Geautomatiseerde beveiliging
Automatisering is een fenomeen dat ICT-afdelingen altijd enigszins nerveus maakt. En daar is goede reden voor. In het verleden werkte ik voor twee leveranciers van antivirusoplossingen. Een daarvan bracht een signature-update uit die ervoor zorgde dat bona fide bestanden van klanten werden overschreven door bestanden van nul byte. En nog niet zo lang geleden bracht een andere leverancier een update uit die ertoe leidde dat systeembestanden van Windows als malware werden aangemaakt. Daarmee werden ze ontoegankelijk voor het besturingssysteem van Microsoft.
De meeste ICT-beheerders kunnen de nodige horrorverhalen vertellen, zoals een furieuze CEO die na de installatie van een patch om twee uur ’s nachts opbelde met de mededeling dat hij geen toegang meer had tot zijn e-mail en verkoopcijfers.
En dan zijn er natuurlijk nog automatiseringsoplossingen die er op papier perfect uitzien, maar in de praktijk een hoofdpijndossier opleveren. Zo beloofden de allereerste intrusion prevention-systemen de beveiliging naar een hoger peil uit te tillen, maar genereerden ze in werkelijkheid teveel onterechte meldingen om nog van nut te zijn.
Desondanks maken ICT-afdelingen tot op zekere hoogte met succes gebruik van automatisering. Dat geldt onder meer voor scripting, configuratieprocedures, het verzamelen van logbestanden, het aanleveren van software en het installeren van signature-updates. Dit zijn relatief simpele taken, en in de meeste gevallen worden de geautomatiseerde processen vooraf getest. Wat deze automatiseringsscenario’s met elkaar gemeen hebben, is wat zij ‘doen’: ze volgen het plan dat beheerders hebben uitgestippeld. In dit plan wordt beschreven ‘wat’ de automatiseringstool precies moet bewerkstelligen.
Een automatiseringsaspect waar bedrijven minder enthousiast over zijn, is de inzet van ‘respons’-processen, oftewel het idee dat technologie dingen uit eigen initiatief doet. Deze terughoudendheid van ICT-afdelingen heeft ertoe geleid dat automatisering nog altijd niet op brede schaal wordt toegepast. Hierdoor is een werkelijk creatief gebruik van automatisering in de strijd tegen cybercriminaliteit grotendeels uitgebleven.
En het is hoog tijd dat daar verandering in komt. Bedrijven worden namelijk bestookt met geautomatiseerde cyberaanvallen. In februari 2017 verzamelde Symantec ruim 94 miljoen malware-fragmenten. Deze waren uiteraard niet ontwikkeld door 94 miljoen malware-programmeurs, of zelfs maar door 94.000 programmeurs die elk 1.000 regels code voor hun rekening namen. Een dergelijke toevloed aan malware was alleen maar mogelijk als er sprake was van automatisering.
Het doel van deze massale aanvallen is om traditionele beveiligingsmechanismen te doorbreken. Beveiligingsmodellen worden normaliter ingericht rond het aspect ‘tijd’. Onderzoekers hebben tijd nodig voor het identificeren en analyseren van cyberbedreigingen en het aanbieden van malware-updates aan klanten, die op hun beurt tijd moeten uittrekken voor het installeren van de updates. Dit neemt naar alle waarschijnlijkheid meer veel meer tijd in beslag dan cybercriminelen nodig hebben voor het ontwikkelen en verspreiden van malware. En het tijdsverschil wordt alleen nog maar groter als klanten diverse aanvullende patches moeten installeren om volledig te zijn beschermd, zoals het geval was bij de ransomware-variant WannaCry.
Cybercriminelen maken optimaal gebruik van automatisering. Ze bieden zelfs oplossingen met ingebouwde automatiseringsmogelijkheden aan waarmee derden cyberaanvallen kunnen uitvoeren. Als gevolg van deze ontwikkeling moeten kwetsbare bedrijven geautomatiseerde aanvallen zien af te slaan met slechts ten dele geautomatiseerde beveiligingsoplossingen.
Beveiligingsteams zijn reeds overbelast. (ISC)2, een non-profitinstelling die de belangen van de beveiligingssector behartigt, verwacht dat er in 2019 sprake zal zijn van een tekort van 1,5 miljoen beveiligingsprofessionals. Volgens veel organisaties kan het vinden van geschikte kandidaten zes maanden in beslag nemen. Wat kunnen bedrijven nu precies doen om hier verandering in te brengen? Is het mogelijk om beveiligingstaken effectief tussen mensen en machines te verdelen om de werklast van de ICT-afdeling te verlichten en de beveiliging een boost te geven?
Tijd voor een vergelijking. Niemand kent uw lichaam beter dan u. U weet precies wanneer u zich ziek voelt. U voelt het verschil tussen verkoudheid en griep, en weet wanneer er sprake is van een ernstiger kwaal die om een bezoek aan de huisarts vraagt. Kortom: niemand kent u beter dan uzelf. Hetzelfde geldt voor uw onderneming en bedrijfsgegevens. Geen andere organisatie, cybercrimineel of concurrent kent uw onderneming beter dan u. U kunt dus het beste een onderscheid maken tussen normale en afwijkende patronen.
Bedrijven moeten met andere woorden een beroep doen op de data die binnen hun organisatie besloten om hun onderneming te beschermen. En dat omvat meer dan het verzamelen van logbestanden. Bedrijven moeten data omzetten in inzichten door informatie over netwerkgebeurtenissen tegen elkaar af te zetten. Dit maakt het mogelijk om normaal en afwijkend gedrag in kaart te brengen. Bedrijven moeten de resulterende kennis op slimme wijze inzetten om de beveiliging van hun onderneming steeds verder te verbeteren.
Het is mogelijk om stapsgewijze verbeteringen door te voeren door taken te identificeren die het beveiligingsteam kan automatiseren. Op deze manier hoeft het niet langer logbestanden te bewaken, maar wordt het direct op de hoogte gesteld van ongebruikelijke activiteiten. Neem bijvoorbeeld WannaCry. Het gedrag van deze ransomware-variant week op twee punten af van menselijk gedrag:
- Er werd in een kort bestek een groot aantal bestanden weggeschreven naar lokale schijven.
- Er werden regelmatig verbindingen gemaakt via bepaalde netwerkprotocollen (zoals SMBv1) met het doel om andere kwetsbare hosts te vinden om aan te vallen.
Beveiligingsteams hebben praktisch inzetbare informatie nodig. Ze moeten inzichten distilleren uit gedragspatronen in plaats van gebruik te maken van een verouderde aanpak die patronen in bestanden, in het geheugen, op schijven of binnen het netwerk afzet tegen een lijst met bekende bedreigingen. Vervolgens moet op gecoördineerde wijze worden gereageerd op verdacht gedrag om te voorkomen dat bedreigingen zich via het netwerk verspreiden. Deze tegenmaatregelen moeten met zo min mogelijk menselijke tussenkomst gepaard gaan.
Met een dergelijke dynamische en geautomatiseerde beveiligingsaanpak kan het beveiligingsteam zijn focus richten op het onderscheiden van normaal en afwijkend gedrag en zijn kennis op dit gebied geleidelijk vergroten.
En computers kunnen op hun beurt doen waar ze goed in zijn: voortdurend grote hoeveelheden data analyseren aan de hand van door mensen opgestelde, bedrijfsspecifieke regels voor het identificeren en afslaan van bekende aanvalsmethoden. Beveiligingsprofessionals kunnen zich daarmee richten op zaken waar computers meer moeite mee hebben, zoals de inzet van creatief denken om nieuwe en innovatieve aanvalsmethoden te detecteren. Aan de hand van de opgedane kennis kan het beveiligingsteam nieuwe regels opstellen en de bedrijfsbrede beveiliging daarmee stapsgewijs verbeteren.
Is er bij bedrijven sprake van een vernieuwde belangstelling voor geautomatiseerde beveiliging? Hoewel ik in het begin van dit artikel verwees naar de traditionele afkeer van automatisering, denk ik dat de mentaliteit van bedrijven begint te veranderen. Veel ondernemingen zijn reeds op zoek naar manieren om de schat aan data die binnen hun organisatie besloten ligt te benutten en de communicatie met klanten te verbeteren met behulp van big data-initatieven en analysetechnologie. Ook consumenten zien heil in het gebruik van analysemogelijkheden, dus waarschijnlijk is het slechts een kwestie van tijd.
Uiteindelijk komt het neer op een simpele vraag:
Moeten we vasthouden aan de huidige beveiligingsaanpak en simpelweg op het beste hopen, of doen we er beter aan om de informatie die binnen de onderneming besloten ligt in te zetten om de bedrijfsbrede beveiliging stap voor stap te verbeteren?
Het antwoord spreekt voor zich, lijkt mij.
Door: Lee Fisher, security specialist bij Juniper.
