IT-beveiliging wordt al eens met een wapenwedloop vergeleken. Waar de aanvallers steeds nieuwe manieren zoeken om een netwerk binnen te dringen, moeten de beveiligers ook snel evolueren. In die zin is het nuttig om de blik ook richting toekomst te werpen, naar nieuwe technologieën en hun gevolgen.

5G

Voor Rik Ferguson, vicepresident van securityonderzoek bij Trend Micro, vormt 5G het grootste probleem voor toekomstige cybersecurity, zo zegt hij op het podium van de Cloudsec conferentie in Londen. "Het is transformationele technologie", vertelt hij. "Die gaat een hele nieuwe generatie van toepassingen toelaten." Bedrijven en telecomproviders kijken reikhalzend uit naar de technologie, omdat ze voor meer bandbreedte en lagere 'latency' zal zorgen, om nog maar te zwijgen over de mogelijkheden rond software defined netwerken en 'slicing'. Een en ander moet bijvoorbeeld drones en zelfrijdende wagens mogelijk maken, en Ferguson gelooft dat 5G voor een boom zal zorgen van slimme genetwerkte toestellen, die, belangrijk, allemaal beveiligd moeten worden.

5G is transformationele technologie" Rik Ferguson

Zoveel 'devices' in uw netwerk, dat is nu al moeilijk bij te houden, zegt hij, maar wat als dat aantal nog eens exponentieel groeit? "Je moet gaan uitvissen hoe je al die dingen zichtbaar maakt. En hoe je ze beheersbaar houdt terwijl ze waarschijnlijk niet ontworpen zijn om beheerd te worden. Je kan niet op elk van die toestellen extra software gaan installeren", aldus Ferguson. Hij geeft het voorbeeld van straatlampen. Als er daar pakweg honderdduizend van staan in een stad, dan zijn dat 100.000 IP-adressen waarvan u moet zorgen dat ze niet in een botnet terechtkomen, en 100.000 SIM-kaarten die voor fraude kunnen worden misbruikt.

"Je netwerken gaan erg volatiel en software defined zijn. Je security moet daarmee om kunnen", zegt hij. "Hou er ook rekening mee dat je een nieuw soort gebruiker hebt. IoT draait rond heel veel machine-to-machine communicatie, dus je netwerk moet niet-menselijke gebruikers aankunnen. Daarnaast gaat het ook om gigantische hoeveelheden data. Hoe sla je die op, hoe maak je die beschikbaar en hoe verwijder je die weer op een veilige manier?"

Overal camera's

Iets waar Trend Micro zich minder zorgen over maakt, zijn spionerende toestellen. "Een smart tv met een webcam komt niet zo vaak voor als je misschien denkt", zegt Robert McArdle, cybercrime onderzoeker bij Trend Micro, tijdens zijn keynote. "Mensen gebruiken dat niet. We hebben net allerlei apps zoals WhatsApp om te vermijden dat we face-to-face met elkaar moeten praten. Er is dus weinig nood aan dat soort interactie op een groot scherm."

Hij stelt zich ook de vraag wat iemand zou doen met de beelden die ze eventueel van een smartcam halen. "Geloof je dat ze je zullen afpersen op basis van die video? Dan denk je als een hacker, niet als een crimineel", zo zegt hij. "Als je al in die uren aan video een beeld vindt waar iemand beschaamd voor kan zijn, dan moet je eerst uitvissen wie dat is. Denk eraan dat kwetsbare camera's meestal gewoon op het internet gevonden worden, die kunnen eender waar ter wereld staan. Je moet dus de gebruikers vinden, en hen in hun eigen taal een afpersingsbericht sturen, zonder dat je jezelf in de problemen werkt. Dat is een verschrikkelijk slecht businessmodel." Hij geeft aan dat zo'n toestel, eens gecompromitteerd, makkelijker kan worden ingezet in een DDoS-aanval. "Dan heb je ook maar één slachtoffer waar je rekening mee moet houden, terwijl de grote meerderheid van de mensen wiens toestel je inzet, niet eens doorheeft dat ze gecompromitteerd zijn."

In conclusie: "Je bent niet speciaal. Zeer weinig mensen zijn zelf interessant genoeg voor een doelgerichte hacker. IoT zal wel gebruikt worden als een manier om in een netwerk te komen en zo bijvoorbeeld in te breken op je bedrijfsnetwerk. Een camera van twintig dollar heeft niet veel security aan boord, en als je van thuis werkt moet je niet alleen je werklaptop verdedigen, maar je hele netwerk." Hij noemt het een soort omgekeerd 'bring your own device' vraagstuk. "In plaats van mogelijk besmette mobiele toestellen binnen te brengen op het bedrijfsnetwerk, gaan we met ons bedrijfsnetwerk naar de mogelijk onveilige omgevingen van thuiswerkers. Je infrastructuur moet daarop voorzien zijn. Als je niet iemand kan beveiligen die werkt vanuit de Starbucks op een defcon hacking conferentie, dan heb je geen goed beveiligingsmodel."

Robert McArdle

Deepfake ransomware

Hoewel McArdle een heel betoog afsteekt tegen de kansen dat camerabeelden gebruikt worden om u, specifiek, af te persen, waarschuwt hij wel voor een ander soort afpersing, via deepfakes. Het idee daarachter is dat een aanvaller een beschamende deepfake video maakt met beelden van het slachtoffer die gewoon van sociale media zijn geplukt. Zo kan een beetje kwaadaardige techneut bijvoorbeeld een valse pornovideo maken, of het hoofd van een politicus plakken over beelden van iemand die lallend over straat strompelt. De video wordt vervolgens gebruikt om mensen af te persen, gezien dat soort beelden, wanneer geloofd, het einde van een carrière kunnen betekenen. Het losgeld in kwestie wordt dan betaald om te zorgen dat de video nooit online verschijnt.

Zeer weinig zijn interessant genoeg voor een doelgerichte hacker" Robert McArdle

"Denk aan Nancy Pelosi, de Amerikaanse Democrate waarvan een gedoctorde video online kwam die haar toonde met het geluid vertraagd, zodat ze overkwam als dronken of seniel. Dat was niet eens een deepfake video, maar die had schadelijke gevolgen", zegt Robert McArdle. "Mensen gaan niet meteen dubbelchecken of dat juist is, dus politici zijn geneigd om te betalen voor dat soort dingen. Voor hen is er schade, of de video nu echt is of niet."

McArdle gelooft ook dat deepfake ransomware specifiek tieners tot doelwit kan hebben, omdat zij net op een moment in hun leven zitten waar ze belang hechten aan hun publieke imago, en ze ook de generatie zijn die veel beelden van zichzelf uploaden. Een en ander zou ook het aantal zelfdodingen onder tieners kunnen opdrijven, dus algemeen besef over deze praktijken is des te belangrijker, al was het maar om te zorgen dat een omgeving sceptisch blijft als er zo'n video van een klasgenoot opduikt.

Belangrijke opmerking daarbij: McArdle heeft het over gevaren in de toekomst en lijkt een beetje voorbij te gaan aan degene die al bestaan. Volgens onderzoek van Nederlands bureau Deeptrace duiken deepfakes bijvoorbeeld al een tweetal jaar op in publieke fora, en verdubbelen ze jaar over jaar in aantal. Uit het onderzoek blijkt ook dat ze voor 96% uit porno bestaan, en dat hun belangrijkste slachtoffer niet specifiek politici of tieners zijn, maar vrouwen.

Kunstmatige intelligentie

En dan is er nog AI. In de race tussen beveiligers en degenen die op computernetwerken willen inbreken, wordt ook kunstmatige intelligentie een factor, denken Ferguson en McArdle. Ze kijken dan bijvoorbeeld naar threat modelling, het proberen voorspellen van dreigingen. "Iedereen denkt op een andere manier en als ze een probleem tegenkomen, gaan verschillende mensen vaak ook een verschillende oplossing zoeken. Dat geldt ook voor AI", zegt Ferguson. Een algoritme kan proberen inbreken op manieren waar we misschien niet zelf aan denken, maar die andere AI wel kan opsporen. Kunstmatige intelligentie zou op zijn beurt ook kwetsbaarheden kunnen vinden die mensen nooit zouden zien. "Vanuit het perspectief van AI, eens het door aanvallers wordt ingezet, heb je bijvoorbeeld snellere en meer effectieve aanvallen", zegt Ferguson. "De aanvallen gaan aan de snelheid van machines gebeuren, hun tactieken zullen aan machinesnelheid veranderen en de code die gedraaid wordt zal ook weten in welke context ze draait. Dus kan ze haar gedrag in real time aanpassen aan de omstandigheden."

Robert McArdle

PSD2

In de marge van de conferentie vragen we Robert McArdle hoe hij, en zijn bedrijf, aankijken tegen PSD2, de Europese regeling die voorziet dat derden (zoals een app of een webwinkel) zelf betalingen kunnen verwerken, buiten de banken om. "Het bevrijdt je data van de bank", zegt McArdle daarover. "Ik, als klant, beslis of een derde partij die betalingen voor mij mag verwerken, en mijn bank moet dat aanvaarden."

Eerste vraag is dan of dat betekent dat een kwaadaardige derde partij een bedrijfje kan starten om mensen betalingen af te troggelen. Kan gebeuren, zegt McArdle, "maar wat vaker gaat gebeuren is dat legitieme derde partijen, zoals bijvoorbeeld een betaalapp, gehackt worden. Banken hebben zeer verregaande fraudedetectie. Als ik ineens vanuit Zuidoost-Azië inlog bij de bank, en ik zat een uur geleden nog in Londen, dan zien ze dat bijvoorbeeld. Zij hebben vandaag erg goede fraudedetectie en krijgen veel data binnen. Maar als ik een app heb en een hacker gebruikt die om geld over te schrijven, dan ziet de bank niet van waar dat gebeurt. Zij krijgen gelimiteerde data van die derde partijen binnen. De doelwitten zullen dus de derde partijen zijn, die vaak niet dezelfde hoeveelheid beveiliging hebben als een grote bank."

Theresa Payton

Verzekeringsmaatschappijen goed voor ransomware?

Opmerkelijke gastspreker op Cloudsec is Theresa Payton. De voormalige CIO van het Witte Huis, (onder George Bush Junior), komt onder meer met een betoog om meer vertrouwen te hebben in uw eigen security, en niet meteen te luisteren naar het advies van verzekeraars. "Het is frustrerend om zien hoe er een trend is waarbij verzekeringsbedrijven de slachtoffers van ransomware aanmoedigen om te betalen", vertelt ze. "Een verzekeringsbedrijf kijkt naar wat een mogelijke incident response en analyse kan kosten, en ziet dan dat het misschien groter is dan de som voor het losgeld zelf, omdat veel bedrijven niet helemaal voorbereid zijn."

Op die manier financieren deze bedrijven en organisaties echter ook criminelen, zo gaat Payton verder. Ze argumenteert dat misdadigers meestal goed weten wat ze doen, en een hoeveelheid losgeld vragen die vaak net iets lager ligt dan wat het zou kosten om al uw data terug te krijgen. Het zou een van de redenen zijn waarom er nu steeds meer ransomware op de markt komt: het is een goed zakenmodel.

Steven Heyde

Ondertussen in België

Wat doet Trend Micro ondertussen in ons land? Groeien, zegt Steven Heyde, Benelux-baas van het bedrijf aan Data News: "Ik denk dat we de teams de afgelopen drie jaar verdubbeld hebben, dat is toch een teken dat we meer opportuniteiten zien in de markt." In België zit de grootste groei nog altijd in cloud, voegt hij er aan toe. "Als je kijkt naar cloud en datacenterbeveiliging, dan is de uitdaging dat het heel diverse infrastructuur is bij klanten; daar draait bij een klant vanalles. Er is wat private en public cloud, je hebt een grote diversiteit in besturingssystemen en applicaties. De grootste uitdaging daar is om op dat alles zicht te krijgen en controle te houden over al die verschillende systemen. Onze cloud en datacentertak is de afgelopen twee jaar verdubbeld, en dan zie je dat mensen nood hebben aan een platform om hybride infrastructuur te beheren. Het is nu vaak nog te veel een lappendeken."