‘De timing kon beter, maar we werken hier al lang aan.’ Data News sprak in maart met security-expert Mikko Hypponen over de splitsing van zijn bedrijf F-Secure, over staatshackers en de cyberbeveiliging van Oekraïne.
F-Secure is sinds deze week gesplitst. De gekende naam F-Secure gaat door als het consumentenmerk, maar grote bedrijven kunnen voor gespecialiseerd advies nu terecht bij WithSecure. Die laatste lijkt zich vooral op advies en geavanceerde ‘threat detection’ te richten.
F-Secure werkt al jaren in security, ook aan de kant van analyse en threat detection. Wat zit er achter de beslissing om nu te splitsen?
Mikko Hypponen: Het geeft ons de kans om meer te focussen. Security is radicaal veranderd. Ik werk al voor F-Secure sinds 1991 en in die tijd zijn de dreigingen veranderd, de aanvallers zijn veranderd en ook de oplossingen zijn veranderd. Je merkt dan dat consumenten en kleinere bedrijven heel anders zijn dan enterprises, en dat de oplossingen die wij hen aanbieden ook eigen moeten zijn. Grote wereldwijde bedrijven moeten zich zorgen maken om natiestaten en erg gerichte aanvallen. Dat vraagt ook een eigen aanpak van onze R&D-afdeling. Dus hebben we nu twee entiteiten, waarvan er eentje focust op consumenten, met een merk dat al jaren bestaat en gekend is. En anderzijds hebben we WithSecure, dat een nieuw merk is dat zich niet meer moet richten op consumenten.
Kmo’s zijn nochtans bij de bedrijven die het vaakst doelwit worden van aanvallen, blijkt uit recent onderzoek. Is die dreiging dan zo anders?
Hypponen: Het zit hem vooral in de targeting, de gerichtheid van de aanvallen. Hackers die veel thuisgebruikers en kmo’s aanvallen zijn meestal gewoon op zoek naar een slachtoffer, eender welk. Ze scannen bijvoorbeeld op kwetsbare poorten, ze proberen een hele database aan gelekte wachtwoorden uit en gaan dan toevallig bij jou terecht komen. Dat zijn opportunistische aanvallers die blij zijn met eender welk slachtoffer en daartegen verdedigen is makkelijker dan wanneer ze je persoonlijk willen aanvallen. Je verdediging moet gewoon beter zijn dan de rest. Ze gaan niet specifiek achter jou aan, dus als het te moeilijk is om bij jou binnen te geraken, gaan ze naar de volgende.
‘Voor opportunistische aanvallers moet je verdediging gewoon beter zijn dan de rest’
Bij een ‘advanced persistent threat’ is die ‘P’ vooral belangrijk. Het gaat om een aanhoudende aanval waarvan jij het doelwit bent. De moeilijkste APT’s komen van natiestaten, want dat zijn vaak militaire organisaties die bevelen krijgen en uitvoeren. En het bevel dat ze krijgen is ‘breek in die organisatie binnen, steel data en kom dan terug met een rapport’. Die gaan niet meteen van gedacht veranderen en ergens anders inbreken als het niet lukt. Werkt de ene aanpak niet, dan proberen ze iets anders, en daarom is het zo moeilijk om tegen die aanvallen te verdedigen. We hebben als bedrijf veel ervaring in het omgaan met aanvallen tegen dat soort grote bedrijven, ook in de auto-industrie en de ruimtevaart bijvoorbeeld, maar daar hebben we niet de juiste ‘branding’ voor dat soort publiek. Wij worden nog vaak geassocieerd met antivirus, en dat hebben we ook, maar we hebben ook wereldklasse in het helpen van grote bedrijven met hun gerichte aanvallen. Daarom was het een goed moment om dat te splitsen.
Gaan jullie met WithSecurity dan vooral op incident response inzetten?
Hypponen: Dat is een belangrijk deel van wat we doen. We hebben ook producten, denk dan aan managed detection and response voor enterprise klanten, endpoint protection, beveiliging voor cloud en servers enzovoort. Maar daarnaast is er een groot deel consulting. We helpen bedrijven in principe om hun eigen producten veiliger te maken. We geloven dat elk bedrijf een softwarebedrijf is. Zeker grote bedrijven, die maken hun eigen producten en dat moet secuur gebeuren. Wij kunnen hen daarbij helpen. We kunnen garanderen dat de producten die ze bouwen veilig zijn. En we kunnen dat ook testen en zeggen welke problemen we hebben gevonden bij pogingen om hen te hacken. Ook voor hardware trouwens, we geven bijvoorbeeld advies aan de auto-industrie over de chips en software die zij bouwen.
In het persbericht beloven jullie dat bedrijven met WithSecure geen serieuze consequenties zullen zien van een cyberaanval. Dat is een boude uitspraak als je weet dat zeker bij ATP’s er altijd een risico staat dat je een ‘breach’ krijgt.
Hypponen: Daarom is de stelling ook niet dat je nooit gehackt zult worden. Wat we wel beloven is dat we die breach zullen vinden en erop kunnen reageren. En als je snel genoeg bent zou je niet al te veel schade mogen hebben. We kunnen inderdaad niet elke aanval tegenhouden, maar met de technologie die we nu bouwen kunnen we wel detecteren wanneer er eentje gebeurt. Dat is waar veel bedrijven de bal misslaan, ze hebben te weinig visibiliteit. Weinigen weten wat ze echt hebben, en hoe de ‘normale’ situatie eruit ziet. En als je dat niet weet, kan je niet zien wanneer er iets abnormaals gebeurt. Daar werken we al heel lang aan. We zijn in 2005 begonnen met software en machine learning om vreemde situaties te detecteren. En zoiets raars kan onschuldig zijn of een aanval zijn, maar het belangrijkste is dat het abnormaal is.
‘We kunnen niet elke aanval tegenhouden maar met de technologie die we bouwen, kunnen we wel detecteren wanneer er eentje gebeurt’
Ik zal je een voorbeeld geven van een incident bij een klant onlangs. We hadden al enkele maanden zicht op hun netwerk en kregen een melding dat er in het midden van de nacht opeens twee laptops wakker waren geworden die gigabytes aan data begonnen te versturen naar een ip-adres in China. Dat is raar, dus we bellen naar dat bedrijf en vertellen hen dat er een mogelijke exfiltratie is van data. Ze hebben die zaak onderzocht en ons verteld dat we mis waren. Een van hun projectleiders was te laat met een presentatie en was om vier uur ‘s nachts naar kantoor gegaan om nog snel tekeningen naar een Chinese klant te sturen. Maar hoewel het geen hack was, waren ze wel onder de indruk dat we dat konden zien. Het was een anomalie, dus het was zeker een goed idee om dat te onderzoeken.
U zegt dat natiestaten de moeilijkste aanvallers, zijn, maar de voorbije weken zie je ook groepen als Lapsus$ veel potten breken bij grote bedrijven. Pak je die anders aan dan natiestaten?
Hypponen: Ja en nee. Vanuit onderzoek is er geen echt verschil. Het belangrijkste verschil is dat, eens je bewijzen heb en namen, je voor criminelen met de politie kunt samenwerken. Wij stellen dan vaak een pakket op met IP-adressen, logging, wachtwoorden, waarmee je mensen kunt arresteren. Met overheden werkt dat natuurlijk niet. Die gaan hun eigen agenten niet arresteren.
Met WithSecure zetten jullie ook in op een digitaal vredesinitiatief. Wat moet ik me daarbij voorstellen?
Hypponen: We hebben ons hoofdkwartier in Helsinki en hebben de laatste jaren en zeker maanden natuurlijk hard naar onze grote buur Rusland gekeken. We stellen ons graag een wereld voor waarin overheden geen offensieve aanvallen tegen elkaar gebruiken. De kans dat dat gebeurt is klein, en we zien ook niet meteen een wereld waar echte wapens weg zullen gaan. Maar wat je wel hebt is regels over welke werktuigen gebruikt mogen worden. In de echte wereld zijn er regels dat je bijvoorbeeld geen hospitalen mag bombarderen, of geen chemische wapens mag gebruiken. Die regels worden niet altijd gevolgd, maar ze bestaan wel.
‘We weten exact wie de bekendste cyberwapens heeft gebouwd, maar we kunnen dat niet bewijzen. Dat is het probleem’
Voor cyberoorlog zijn er helemaal geen regels. Het is daar momenteel het wilde westen. Een van de redenen dat er cyberwapens worden gebouwd, is net omdat je ze kan ontkennen. De bekendste cyberwapens, zoals Stuxnet en Notpetya, we weten exact wie die geschreven heeft, maar we kunnen dat niet bewijzen, en dat is het probleem. Het verlaagt de drempel om die wapens te gebruiken. De drempel om een B52 met bommen over een land te sturen is hoog, want iedereen kan zien wiens vliegtuig dat is. Maar met cyberwapens kunnen overheden altijd blijven ontkennen dat er iets aan de hand is, dus willen we dat er regels worden afgesproken. Dat zal een lang proces zijn, net zoals het heel lang duurde om regels in de echte wereld af te spreken.
Wat is eigenlijk de impact van de oorlog in Oekraïne op F-secure, als Fins bedrijf en als securitybedrijf?
Hypponen: Kijk, ik zit hier in het hoofdkwartier op drie uur rijden van de Russische grens. We hebben een lange geschiedenis daar, dus natuurlijk heeft het wel een effect op het bedrijf. We doen momenteel geen zaken meer in Rusland, maar het was hoe dan ook geen grote markt voor ons.
Maar focussen we nu meer op aanvallen vanuit Rusland? Ja, dat doen we. We zien daar meer activiteit, maar we analyseren ook alle aspecten van dat conflict. Dus ook acties van onafhankelijke aanvallers zoals Anonymous, bijvoorbeeld, die dan Rusland gaan aanvallen, omdat ze relevant zijn voor onze klanten. Die aanvallen blijven zelden beperkt tot het eigenlijke slagveld.
En hoe ziet dat slagveld eruit?
Hypponen: Naar mijn mening heeft Oekraïne een van de beste beveiligingen in cyberspace. Beter dan Duitsland of Nederland of Finland. En dat is opmerkelijk want het is geen rijk land. Maar er is wel een duidelijke verklaring. Onze organisaties en overheden oefenen om zich te verdedigen tegen aanvallen, maar Oekraïne is zich al jaren in het echt tegen cyberaanvallen aan het verdedigen. Die komen daar constant binnen. Dat maakt hen anders en betekent dat ze zelfs met hun kleinere budgetten en hun vaak oudere legacy-systemen toch bij de besten zijn. Omdat ze er zoveel ervaring in hebben.
En er is ook wel veel wil. Ik sprak onlangs met de CIO van een IT-bedrijf in Lviv, die weet heeft van een twintigtal van zijn medewerkers die bezig zijn met hacken. Dat klinkt misschien gek maar het is daar perfect legaal om in oorlogstijd de vijand te hacken. En bijna allemaal zijn dat vrouwen. Ook dat is te begrijpen. De mannen moeten op het fysieke slagveld staan, dus gaan de vrouwen in de cyberoorlog vechten.
Fout opgemerkt of meer nieuws? Meld het hier