CyberSec-industrie kiest het linker baanvak

© Getty Images/iStockphoto

Geen ander bedrijf weet zo’n show te maken van computerbeveiliging als Check Point Security. Maar op de CPX-events van het Israëlische bedrijf springen tientallen andere experten gretig mee op het podium om hun inzichten te delen. Les geleerd uit de recente editie in Wenen: hoog tijd dat deze industrie haar tegenstanders voorblijft.

Israëlisch beveiliger Check Point Security is met een jaarlijkse omzet van 1,7 miljard euro niet het grootste bedrijf in de 135 miljard euro grote cybersecurity-industrie: hun marktaandeel dobbert ergens rond de 11 procent. Maar het is wel een van de spelers met de wijdste armslag: het bedrijf bouwt hardwarematige beveiligingsgateways om te installeren op serverniveau, maar evengoed heeft het een threat intelligence-afdeling en levert het – onder het ZoneAlarm-merk – ook beveiligingsoplossingen voor consumenten.

Volgens oprichter en CEO Gil Shwed, de man die wereldwijd wordt gefêteerd als de geestelijke vader van de firewall, is zo’n totaalaanpak nodig om de groeiende complexiteit van cyberbeveiliging aan te kunnen. Zijn bedrijf blokkeerde vorig jaar meer dan 100 miljoen voorheen onbekende aanvallen, oppert hij. Liefst 46 procent van alle bedrijven op de wereld kreeg te maken met een computerinbraak, 36 procent van alle gebruikers verloor data aan cybercriminelen. Die worden steeds driester en geavanceerder: waar er in 2007 nog minder dan 50 verschillende types cyberaanvallen werden opgetekend, zijn dat er vandaag meer dan een miljoen.

Het aantal zogeheten threat vectors (van malafide e-mails tot usb-sticks met vuile software erop) groeit ook nog jaarlijks, samen met het aantal nieuwe bedreigingen (klassieke DDoS-aanvallen, steeds inventievere Man in the Middle-inbraken, enzovoort). Alles – auto’s, nutsinfrastructuur, telecom, slimme steden, financiële stromen – is vandaag bovendien op elkaar aangesloten. “Die groeiende complexiteit speelt hackers voor een groot stuk in de kaart”, zegt Shwed. “Ze lanceren geavanceerde multivectoraanvallen, het soort dat het niveau van de eenzame whizzkid allang is ontgroeid: het zijn aanvallen op een schaal die je eerder verwacht van hackerteams die door een overheid worden gerekruteerd. Maar het gebeurt vaak wél door gewone cybercriminelen: tools van een hoger niveau worden vandaag vaak beschikbaar gemaakt voor eender welke hacker.”

Nano-oplossingen

Het roept om een radicaal nieuwe manier van denken en werken voor de hele industrie, zo luidt de belangrijkste boodschap die Check Point zelf meebracht naar de 4.000 CPX-bezoekers. Waar de sector van de jaren tachtig tot nu toe vooral gericht was op het detecteren van nieuwe aanvallen, wordt het nu belangrijk om de aanvallers vòòr te zijn. Wat – zeer eufemistisch uitgedrukt – makkelijker gezegd is dan gedaan, en indruist tegen een modus operandi die al decennia de ruggengraat van de hele cybersecurity-industrie vormt.

Een eerste stap om dat effectief waar te maken, denkt het bedrijf, is de technologische uitdagingen van het moment zo snel mogelijk inzien en erop anticiperen. Zoals de pijlsnelle groei van Internet of Things (IoT)-objecten en -toestellen: vandaag zitten er, volgens Check Points eigen schattingen, zo’n 23 miljoen doodeenvoudige objecten op het internet, in 2015 waren dat er nog ‘maar’ 15 miljard. Tegen 2025 wordt een steile klim naar 75 miljard verwacht. “De meeste van die apparaten hebben heel weinig computerkracht, waardoor het ook lastig is om er geavanceerde beveiligingsoplossingen voor te ontwikkelen”, zegt Yariv Fishman, hoofd productmanagement IoT en Cloud bij Check Point Security. “En dan is er de schaal die ervoor nodig is. Bij een bedrijf met tienduizend gebruikers moeten we vandaag ongeveer elfduizend objecten beveiligen. Wanneer IoT de komende jaren zijn groei verder zet, zal dat snel naar meer dan honderdduizend stijgen. Op dat moment zullen er radicaal andere oplossingen nodig zijn dan monolitische beveiligingssystemen alleen. We moeten migreren naar microdiensten, die supersnel kunnen reageren.”

Check Point ziet vooral brood in zogeheten nano agents: piepkleine beveiligingsprogramma’s die op ieder type van toestel of netwerkvaardig object kunnen worden geplaatst. Dat is volgens het bedrijf ook een oplossing voor een andere uitdaging: de rush die bedrijven momenteel aan het maken zijn naar de cloud. Niet voor niets was er op de Weense CPX-editie een overduidelijke aanwezigheid van Microsoft en Amazon, die de betrouwbaarheid van hun respectievelijke Azure- en AWS-clouddiensten kwamen onderstrepen. “Strikt genomen beschouwen de platformhouders de beveiliging van hun platform als iets wat hun eigen verantwoordelijkheid is, maar die van de data die ze huisvesten als de verantwoordelijkheid van de gebruiker”, zegt Fishman. “Maar zowel de cloud-aanbieders als de cyberbeveiligingscommunity doen veel om ook de gebruikers te beschermen. We delen iedere drie maanden onze roadmaps met elkaar. Er staat ook veel op het spel: die clouddiensten herbergen cruciale data, en menselijk handelen is nu eenmaal een belangrijke factor. In meer dan 90 procent van de inbraken op een clouddienst is er een menselijke fout in het spel: vergissingen of misconfiguraties. Dat soort potentiële toegang kan worden voorzien en tegengegaan.”

Grotere schaal

De potentiële schaal van toekomstige cyberaanvallen baarde verscheidene cybersecurity-experten zorgen tijdens het event. Ook ethisch hacker Freaky Clown, een voormalig crimineel hacker die na een gevangenisstraf het spreekwoordelijke witte hoedje ging dragen en vandaag het Britse CyberSec-consultingbedrijf Cygenta runt. “We moeten een manier vinden om die opschaling tegen te houden”, zegt hij. “Zeker de groei van IoT is iets wat we in de gaten moeten houden, maar ook AI en machine learning. Hackers kunnen algoritmes vervuilen. Machine learning steunt op continue bekrachtiging: toon een computer honderd beelden van een panda, en hij zal bij het honderdenéérste veronderstellen dat dat ook een panda is. Maar wat als iemand het kan wijsmaken dat die panda eigenlijk een gnoe is? Hackers kunnen algoritmes in de war sturen.”

Tegelijkertijd zien computerbeveiligers de forse groei in AI als een formidabel wapen om die potentieel overweldigende schaal van toekomstige aanvallen tegen te gaan. Volgens Eward Driehuis, Chief Research Officer bij beveiligingsbedrijf SecureLink, is AI momenteel zelfs een veld waarin beveiligers momenteel een duidelijk competitief voordeel hebben. “Het is een misvatting dat cybercriminelen heel innovatief zijn”, zegt hij. “Ze zijn wel inventief in het vinden van opportuniteiten en mogelijkheden om beveiliging te omzeilen, maar puur technologisch gezien mikken ze eerder op laaghangend fruit: zolang een bepaalde soort aanval goed geld blijft opbrengen, blijven ze hem gewoon uitvoeren. Ze migreren pas naar complexere aanvallen wanneer beveiligers er écht een stokje voor hebben gestoken. In zekere zin doen hackers en computerbeveiligers haasje-over met elkaar wat technologische complexiteit betreft: momenteel zijn beveiligers een stapje voor omdat ze beter dan de booswichten de kracht van AI weten in te zetten. Hackers zitten momenteel eerder nog in het tijdperk van Big Data: ze kunnen enorm veel over één persoon weten, en die gegevens ook inzetten om die persoon te compromitteren. Social engineering op grote schaal, zeg maar. Dat zijn al heel courante technieken in de computertechnologie. Het wordt spannend wanneer hackers écht in staat zullen zijn om AI in de strijd te gooien, maar dat punt hebben we nog niet bereikt.”

Geest van de hacker

Een andere cruciale manier om de groeiende complexiteit van cyberaanvallen het hoofd te bieden, zo klonk het bij meerdere stemmen op de expo, is leren denken hoe een hacker denkt. Lui die aan de andere kant van het strijdtoneel hebben vertoefd, zoals Freaky Clown, zijn bijvoorbeeld een goeie referentie. “Een hacker is geen hacker bij de gratie van zijn vaardigheden om exploits te misbruiken”, zegt hij. “Skills kan iedereen aanleren. Wat een hacker definieert is zijn mentaliteit. Hackers hebben geen ontzag voor wat ik security theatre noem: ze zoeken meteen de naden van de beveiliging op, en zijn bereid om belachelijk veel tijd en middelen in te zetten om die te vinden en te misbruiken. Ze vinden altijd wel een fout.”

Door te weten hoe een hacker mentaal tikt, kan een beveiliger ze ook tegen elkaar proberen uit te spelen, oppert Maya Horowitz, directeur Threat Intelligence & Research bij Check Point. “We joegen twee jaar geleden op het cp-botnet, dat websites en -diensten als Netflix, Twitter, HBO en Spotify tijdelijk verlamde. We ontdekten dat het botnet misbruik maakt van een zero-day vulnerability in routers van Huawei. Maar we wilden ook de dader helpen klissen. Daarvoor speelden we in op de rivaliteit die er heerst tussen cybercriminelen binnen een bepaald veld. Hij werd erbij gelapt dankzij informatie van anderen.”

Vijf (nee, zés) generaties cyberdreigingen

Check Point Security hanteert een systeem van verschillende ‘generaties’ computerdreigingen.

Generatie I

(vanaf late jaren 80)

virusaanvallen op individuele pc’s. Groei van de viruskiller.

Generatie II

(mid-jaren 90)

internet verhoogt de schaal van virussen. Opkomst van de firewall.

Generatie III

(vroege jaren 2000)

aanvallen op kwetsbaarheden in applicaties. Groei van intrusion prevention systems (IPS).

Generatie IV

(rond 2010)

gerichte, polymorfe aanvallen op bedrijfsnetwerken, meestal via hun gebruikers.

Generatie V

(vanaf 2017)

het tijdperk van de ‘mega attacks’. Multivector-aanvallen met meerdere aanvalstechnologieën.

Generatie VI

(2019)

Nano-aanvallen en oplossingen, met onder meer miljarden IoT-apparaten, zwaaien de plak.

Cybersec- lingo

Op een cybersecurityconferentie wordt natuurlijk ook een hoop newspeak gelanceerd. Hier zijn een paar nieuwe termen die tuimelden op het event.

Nano agent

Check Point Security zelf lanceerde het idee van de nano agent: een klein stukje code, vaak maar 5 kilobyte data, dat op iedere soort IoT-toestel wordt geïnstalleerd. Het kunnen er duizenden zijn op één computernetwerk. Maar ze communiceren met een slim centraal systeem in de cloud, waardoor deze ‘zenuweinden’ nakende aanvallen snel kunnen detecteren, voorzien en neutraliseren.

Ransomware 2.0

Bedrijven reageren meestal met een categoriek ‘njet’ wanneer ze worden geconfronteerd met ransom- ware: door te betalen maken ze het probleem alleen maar erger. Maar Eward Driehuis van SecureLink ontdekte dat de daders driester en driester worden, en hun slachtoffers minder en minder keuze laten. “Er zijn al meerdere ransomware-incidenten geweest waarbij de daders eerst waren ingebroken op het netwerk, de cloud-backup hadden gewist, en daarnà pas het systeem gingen gijzelen.”

DIY Data Breach

Er is toegang tot minstens 40.000 Amazon S3-‘databuckets’ op Amazon Web Services vrij beschikbaar op de zwarte markt, zo stelt Check Point: pdf- of Excel-bestanden waarop de vaak bedrijfskritieke informatie van ondernemingen staat. Gewoon betalen voor het verzamelbestand en de slachtoffers uitkiezen.

Everything-as-a-Service (EaaS)

Exploit Kits-as-a-Service. Malware-as-a-Service. Phishing-as-a-Service. DDoS-as-a-Service. Ziet u het patroon? De as-a-Service-rage laat ook cybercriminelen niet onberoerd: via het dark web bieden ze tools en diensten aan die ook door criminelen zonder hackingskills kunnen worden gehanteerd.

Cryptoshuffler

Een private wallet is niet noodzakelijk een garantie dat cryptomunten veilig zijn. Een nieuwe trojan met de naam CryptoShuffler installeert een kundig stukje malafide code op computers, waarmee de munten kunnen worden gepikt tijdens een transfer. De hack zit hem gewoon in het klembord van de gebruiker: wanneer een adres wordt gekopieerd en geplakt voor een transfer, gaat het juiste erin maar het verkeerde – dat van een criminele partij dus – eruit. Op deze manier zou er al voor zo’n 120.000 euro aan Litecoin, Dash, Monero, Dogecoin en Ethereum zijn ontvreemd.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content