Aanval bedreigt nu al levens
We zijn voor een aantal kritieke functies al afhankelijk van de digitale infrastructuur. In 2012 overleden twee mensen die reanimatie nodig hadden omdat een storing alarmnummer 112 onderuit haalde. Vorig jaar moest een Brits ziekenhuis operaties schrappen omdat malware het systeem platlegde. Eerder deze maand gebeurde hetzelfde met WannaCrypt, waardoor Britse ziekenhuizen patiënten niet konden behandelen.We schreven het hier al vaker - misschien vallen we zelfs een beetje in herhaling - maar hoe meer we op netwerken inprikken, hoe groter de securityramp van morgen. Nu gaan bedrijven, gemeentekantoren en ziekenhuizen neer bij een aanval, morgen gaat het om het verkeersnet, stadsverlichting en gas, water, licht. Dat het laatste geen vergezocht scenario is, bewees een aanval in de Oekraïne anderhalf jaar geleden, toen midden in de winter een uitgebreide aanval burgers letterlijk in de kou zette.
Endpoints niet te beveiligen
Het is niet meer dan logisch dat internetverbonden apparaten een probleem vormen, omdat we al meer dan twee decennia bezig zijn met het beveiligen van endpoints met een internetverbinding, terwijl de criminelen beveiliging makkelijk passeren omdat ze maar één gat nodig hebben.Dat is een asymmetrische strijd waar beveiligers mee te maken hebben. Dat we endpoints niet hebben kunnen beveiligen, voorspelt niet veel goeds voor IoT. "Als we dit stukje al niet goed krijgen", zegt securitychef Lee Fisher van Juniper terwijl hij naar zijn laptop wijst, "hoe krijgen we dan het volgende stuk wél goed?"
Bij onder meer beveiligingsbedrijf Palo Alto Networks, netwerkbedrijf Juniper en netwerksecurity-specialist Thalos hebben we het afgelopen jaar min of meer hetzelfde verhaal gehoord: netwerkbeveiliging moet dé oplossing zijn voor een dreigende IoT-ramp. Endpointbeveiliging is al lastig genoeg als leveranciers snel, consumenten verantwoordelijk en IT'ers effectief zijn, maar in een tijdperk met onveilig ontworpen hardware en gemakzuchtige consumenten, maken we vrijwel geen kans om endpoints goed genoeg te beveiligen.
Hele ecosysteem een uitdaging
En het gaat niet alleen om onze eigen endpoints. Mirai demonstreerde vorig jaar heel duidelijk dat we allemaal lijden onder een onbeveiligd ecosysteem. Je kunt je netwerkomgeving goed dichttimmeren en hardware goed patchen of vastklinken met policy's, maar dan nog kun je onder vuur komen te liggen door miljoenen onbeveiligde IoT-apparaten van buitenaf, waardoor het netwerk begint te kraken.Is netwerkbeveiliging de oplossing? De logica is dat het netwerk met alles in contact komt: clients, servers en data. Beveilig de communicatie en je beveiligt de inhoud. Daarnaast kan het netwerk beter problemen detecteren dan losse platforms. Via het netwerk ziet een intelligent systeem dat er iets niet pluis is, omdat er vreemde gedragingen plaatsvinden. Waarom worden op meerdere pc's opeens duizenden bestanden versleuteld?
Automatiseer automatisering
Bovendien kunnen we alleen met verregaande automatisering de criminelen bijhouden. In 2015 werd er nog elke 4 seconden een nieuw stukje malware geboren, volgens cijfers van Symantec is dat inmiddels opgelopen tot 13 varianten per seconde. "Dat zijn geen mensen die deze code schrijven", vertelt Junipers Fisher. De criminelen automatiseren malwareproductie; daar valt met handmatig aanpassen van virusdefinities en uitrollen van patches niet tegenop te boksen.Van beveiligingsbedrijven als Intel Security, RSA en Kaspersky horen we ook al tijden dezelfde gedachte die Juniper nu uitdraagt: blacklists, heuristiek en definitie-engines hebben hun grens bereikt. Realtime gedragsanalyse moet de toekomst zijn. Er wordt 100 GB aan data naar een netwerkstation gepompt, er wordt vanaf een onbekend IP-adres ingelogd, er wordt een schijf versleuteld - is dat gedrag dat je zou verwachten of verdient dat een dieper kijkje?
Deel van het probleem
Net als alles in onze wereld is machine learning niet dé oplossing - ondanks het gejubel op een beveiligingscongres als RSA dat intelligente systemen al onze ellende oplossen - maar het kan wel een grote bijdrage leveren.Het zorgt ervoor dat we het overgrote deel van de meldingen kunnen negeren, doet een voorselectie en kijkt naar gedrag om mensen te verwittigen van een potentieel probleem - of zelfs het in quarantaine plaatsen van systemen of het uitschakelen van het netwerk als er sterke vermoedens zijn van een ransomware-uitbraak.
En dat is de sleutel: geen totaaloplossingen, maar sterke verbeteringen in onze huidige aanpak. We hoorden het vorig jaar ook van Intel Security's Raj Samani: we moeten ons focussen op kleine stappen, kleine overwinningen op de slechteriken. Van endpointbeveiliging naar intelligente netwerkmonitoring - of een andere paradigmaverschuiving op securitygebied - gaan, is niet een omslag die over één nacht ijs gaat.
Geen opmerkingen:
Een reactie posten