Home Security Onzichtbaar, maar niet lang!

Onzichtbaar, maar niet lang!

114

Mijn vorige blog ging over encryptie en de aanbeveling alles te versleutelen. Dat hebben de lezers goed in hun oren geknoopt! Volgens ons Annual Cybersecurity Report dat onlangs verscheen is nu de helft van het internetverkeer versleuteld, een flinke toename vergeleken met een jaar eerder. So far, so good. Maar wat blijkt? Ook cybercriminelen hebben de aanbeveling ter harte genomen. Zij versleutelen nu in meer of mindere mate ruim twee derde van al hun malware. Doel: onzichtbaar blijven voor de verdediging.

Nieuwe dynamiek

Kat en muis. Het is een veelgebruikt beeld voor cyberaanvallers en verdedigers. Maar deze zeer verschillende animals gebruiken steeds vaker precies dezelfde technologieën om hun doel te bereiken.  AI, machine learning, encryptie, noem maar op. Aanvallers doen dat om ontdekking te voorkomen en hun ‘efficiency’ te verbeteren. Verdedigers gebruiken deze technologieën om hun data en systemen ontoegankelijk te maken en om aanvallers sneller te ontdekken. Dit zorgde het afgelopen jaar voor een nieuwe dynamiek tussen aanvallers en verdedigers.

Frustratie

De verdedigers geven in het bovengenoemde rapport aan dat zij graag gebruik maken van deze geavanceerde technologieën. Alleen staan ze nog in de kinderschoenen, want tot frustratie van gebruikers leveren die technologieën nog erg veel ‘false positives’ op. Maar de tools worden ongetwijfeld slimmer en zullen dan false en true veel beter uit elkaar kunnen houden. Dat lukt in elk geval al beter bij het analyseren van gedrag op het netwerk. Negen van de tien verdedigers werken naar tevredenheid met behavior analytics tools. Vooral in de gezondheidszorg en bij financiële instellingen blijken die tools bruikbaar om kwaadaardige software te identificeren. Een belangrijke doorbraak op dit vlak is dat nu ook versleuteld netwerkverkeer geanalyseerd kan worden om afwijken en schadelijk gedrag op te sporen. Het is bovendien niet nodig om de inhoud van het verkeer te kennen, die blijft versleuteld.

Wapenwedloop

Zowel de verdedigers als de aanvallers zijn enthousiast zijn over dezelfde nieuwe technologie. Dat betekent een nieuwe wapenwedloop, waarin de ene partij er alles aan doet om onzichtbaar te blijven terwijl de andere partij alles uit de kast haalt om het onzichtbare zichtbaar te maken. Het afgelopen jaar hebben we kunnen constateren hoe ver dat gaat. Voor de verdediging zijn zogeheten ‘sandboxes’ om zonder gevaar na te gaan of bestanden schadelijk zijn. Wat schadelijk is komt niet verder het bedrijfsnetwerk op. Onze onderzoekers hebben e-mails aangetroffen met malware die van diverse technieken gebruik maken om detectie in zo’n zandbak te ontlopen. Die malware verspreidt zich dan ongehinderd verder.

Alles draait om detectie

De gehele securitygemeenschap is het er wel over eens dat het onmogelijk/onbetaalbaar is om alle schadelijke zaken tegen te houden. Dat er vroeg of laat iets door de verdediging slipt is onvermijdelijk. Dan is het zaak om dat zo snel mogelijk op te merken en in actie te komen. Volgen het Cybersecurity Report lukte dat het afgelopen jaar gemiddeld binnen 4,6 uur. Dit is veel sneller dan de 39 uur time-to-detection (TTD) die in 2016 werd gemeld, en ruim onder de 14 uur TTD in 2017. En dat terwijl het malwareverkeer met een factor 10 is toegenomen! Onze wapens zijn steeds beter tegen de nieuwe aanvalstechnologieën opgewassen. We staan zeker niet machteloos!

Michel Schaalje, Directeur Security Cisco Nederland

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in