Cybercriminelen werken vlot samen in een schaduweconomie die vandaag al groter is dan die van de drugswereld. Waarom maken de verdedigers het zich dan extra moeilijk door niet even goed samen te werken ?

Natuurlijk publiceren ze geen jaarverslagen, maar cybercriminelen zouden vandaag al een grotere omzet boeken (of schade berokkenen) dan hun tegenhangers in de drugswereld, aldus politiediensten. Hierbij werken al een hele poos verschillende groepen samen, met eigen expertises en diensten, inclusief aanvals-middelen ‘met garantie’.

IT’S COLLABORATION, STUPID

Ook bij de verdedigers groeit nu sterk de belangstelling om samen te werken. Dit jaar was dat zelfs hét thema op het NIAS Cyber Security Symposium van de NAVO in Bergen.

Een aantal initiatieven werden voorgesteld, en daaruit bleek dat de bereidheid groot is, maar de praktijk een stevige uitdaging blijft. Zo had Davis Hake, Director Cyber Strategy bij ‘next generation firewall’ bouwer Palo Alto, het over de Cyber Threat Alliance (TCA). Deze samenwerking werd gestart door een viertal security bedrijven – Palo Alto, Symantec, Intel en Fortinet – en beoogt een snelle uitwisseling van aanvalsinformatie. “Vandaag bevinden geavanceerde aanvalsmiddelen zich in meer handen dan ooit voordien. Door informatie uit te wisselen, maken we het de criminelen moeilijk, omdat de effectiviteit van de aanvallen sneller vermindert door een betere bescherming. En dan moeten ze weer investeren in wat nieuws. Omdat iedereen bloot staat aan dezelfde aanvallen, is het vreemd dat er zo weinig uitwisseling is. Als bedrijf is het moeilijk om al die informatie-‘feeds’ te verteren en de info zinvol aan te wenden. Dat vereist immers inzicht in de context van de aanval en hoe die wellicht meer of minder een gevaar voor het bedrijf vormt, en hoe je die countert.”

Het is tevens een uitdaging om alle leden en betrokken bedrijven aan te zetten tot actieve deelname. Zo eist de TCA dat de leden dagelijks een minimale hoeveelheid data moeten inbrengen. “Je kan niet alleen maar profiteren,” klinkt het, “maar je moet er ook in investeren. Niet iedereen zit al op hetzelfde niveau, maar daarom leer je ook van elkaar. Je moet eerlijk en naar goed vermogen meewerken.” Uiteindelijk is het doel om de security-maturiteit van een bedrijf op een hoger niveau te brengen.

OOK TOOLS WERKEN SAMEN

Op een zowat gelijktijdige IDC IT Security conferentie in Mechelen, werd ook de noodzaak tot meer samenwerking tussen tools aangekaart. Security mag geen verzameling van losse producten zijn, maar vereist een meer holistische oplossing die in staat is de stappenketting van een aanval te breken (en zo de crimineel zijn gewin uit handen houdt). Belangrijk hierbij is het samenbrengen van informatie uit een rist systemen (security, ict, telecom, databeheer,…), om vervolgens die dataset met behulp van (big data) analytics te doorzoeken. In de toekomst zal een dergelijke analyse in reële tijd kunnen plaatsvinden, wat de tijdspanne tussen infectie en reactie sterk moet verminderen.

Op nog grotere schaal kan uit het wereldwijde digitaal verkeer ‘cyber threat intelligence’ worden gepuurd – een kijk op wie verantwoordelijk is voor welke aanvallen, tegen wie, met welk doel en dies meer. Op het IDC-event werd dat onder meer door Tim Vereecke, senior solutions engineer bij Akamai geïllustreerd. Dagelijks passeert ongeveer 15 à 30 procent van alle internetverkeer door hun cache- en versnellingssystemen, verspreid over centra doorheen de hele wereld, rekent Vereecke voor. Zij zien de aard van het verkeer en kunnen hierbij een onderscheid maken tussen de verschillende aanvalswijzen. Voor verschillende klassen van problemen kunnen dan aan een ip-adres scores worden toegekend, op basis waarvan Akamai vervolgens het verkeer naar of uit dat adres aan banden legt (of blokkeert). Klanten kunnen zelf bepalen hoe zwaar een score kan doorwegen. Na een poos kan een ip-adres met een ‘slechte reputatie’ toch weer ‘normaal’ worden, mits een ‘goed gedrag’.

Akamai maakt voor dit alles gebruik van eigen data, maar andere bedrijven voegen hierbij data uit verschillende bronnen bij elkaar. Een grotere dataset kan vervolgens een mooie hulp zijn, maar verschillen in kwaliteit van de data kunnen wel voor minder goede resultaten zorgen, aldus Vereecke. Denk hierbij aan het ‘GIGO’-principe.

Voorts groeit ook de samenwerking over de grenzen heen, ook tussen politiediensten en rechtsinstellingen. Kortom, als misdadigers samenwerken, breekt nu ook het besef door dat de verdedigers het zich evengoed makkelijker kunnen maken door zelf ook meer samen te werken. Een hoopvolle ontwikkeling !

Guy Kindermans

Nu misdadigers samenwerken over grenzen heen, groeit het besef dat ook politie- en rechtsinstellingen beter kunnen samenwerken