implementeer maatregelen voor de belangrijkste verhalen / scenario’s. Bepaal verdere maatregelen voor als een scenario opstart.
  • Monitor het systeem volgens de indicatoren.
  • Bepaal welk scenario begint, zodra een indicator dit aangeeft.
  • Verwittig de beslissingnemers. Beslis over verdere stappen.

Illustratie aan de hand van een voorbeeld

Het voorbeeld hier ter illustratie is dat van een Cyberaanval op een logistieke organisatie. Al dan niet door hybride oorlog of NSA (Non State Actors).

De methode werkt met een start van een eerste scenario, dat voldoende goed omschreven is. Een hulpmiddel hierbij om dit eerste scenario op te stellen is de STAR methode, die eigenlijk zich concentreert op de vragen die Journalisten vaak stellen: Wie, Wat, Waar, Wanneer, Waarom, Hoe. Het voorbeeld hier, waar we in deze oefening van uit gaan, is:

Een ransomware aanval, op de cloud services van de ICT leverancier (van een logistieke organisatie), uitgevoerd door een NSA, tegen klanten in de supply chain van de logistieke organisatie als slachtoffers.

De component ‘van een logistieke organisatie’ haal ik er uit omdat het in dit geval altijd tegen de eigen organisatie is. Indien het een studie aangaande alle mogelijke organisaties zou zijn, is het mogelijk deze component te behouden.

Bij het genereren van een lead hypothese is het toegestaan, zelfs goed, om een recent voorval uit het nieuws als inspiratie te gebruiken.

Dit basisscenario wordt dan ontrafeld in haar onderdelen, de zogeheten key assumptions, als volgt:

  • een ransomware aanval,
  • op de cloudservices van de ICT leverancier
  • uitgevoerd door een NSA,
  • tegen klanten in de supply chain van de logistieke organisatie als slachtoffers

Tegenover deze key assumptions in het scenario plaatsen we nu op een systematische manier zogeheten tegenstrijdige aannamen (assumpties). Door dit te doen neemt het aantal scenario’s zeer snel toe, omdat men daarna willekeurig kan gaan combineren. Een aantal mogelijkheden (niet-limitatieve lijst) zijn:

Eerste scenarioTegenstrijdige assumptiesDimensies
Een ransomware aanvalAndersoortige aanvalDDOS aanval
  Wiping aanval
  Phishing aanval
  Social engineering
  Data diefstal
  Data corruptie
  Easter eggs
  Logische bom
  Malware aanval
  Rootkit aanval
  Hardware diefstal
  Spyware
  Man in the middle aanval
  Hacking
  Identiteitsdiefstal
  Combinatie van bovenstaande
   
op de cloud services van de ICT leverancierBij de organisatie zelfOp de servers bij de organisatie zelf (Aankoop, Verkoop, Maintenance, HR, Magazijn,…) (ERP pakket, distributie,…)
  Op de servers bij de organisatie zelf (Firewall, monitoring systemen, helpdesk, website,…)
  Op de PLC/ SCADA systemen
  Op een laptop van een medewerker (Office systemen, communicatiesystemen…)
  Op een smartphone van een medewerker (adresboek, Whatsapp, Messenger, Teams, Foto’s…)
  Op een tablet van een medewerker (Office systemen,…)
   
 Bij de internet providerAanval op hun confidentiality
  Aanval op hun avalability
  Aanval op hun integrity
  Aanval op non-repudiation
   
 Bij de klantOp de servers
  Op een laptop
  Bij hun ICT leverancier
  Bij hun internet provider
   
 Bij een goederenleverancierOp de servers
  Op een laptop
  Bij hun ICT leverancier
  Bij hun internet provider
  Op hun software
   
 Bij bankenOp de betaalwijze
  Aanval op hun confidentiality
  Aanval op hun avalability
  Aanval op hun integrity
  Aanval op non-repudiation
   
uitgevoerd door een NSADoor een bekendeDoor een medewerker
  Door een consultant
  Door een bezoeker
  Door een familielid van een medewerker
  Door een actiegroep
   
 Door een State ActorDoor militaire IT diensten
  Door spionnen
  Door intelligence services
   
 Door onbekendenDoor Anonymus
  Door een onbekend cybercrimineel collectief
   
tegen klanten in de supply chain van de logistieke organisatie als slachtoffersSchade bij klanten van klantenDe man in de straat (B2C-klanten)
  Firma’s die bij de klant B2B besteld hebben.
   
 Schade bij leveranciers van de organisatieBetaalsystemen van de organisatie
  Communicatiesystemen
   
 Tegen mensen van de organisatieDe leden van de C-suite of de board
   
 Voor het behalen van profijt ten koste van de organisatieAfpersing
  Diefstal van financiën
  Intellectuele diefstal
  Diefstal van goederen
   

Verder verloop

Zet elk van de mogelijke twee-aan twee combinaties van dimensies uit in matrices. Voor elke cel in elke matrix geef je 1 tot 3 mogelijke voorbeelden van scenario’s. In sommige kwadranten zijn er mogelijks geen realistische scenario’s. Die negeer je dan. Sommige kwadranten zullen aanzetten tot nadenken, en nieuwe dynamismen doen beschouwen.

Criteria om hier te helpen evalueren wat heel realistisch is, zijn:

  • Maximale schade, maximale impact, levert maximale winst op voor de dader(s).
  • Moeilijk te detecteren (de voorbereiding en implementatie) (Of een snelle implementatie).
  • Geeft een moeilijke uitdaging om aan te pakken.

Soms kunnen cellen samen genomen worden. Door extra te combineren worden veel scenario’s concreet bepaald.

Nightmare story: Wiping van de CAAS (Cloud as a service) door een intelligence services organisatie.

Taken van de CRO en de Business Continuity Manager

  • Beschouw wat beslissingsnemers kunnen doen om slechte verhalen te voorkomen, de impact te beperken, en om te gaan met de gevolgen.
  • Genereer een lijst van key-indicatoren die helpen te evalueren of een van deze aanvalsplannen in de opstart fase is.
    • Monitoring van hits op firewalls
    • Rapporten van regelmatige intrusiedetecties
    • Monitoren van honeypots
    • Regelmatig hashen van de root software, en vergelijken met de oorspronkelijke hash
    • Monitor instabiliteiten in systemen
  • Implementeer samen met de ICT security specialist beveiligingsmethoden met behulp van ISO-27K-normen en NIST normen en dergelijke.
  • Bepaal vervolgbeslissingen voor als een scenario zich ontrolt als advies aan beslissingnemers. Bepaal de subsidiariteit van beslissen daar in. Doe dit aan de hand van actie fiches.

Een voorbeeld van inhoud voor een fiche bij een DDOS aanval

Definitie – Inleiding: Distributed Denial of Service (DDOS-aanval).

Een DDoS-aanval is een cyberaanval waarbij een grote hoeveelheid dataverkeer op een gecoördineerde manier naar de website of webserver van het doelwit wordt gestuurd. Het doel is om het te overbelasten en onbereikbaar te maken.

Om het ergste te voorkomen moet je 2 dingen (weten/) doen:

(1) (hoe) voorbereiden, en

(2) (hoe) om te gaan met de situatie.

Hoe voor te bereiden

Wat te doenMotivatie
Creëer bewustzijn – RisicocommunicatieMensen zullen dan niet massaal de IT-helpdesk of IT-operations gaan bellen. Ze zullen dus niet of minder gestoord worden bij het omgaan met de situatie.
Bewaak het dataverkeer voortdurendMeten is weten. U kunt de detectie automatiseren en vervolgens reageren op ongewoon verkeer.
Maak een DDoS-actieplan en geef IT-personeel meer mogelijkheden.De IT-afdeling weet dan wat ze moet doen en ze kan het direct doen. (Inclusief offline ophalen van de sites.)
Train zoals je vecht, oefen !Ervaring opdoen met het preventief afsluiten van de websites.
Verhoog de bandbreedtecapaciteit.U kunt meer verkeer aan voordat er problemen ontstaan.
Beschermingsdiensten van gespecialiseerde aanbieders.Ze kunnen aanvalsverkeer filteren voordat het aankomt. Op die manier zorgen ze voor de beschikbaarheid van de website.
Taakverdeling implementeren.Minder risico op overbelasting van een enkel punt
Rate-limiting.Beperk het aantal verbindingen vanaf één IP-adres
Kies verstandig uw ISP (Internet Service Provider).Sommige hebben goede tools om DDOS-aanvallen te beperken

Hoe ermee om te gaan

Wat te doenMotivatie
Monitoring geeft alarmEr is een abnormaal niveau van dataverkeer op de website
Vecht zoals je traint: start de implementatie van het DDOS-actieplanHet alternatief is dat de website of dienst traag wordt of volledig crasht
Crisiscommunicatie naar de medewerkers met het MNS (Mass Notification System)We know – We do – We care – We will be back to you. Deze boodschap moet van tevoren bestaan.
Communiceren met het CMT (Crisis Management Team)Zij kunnen extra opdrachten geven, als zij dat nodig achten
Controleer het ‘supply-chain-ecosysteem’Er kunnen aanvallen komen op andere organisaties in de supply-chain, of op andere departementen van de eigen organisatie.
Communiceren met het CCB (Centrum voor Cybersecurity België)Een logistieke organisatie is een belangrijke maatschappelijke dienst. Daarom moeten ze misschien de NIS2-regelgeving toepassen. Ik heb hier voor het CCB gekozen, omdat België een draaischijf is voor de mobiliteit van de logistiek in Europa.

Contacten

WhoContact gegevensWhoContact gegevens
CMT & CISOPermanentie telefoon nrCOOTelefoon nr
MedewerkersZie Mass Notification SysteemISPPermanentie telefoon nr ISP
CCB-notificationinfo[at]ccb.belgium.beLeveranciersLeveranciers lijst-URL

Mogelijke doelen van een dergelijke oefening

Een van de belangrijkste doelen is het identificeren van realistische scenario’s en het daarbij genereren van een verzameling indicatoren nodig voor het herkennen van het ontstaan van problemen, of het herkennen van een lopend probleem, of het ontstaan van nieuwe problemen in de zijlijn. Dit met als doel om EWSsen (Early Warning Systemen) te creëren die de belanghebbenden van de betrokken organisatie kan waarschuwen. Daartoe kan men zich reeds baseren op de derde kolom na het opstellen van de tegenstrijdige assumpties en bijhorende dimensies.

Ook het opstellen van actiefiches bij mogelijke types van aanvallen ten behoeve van het CMT is nuttig als uitleg bij het verloop van de voorgestelde aanpak van de crisis.

Een ander doel, eerder in de marge, is het identificeren van een oefeningenscenario, waarbij de Business Continuity manager of de CRO een bepaald probleem extra onder de aandacht wil brengen.

Het allerbelangrijkste echter is dat het tunnelvisie tegengaat door een eyeopener te zijn wat betreft cyber kwetsbaarheden voor de CISO, CRO, helpdesk, IT exploitatie en de Business Continuity Manager en het hoger management.

Manu Steens

Manu werkt bij de Federale Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts