Jamf Mobile Forensics, een uitleg

Hoogrisicogebruikers verdedigen

Geavanceerde aanvallen met bijvoorbeeld spyware die wordt uitgevoerd in opdracht van anderen, zero-click exploits, Advanced Persistent Threats (geavanceerde aanhoudende bedreigingen (APT's)) en aanvallen door natiestaten richten zich op specifieke gebruikers, afhankelijk van wie ze zijn, wat voor soort werk ze doen of tot welke gegevens ze toegang hebben. Omdat dit soort aanvallen veel resources en financiële middelen vereisen, zijn ze vaker gericht op gebruikers en organisaties met een hoog risico.

Apple en Google waarschuwen gebruikers bij mogelijke spyware-aanvallen en publiceren richtlijnen voor gebruikers als 'journalisten, activisten, politici en diplomaten die dreigingsmeldingen hebben ontvangen'. Volgens CISA zijn personen als overheids- en politieke functionarissen vaak het doelwit, en het NCSC in het Verenigd Koninkrijk kwalificeert je als een persoon met een hoog risico "als je door je werk of je publieke status toegang hebt tot of invloed hebt op gevoelige informatie die van belang kan zijn voor actoren uit een natiestaat".

Maar dit betreft niet alleen werknemers met banden met de overheid, media of politiek. Organisaties in sectoren als technologie, logistiek en vervoer, natuurlijke hulpbronnen en olie en gas, productie, financiële dienstverlening en dergelijke zijn kwetsbaar vanwege de waardevolle gegevens die hun gebruikers hebben of de locaties waar ze zaken doen.

Om geraffineerde aanvallen op te sporen en de integriteit van mobiele apparaten in hun vloot te waarborgen, moeten beveiligingsteams (bijvoorbeeld SOC, forensische teams, InfoSec of IT) inzicht in apparaten hebben op basis van diepere gegevensanalyses.

En daar komt Jamf Mobile Forensics om de hoek kijken.

Jamf Mobile Forensics

Jamf Mobile Forensics vult het gat in geavanceerde detectie, forensisch onderzoek en analyse voor geavanceerde aanvallen op mobiele apparaten. De kennis over bedreigingen en de geautomatiseerde analysemogelijkheden van de tool nemen beveiligingsteams veel werk uit handen, verbeteren digitale forensische onderzoeken en stellen teams in staat sneller bedreigingen in te dammen en te herstellen na een aanval.

Hoe werkt Jamf Mobile Forensics?

Door de combinatie van de geautomatiseerde verzameling van uitgebreide loggegevens en een natuurlijke gebruikerservaring wordt het analyseproces eenvoudiger, zodat beveiligingsteams snel inzicht krijgen in en kunnen reageren op geavanceerde aanvallen. De rule engine van Jamf Mobile Forensics, met de eigen technologie voor gedragsanalyse van Jamf Threat Labs, automatiseert de analyse van elke scan met behulp van bekende informatie, afwijkingen en verdacht gedrag om kwaadaardige activiteiten en zero-day-bedreigingen te detecteren.

Zo kunnen beveiligingsteams:

• Zero-click- en one-click-aanvallen en APT's identificeren voordat ze het netwerk binnenkomen

• Onbekende exploits en payloads detecteren die ontsnappen aan beveiligingscontroles

• Aanwijzingen van aantasting (IoC's of Indicators of Compromise) analyseren om kwaadaardige activiteiten te identificeren

• Spyware die in opdracht van anderen wordt uitgevoerd en geavanceerde bedreigingen detecteren en erop reageren zonder PII bloot te geven

Apparaten van eindgebruikers scannen

Met apparaatscans kunnen teams achterhalen of en zo ja wanneer een apparaat is aangevallen, hoe de aanval heeft plaatsgevonden en wat de impact ervan is. Scans met Jamf Mobile Forensics kosten geen weken meer maar minuten.

Voor eindgebruikers bevat Jamf Mobile Forensics een mobiele app, Threat Protect, die proactief apparaten scant met tussenpozen die door de organisatie worden ingesteld. De app helpt beveiligingsteams om continu de integriteit van apparaten te analyseren, zonder gebruikers te storen of PII bloot te geven. Voor de inspecties verzamelt en analyseert de app telemetrie van eindpunten, zoals systeemlogboeken, kernellogboeken, certificaten en informatie over crashes en geïnstalleerde software, om bekende en onbekende bedreigingen te detecteren.

Afhankelijk van organisatorische workflows en best practices biedt het ook een optie voor scans via de kabel (meestal voor klanten die werken met lokale software). Deze scans worden uitgevoerd door een mobiel apparaat rechtstreeks op een werkstation (zoals een Mac) aan te sluiten.

Bij het verzamelen van loggegevens wordt geen PII verzameld, zoals wachtwoorden, foto's en video's, tekstberichten (inclusief iMessage), contactpersonen, gespreksgegevens en gegevens in applicaties.

Deskundige begeleiding en kennis

Jamf Mobile Forensics wordt ondersteund door Jamf Threat Labs, ons interne team van beveiligingsonderzoekers, analisten en ingenieurs. Het team publiceert regelmatig onderzoek naar geavanceerde mobiele malware en gereaffineerde aanvalstechnieken. Bovendien ontwikkelt en bevordert het team voortdurend verbeteringen in de rule engine van Jamf Mobile Forensics.

Vereenvoudiging van forensische analyseworkflows

Beveiligingsteams die werken met Jamf Mobile Forensics kunnen op verschillende manieren helpen met de detectie van bedreigingen en forensische analyses:

• Met Security Operations Center: vereenvoudig de onderzoeksworkflows door gebeurtenissen automatisch te groeperen met vergelijkbare incidenten. Teams kunnen hun hele vloot bewaken en beschermen tegen geavanceerde aanvallen, inclusief incidenten met verschillende tijdsintervallen, en aanvullende, contextuele informatie geven over een specifiek incident.

• Met de rule engine: label verschillende soorten aanwijzingen dat een systeem is aangevallen of aangetast, of zet ze op de toegestane lijst of de blokkeerlijst. Er kunnen complexe regels worden opgesteld op basis van allerlei attributen, zoals YARA, bundel-id's en procesnamen.

• Met AI Analysis: een AI-onderzoeksassistent die ervoor zorgt dat er minder handmatig onderzoek nodig is om apparaatcrashes en afwijkingen te analyseren. Het biedt teams snel, deskundig inzicht in mogelijke apparaataantastingen. Als er op een apparaat bijvoorbeeld een gerichte, externe aanval op een app plaatsvindt, biedt AI Analysis een volledige samenvatting van het incident, met onder meer informatie over afwijkend gedrag van de app, of het apparaat gehackt is of dat er code is uitgevoerd, en aanbevelingen voor volgende stappen.

• Met MDM-implementatie: stroomlijn de implementatie van mobiele apps voor iOS-, iPadOS- en Android-apparaten in eigendom van het bedrijf of van de werknemers zelf.

• Met integraties: maak gebruik van krachtige API's voor integratie met SIEM/SOAR's, IdP's, MDM's en meer.

Gebruikelijke gebruiksscenario's voor Jamf Mobile Forensics

Voor en na een reis
Apparatuur van werknemers die naar landen met een verhoogd spionagerisico reizen, moet snel, diepgaand worden onderzocht op risico's en IoC's, zodat snel kan worden gereageerd op bedreigingen voordat de schade zich uitbreidt. Bijvoorbeeld overheidsorganisaties met werknemers met een hoog risicoprofiel die wereldwijd werken, hebben te maken met verschillende soorten bedreigingen.

Digitaal forensisch onderzoek en incidentrespons
Apparaten analyseren om snel de integriteit van apparaten te beoordelen, afwijkingen aan het licht te brengen en beperkende maatregelen te implementeren, in slechts enkele minuten in plaats van weken.

Mobiele threat hunting
Proactief iOS- en Android-apparaten scannen om logboeken te analyseren (ook op OS-niveau), apparaten te inspecteren op IoC's of regels te schrijven om kwaadaardige aanvallen te detecteren voordat ze schade kunnen aanrichten.

Wat is het verschil tussen Jamf Mobile Forensics en Jamf for Mobile?

Jamf for Mobile is ons basisplatform dat apparaatbeheer en compliance, mobiele beveiliging (zoals phishingbescherming, app-risicomonitoring en webmateriaalfiltering) en veilige toegang tot applicaties op mobiele apparaten combineert. Organisaties implementeren Jamf for Mobile om de omvangrijke mobiele gebruiksscenario's op het werk uit te breiden met een oplossing die prioriteit geeft aan de gebruikerservaring, IT-systemen integreert en ondernemingsworkflows uitbreidt.

Jamf Mobile Forensics voegt een geavanceerde forensische laag toe om hoogrisicogebruikers te beschermen tegen gerichte aanvallen. Het is ontworpen om afwijkend gedrag, verdachte activiteit en geavanceerde bedreigingen op mobiele apparaten te onderzoeken.

Tegen welke soorten geavanceerde bedreigingen beschermt Jamf Mobile Forensics?

• Spyware die in opdracht wordt uitgevoerd: deze commerciële bewakingstools, zoals Predator, Pegasus, Graphite en Spyrtacus, zijn ontworpen voor gerichte aanvallen en infiltreren iOS- en Android-apparaten via kwetsbaarheden.

• Advanced Persistent Threats (geavanceerde aanhoudende bedreigingen (APT's)): volgens CISA "beschikken APT-actoren over veel resources en ontplooien ze geraffineerde kwaadaardige cyberactiviteiten die gericht zijn op het binnendringen van en langdurig verblijven in netwerken/systemen". Dit soort aanvallen omzeilt vaak de eerste verdedigingssystemen en blijft gedurende langere tijd op een apparaat aanwezig.

• Aanvallen door natiestaten: deze aanvallen worden uitgevoerd door overheidsactoren en omvatten het gebruik van zowel APT's als spyware die in opdracht van anderen wordt uitgevoerd.

• Zero-click-aanvallen: worden gebruikt door bedreigingsactoren om mobiele apparaten te infecteren zonder enige interactie van de gebruiker. Zero-click-exploits en netwerkgebaseerde aanvallen zijn een veelgebruikte strategie van spyware die in opdracht van anderen wordt uitgevoerd

Uitdagingen voor mobiel forensisch onderzoek

• Zichtbaarheid van apparaten: fundamentele beveiligingsfunctionaliteit als eindpuntbeheer, verdediging tegen mobiele bedreigingen en VPN/ZTNA voorkomt veelvoorkomende aanvallen, maar mist de diepgaande gegevens- en bedreigingsanalyse die nodig is om geavanceerde bedreigingen te detecteren

• Handmatig forensisch onderzoek: het inhuren van een externe forensische consultant vereist specifieke kennis, leidt tot hogere kosten, kost meer tijd en brengt het risico met zich mee dat PII wordt blootgegeven.

• Zogenaamde branderapparaten: leiden niet alleen tot een slechte gebruikerservaring en de inzet van extra hardware, maar ook tot de aanwezigheid van schaduw-IT.

Bij Jamf stellen we de gebruiker centraal, ook degenen die het grootste risico lopen op gerichte aanvallen.