Het blijft een interessant kat-en-muisspel. Cybercriminelen trachten de nieuwste beveiligingsoplossingen telkens weer te omzeilen, waarop de beveiligingsleveranciers met nieuwe toepassingen voor de dag komen, enzovoort, enzovoort. Het is een onophoudelijke strijd om voorop te blijven, niet in het minst voor de bedreigde bedrijven zelf. Nieuwe wetgeving - zoals de GDPR - zorgt voor extra druk. Tegelijk heeft ze ook een pervers effect. Grote bedrijven maken zich relatief weinig zorgen, want ze kunnen de boetes betalen. Intussen gaan kleine ondernemingen door een boete mogelijk op de fles, wat de grote bedrijven alleen maar sterker maakt.
...

Het blijft een interessant kat-en-muisspel. Cybercriminelen trachten de nieuwste beveiligingsoplossingen telkens weer te omzeilen, waarop de beveiligingsleveranciers met nieuwe toepassingen voor de dag komen, enzovoort, enzovoort. Het is een onophoudelijke strijd om voorop te blijven, niet in het minst voor de bedreigde bedrijven zelf. Nieuwe wetgeving - zoals de GDPR - zorgt voor extra druk. Tegelijk heeft ze ook een pervers effect. Grote bedrijven maken zich relatief weinig zorgen, want ze kunnen de boetes betalen. Intussen gaan kleine ondernemingen door een boete mogelijk op de fles, wat de grote bedrijven alleen maar sterker maakt. Het landschap verandert razendsnel, zoveel is duidelijk. De securitysector blijft dan ook koortsachtig op zoek naar een oplossing die de cybercriminelen - toch minstens tijdelijk - op afstand houdt. "Vroeger kon je volstaan met een oplossing die bescherming bood", zegt Brian Dye, chief product officer bij Corelight, een security start-up uit San Francisco. Omdat er soms toch malware door de mazen van het net glipte, verschoof de focus een jaar of tien geleden naar detectie. "Maar ook die oplossingen zijn niet perfect. Daarom spreken we vandaag over threat hunting: proactief op zoek gaan naar mogelijke gevaren die - ondanks alles - toch tot het netwerk zijn doorgedrongen." Het probleem zit hem voor een groot stuk in de schaal. "Ik ken het voorbeeld van een grote onderneming die op jaarbasis dertig miljard aanvallen blokkeert", stelt Dye. "Dat levert dertigduizend indicatoren op over een mogelijk probleem. Daarvan zijn er drieduizend echte incidenten." Om dertig miljard aanvallen te blokkeren heeft u uiteraard automatische systemen nodig. "Je gaat daarbij vooral op zoek naar de false positives: de meldingen die de business verstoren zonder dat het eigenlijk nodig was. En ook al blijven er op het eind nog drieduizend incidenten over: je kunt dat in principe oplossen met extra budget en extra mankracht." De grote uitdaging is dat u bij de dertigduizend gevonden indicatoren voor potentiële problemen op zoek moet naar false negatives: de meldingen die je ten onrechte als veilig zou beschouwen. "En dat lukt niet zomaar met extra budget. Voor threat hunting zijn andere profielen nodig." Een inbraak in een netwerk gebeurt maar één keer. Net daardoor is zo'n actie vaak heel moeilijk waar te nemen. "Maar daarna voert de aanvaller allerlei acties uit", vervolgt Brian Dye. "Hij gaat op zoek naar data, hij legt contact met het thuisfront en probeert de data naar buiten te krijgen. Als threat hunter krijg je veel kansen om de aanvaller op heterdaad te betrappen. De kern van de zaak is natuurlijk dat je het verschil moet zien tussen normale en abnormale activiteit." Dat vraagt een bijzonder goede kennis van de eigen omgeving en een scherp inzicht in mogelijk verdachte acties. "Door te bevestigen wat fout is en de resultaten van die ingrepen te automatiseren, bouw je een waarschuwingssysteem uit." Corelight baseert zijn aanpak daarvoor op een oplossing die al twintig jaar bestaat: het openbronproduct Bro dat vanaf de jaren negentig naam maakte bij de beveiliging van Amerikaanse overheidsdiensten en grote securitylabo's. Onder de naam Zeke brengt Corelight de oplossing nu ook binnen handbereik van 'gewone' bedrijven. "Zeke zet de ruwe netwerktrafiek om in begrijpbare realtime logs", zegt Gregory Bell, CEO bij Corelight. Data lakes en SIEM's zien er te vaak uit als een wanordelijke kelder. Ze staat vol dozen, maar niets is netjes geordend of gelabeld. "Nochtans is de beschikbaarheid van data essentieel voor het beheer van security", vervolgt Bell. "Up-to-date data over wat er op het netwerk gebeurt, vormen de brandstof voor zowel de mensen als de systemen die instaan voor security." Bij ShieldIO klinkt een heel ander geluid. De Amerikaanse start-up werkte een kleine tien jaar aan een nieuwe technologie en gaat daar nu - na ongeveer twee jaar in stealth mode - de markt mee op. Het bedrijf beantwoordt de vraag naar meer en betere security via zogenaamde homomorfische encryptie. "We zorgen voor databeveiliging met encryptie terwijl de data in gebruik zijn", zegt CEO en mede-oprichter AJ Jennings. "We doen dat zonder keystore en zonder latency, onafhankelijk van de gebruikte database en onafhankelijk van het feit of de infrastructuur zich on-prem of in de cloud bevindt." De methodes voor encryption-in-use en keystore-less encryption zijn door ShieldIO intussen gepatenteerd. Klassieke encryptie steunt op de versleuteling van data. Dat zorgt voor beveiliging, maar zet ook een rem op het gebruik van de data. "Data zijn het meest waardevolle bezit van een bedrijf. Maar toch blijft het gebruik ervan vaak ondermaats. Om toegevoegde waarde uit geëncrypteerde data te halen, moet je ze telkens weer decrypteren, en daarna weer encrypteren." Daarvoor is een sleutel nodig. Die bevindt zich in een keystore: een sleutelkastje. "Maar honderd procent veilig is dat niet", zegt Jennings. "De keystore is een bijzonder kwetsbaar punt voor een bedrijf. Bovendien zijn de gebruikte beschermingsmethodologieën vaak achterhaald." Het resultaat laat zich raden: cybercriminelen kraken de sleutelkast en kunnen met de buitgemaakte sleutels de data van de onderneming probleemloos ontcijferen. Maar hoe werkt die realtime homomorfische encryptie van ShieldIO dan precies? "We nemen het kwetsbare punt - de keystore - gewoon weg", legt Jennings uit. Het geheim van de oplossing schuilt in het gebruik van ephemeral keys: sleutels die heel kortstondig één keer geldig zijn. ShieldIO encrypteert tot op sub-fieldniveau van de database met standaard AES-256 encryptie. Voor elke geëncrypteerde bit genereert de oplossing met een eigen AI-algoritme een eenmalige sleutel, met een schier ontelbaar aantal willekeurige cryptografische combinaties. ShieldIO vernietigt de sleutel daarna meteen. "Want dat is de kern van de zaak", zegt Jennings. "Succesvolle hackers breken geen encryptie, ze stelen sleutels. Wij zorgen ervoor dat er geen sleutels zijn." ShieldIO neemt zo de kwetsbaarheid en latency van klassieke encryptie weg. "Het betekent dat we nu op een veilige manier met geëncrypteerde data aan de slag kunnen, zonder dat daarvoor eerst decryptie nodig is." Een testomgeving van een bedrijf, bijvoorbeeld, kan in real time met echte, geëncrypteerde data aan de slag, zonder het risico te lopen dat de data uitlekken. ShieldIO brengt zijn oplossing naar de markt via partners als Oracle en Teradata. Onder meer via Oracle Cloud Infrastructure is ShieldIO beschikbaar tegen een vaste prijs per uur per CPU. "Op die manier verlagen we de drempel voor onze toepassing", besluit AJ Jennings. "Wanneer iets te complex is, gebruiken de mensen het toch niet."