Is Next-gen Endpoint security de nieuwste hype?

Is Next-gen Endpoint security de nieuwste hype?

next

Het online dreigingslandschap verandert. De laatste tijd is er veel te doen omtrent ransomware, exploits en signatureless antivirus door de enorme toename van zero-day malware. Nieuwe innovatieve technologieën die hackers gebruiken om systemen te infecteren vragen een andere aanpak om besmetting te voorkomen. Next-gen Endpoint beveiliging wordt hiervoor de nieuwe standaard. In deze blog vertel ik u waarom.

Traditionele Endpoint beveiliging

We kennen allemaal de “traditionele antivirus” of “Endpoint Protection”, gebaseerd op wat we al weten van bestaande dreigingen. Bestanden die als malware bekend zijn worden op een blacklist geplaatst via een signature waardoor het bestand wordt herkend. Zodra er een nieuw bestand gevonden wordt kan deze door een scan worden herkend en geblokkeerd. Deze oplossingen zijn volledig afhankelijk van de threat intelligence van een fabrikant en in welke mate de Endpoint Protection oplossing van updates is voorzien. Omdat er ruim één miljoen nieuwe virussen, zero-day malware, per dag worden verspreid, is het enorm lastig om altijd up-to-date te blijven.

Nieuwe securitydreigingen
Het IT landschap blijft in snel tempo veranderen. De daarbij passende securitymaatregelen doen hier niet voor onder. 2016 was een jaar vol phising, malware, spyware en zero-days maar werd met name hét jaar van exploits en ransomware. Dit blijft ook in 2017 actueel met de recente verspreiding van WannaCry- en PETYA ransomware. Veel securityfabrikanten hebben moeite met het detecteren en blokkeren van deze dreigingen tot het moment dat de virusdefinitie herkend wordt en er een signature beschikbaar is. Hoe komt dat?

Nieuwe dreigingen komen binnen via exploits. Exploits hanteren een vernieuwde killchain ten opzichte van traditionele malware. De vernieuwde killchain is succesvol doordat deze een stuk complexer is. Het endpoint staat hierin weer centraal. We hebben te maken met devices die niet verbonden zijn met het netwerk en daardoor ook niet de optimale beveiliging genieten achter een firewall of gateway. Wij zien dat door de nieuwe technieken die een hacker gebruikt en het grotere aantal stappen die een hacker onderneemt, de beveiliging van het endpoint weer steeds belangrijker worden. Deze nieuwe killchain ziet er als volgt uit:

next

Vandaag de dag gaan hackers “slimmer” te werk en ondernemen meer stappen dan voorheen om een netwerk binnen te komen.

  1. Research

In de research fase wordt het target van een hacker uitgebreid onderzocht. Dit kan door bijvoorbeeld sociale media te onderzoeken. Dit wordt ook wel “social engineering” genoemd. Aangezien vrijwel iedereen van social media gebruik maakt, is dit ook voor hackers een uiterst doeltreffend middel voor het verkrijgen van informatie.

  1. Phishing

Nadat het target is onderzocht wordt er een phishing campagne ontwikkeld. Deze wordt verstuurd naar een individu, organisatie of zelfs een branche. Steeds meer wordt hierbij gebruik gemaakt van spear phishing waarbij de e-mail compleet is afgestemd op het target. Daardoor is de slagingskans een stuk groter.

  1. Redirect

In de phishing e-mail wordt het target verleid om op een link te klikken. Vervolgens komt de gedupeerde, vaak doordat achter een legitieme website diverse andere websites worden geopend, terecht op de pagina van een hacker. Dit hoeft niet eens zichtbaar te zijn.

  1. Exploit-kit

De hacker start vanaf zijn website een scan middels een exploit-kit. Deze scan bepaalt de zwakheden op het systeem van het target. Dit kan een oude versie zijn van Java, Adobe of Office.

  1. Dropper file

De hacker benut een zwakheid in het systeem van het target om binnen te komen. Dit doen zij door het versturen van een dropper file. Doordat de dropper file via een SSL verbinding van de hacker naar het systeem wordt gestuurd, hebben onder andere firewalls moeite dit te onderscheppen. Mobiele devices, zoals laptops, hebben hier al helemaal moeite mee.

  1. Call Home

De dropper file communiceert terug naar de server van de hacker, ook wel de command & control server genoemd. De hacker weet op die manier dat hij succesvol ingebroken heeft en kan vervolgens via scripting het systeem overnemen. Hierbij worden veel technieken gebruikt waardoor de hacker bijvoorbeeld toegang krijgt tot het geheugen of root-rights. Doordat dit vanuit een legitieme applicatie gebeurt, wordt het niet herkend. Enkele technieken zijn: Heap spray, SEHOP, Stack Pivot en DLL Hijacking.

  1. Data Theft

De laatste stap is de fase waarin de hacker zijn doel bereikt. Dit kan zijn het stelen van data, het activeren van ransomware of alle bezigheden op een systeem te loggen en dus te functioneren als spyware.

Phishing

Phishing is een oude techniek en begon ooit bij e-mails van de “Nigerian Prince” met het verzoek een geldbedrag over te maken. Vandaag de dag is phishing nog altijd uiterst effectief. Wij zien veel phishing e-mails voorbijkomen en deze zien er zeer professioneel uit. Naast e-mails die niet van echt te onderscheiden zijn worden websites compleet nagebouwd en lijken tot in detail op de legitieme website. Het is gebruikers dan ook bijna niet meer kwalijk te nemen dat zij op deze links klikken. Wij denken dat phishing voor hackers een uiterst effectief en belangrijk kanaal zal blijven om een systeem of netwerk binnen te dringen.

Ransomware

Ransomware is een belangrijk voorbeeld van malware die vaak begint met phishing. Ransomware heeft met de komst van Bitcoins een enorme vlucht genomen. Dit komt door de niet-traceerbare geldstroom die hieraan verbonden is. Bitcoins zijn eenvoudig te verkrijgen maar aan wie ze worden betaald is niet te achterhalen. Bitcoins gecombineerd met de toenemende waarde en het belang van data maakt het versleutelen van een systeem en het vragen van ransom voor het retourneren van de data enorm lucratief. De combinatie van exploits en hoeveelheid malware samples (dus ook ransomware samples) versus verouderde technieken als signature-based antivirus maakt ransomware uiterst succesvol. Hierdoor zijn “next-gen” technieken een must.

Next-gen endpoint technieken

In de security markt zijn diverse trends gaande die inspelen op de verschillende nieuwe dreigingen. Wij zien dat het endpoint centraal staat in de nieuwe aanvalstechniek van een hacker. Hierdoor is er veel ontwikkeling in de nieuwe technieken die juist op het endpoint worden toegepast. Wat opvalt is dat alle technieken niet langer gebruik maken van signatures. Hieronder een samenvatting van de meest voorkomende nieuwe technieken in de markt.

Allereerst is er behavioral analysis. Hierin wordt nauw gekeken naar applicaties en welke processen zij opstarten en dus welk gedrag zij daadwerkelijk vertonen. Zo is het onlogisch als er vanuit Adobe of Office andere bestanden worden geraadpleegd die geen relatie hebben met het desbetreffende softwarepakket. Door deze techniek te gebruiken kunnen hackers worden tegengewerkt die via een exploit misbruik maken van een vertrouwde applicatie.

Traffic detection is de techniek die de script technieken van een hacker gaat herkennen. Tot nu toe zijn er ongeveer vijfentwintig bekend. Door deze technieken te herkennen zijn exploit mitigators in staat deze ook te blokkeren. Hiermee voorkomt men dat de hacker zich volledige rechten over het systeem toe-eigent. Exploit mitigators zijn niet afhankelijk van signatures doordat de verschillende scripting-technieken van een hacker zelden toenemen. Daardoor is deze techniek nauwelijks afhankelijk van updates.

Exploit mitigation is de techniek die de script technieken van een hacker gaat herkennen. Tot nu toe zijn er ongeveer vijfentwintig bekend. Door deze technieken te herkennen zijn exploit mitigators in staat deze ook te blokkeren. Hiermee voorkomt men dat de hacker zich volledige rechten over het systeem toe-eigent. Exploit mitigators zijn niet afhankelijk van signatures doordat de verschillende scripting-technieken van een hacker zelden toenemen. Daardoor is deze techniek nauwelijks afhankelijk van updates.

Machine learning is op dit moment hét buzzword van iedere leverancier die zich “next-gen” noemt. Het begrip wordt actief gebruikt in de communicatie van de verschillende fabrikanten. Daardoor ontstaat er ook veel onduidelijkheid over de daadwerkelijke betekenis hiervan.

Wanneer een tweede machine profiteert van de kennis die door een eerste machine is opgedaan, omdat daar bijvoorbeeld een virus op is gevonden, wordt al gesproken van machine learning. Dit is wat iedere signature based altijd al doet. In dat geval wordt namelijk ergens op de wereld een virus gevonden en gepatcht. Vervolgens wordt een nieuwe signature gepubliceerd zodat de overige systemen het virus direct herkennen.

Deep learning

Om de term machine learning – en de vernieuwde techniek erachter – te onderscheiden van al bestaande technieken, wordt inmiddels gesproken over deep learning. Wanneer deep learning wordt toegepast zijn signatures overbodig. Daar komt de term signatureless antivirus ook uit voort. Een deep learning agent is zelf in staat virussen te herkennen, ook als deze nog nooit eerder zijn gevonden. Dit is een complex proces en is het meest eenvoudig uit te leggen aan de hand van het volgende voorbeeld:

In de afbeelding zijn zowel honden als bagels te zien. In het verleden was het onmogelijk voor een computer om de verschillen hiertussen te herkennen. Door een systeem te leren welke afbeelding een hond en welke een bagel vertegenwoordigt, kan het systeem dit herkennen. Deep learning technieken hebben dit veranderd.

Deep learning heeft niet langer een exact voorbeeld nodig om een bestand te herkennen, maar kan door kennis over kenmerken van een hond versus kenmerken van een bagel zélf beoordelen in welke categorie de afbeelding valt. Met deep learning kan een computer zelf beoordelen dat een afbeelding waarin een snuit, oren, soort vacht, poten en heeft een staart te zien zijn, geen bagel is maar een hond. Voor het herkennen van malware werkt dit op dezelfde manier. Dit ziet er dan als volgt uit:

Door een enorme hoeveelheid data en kennis over de kenmerken van malware, aangevuld met een enorme hoeveelheid data en kennis over de kenmerken van “non-malware”, samen te voegen wordt een agent gecreëerd die zelf in staat is malware te herkennen en hierover vervolgens beslissingen te nemen.

Deep learning lijkt wellicht eenvoudig maar is een zeer complexe technologie. Deze techniek is zeer afhankelijk van de kennis over malware en non-malware. Deep learning agents die onvoldoende getraind zijn omdat er te weinig big data is gebruikt, leveren veel false positives op omdat de agent niet in staat is de juiste keuzes te maken. Deep learning is daarmee zo krachtig als de kennis die erachter verscholen ligt.

Conclusie

Het dreigingslandschap is veranderd. Het endpoint wordt weer steeds belangrijker. Wij zien dat hackers veel meer stappen ondernemen om succesvol te zijn en hiervoor een vernieuwde kill chain gebruiken. Een uitgebreide oriëntatiefase waarin sociale media een belangrijke rol spelen, evenals spear phishing die op het target geschreven wordt maken de aanvallen een stuk geloofwaardiger. De technieken die vervolgens ingezet worden zijn duidelijk ontwikkeld om bestaande beveiligingsmaatregelen te omzeilen. Er wordt gebruik gemaakt van exploits, zero day malware, scripting en SSL-verbindingen.

De combinatie van deze nieuwe technieken vraagt een vernieuwde aanpak in de beveiligingstrategie. Het is daarbij belangrijk dat juist de nieuwe technieken worden herkend. Next-gen endpoint security is geen marketingkreet zonder inhoud maar voegt wel degelijk de benodigde nieuwe beveiligingslagen toe die helpen om hiertegen te beschermen. Er is echter nog altijd een groot verschil in de kwaliteit van de verschillende next-gen oplossingen. De grootste verschillen zitten in de kleinste details. Een gedegen kwalitatief onderzoek is enorm belangrijk bij de keuzes voor een optimale endpointbeveiliging.

Wilt u meer weten over de beveiliging van uw organisatie?

Als u naar aanleiding van deze informatie vragen heeft over de beveiliging van het endpoint of andere beveiligingslagen, adviseer ik u daar natuurlijk graag over.

Roël Bouman, Solution Advisor Security bij Comparex

 

1 REACTIE

LAAT EEN REACTIE ACHTER