Als we de berichten mogen geloven zijn het allang niet meer de bekende schurkenstaten die uit zijn op (bedrijfs)spionage en diefstal van intellectueel eigendom. Eigenlijk wat geheime diensten van oudsher doen, maar dan digitaal. Dit zijn tegenstanders van een heel ander kaliber dan de gemiddelde hacker. Het geeft aan hoe moeilijk het is geworden om de cybercrimineel, in welke hoedanigheid dan ook, van het digitale lijf te houden. Zelfs de cybercrimineel moet op zijn tellen passen nu minister Opstelten wil terughacken!
Voor beveiliging in cyberspace geldt ook wat voor normale beveiliging (‘hang & sluitwerk’) geldt: je kunt er altijd wel doorheen. Afdichten dus. Maar juist dat is in de praktijk onmogelijk geworden. Het is daarom zaak om niet alleen maar naar de buitenkant te kijken. Ook netwerken worden meer en meer op software gebaseerd en waar software is zijn kwetsbaarheden. De cybercrimineel die daar gebruik van weet te maken komt gewoon naar binnen.
Met al dit gedoe aan de achterkant wordt de voordeur vaak uit het oog verloren. Onachtzaamheid van de gebruiker die zijn moeilijke wachtwoorden niet onthoudt maar op een geel papiertje aan de monitor plakt, laptops die open blijven staan, social engineering. De weg van de minste weerstand vormt nog altijd het grootste gat. Als de beveiliging te ingewikkeld wordt, laat de gebruiker die voordeur uit gemak gewoon openstaan. Dat betekent dat ook gedetecteerd moet kunnen worden wie er binnen is en of er sprake is van gewenst gedrag. Een holistische aanpak dus, die verder gaat dan het buiten de deur houden van bedreigingen.
Zou biometrie hier de oplossing kunnen zijn? Irisherkenning, vingerafdrukken, gezichtsherkenning? Klinkt goed, want het is in elk geval voor de gebruiker erg eenvoudig. Maar echt veilig? Nee. Volgens berichten heeft de Duitse Chaos Computer Club de splinternieuwe vingerafdruktechnologie TouchID in de iPhone al weten te kraken. Biometrische technologie lijkt veelbelovend, zeker vanwege het gebruiksgemak, maar het is niet de heilige graal. Ik zie op dit moment geen technologie – ook niet aan de horizon – waarmee gemakkelijke én goede beveiliging daadwerkelijk op een hoger niveau gebracht kan worden.
Waar het om draait is het minimaliseren van de impact van de aanval: het zo snel mogelijk naar buiten werken van de aanvaller en zorgen dat de aanval niet verder komt op het netwerk. Gewone inbrekers houd je nog wel tegen met een slot op de deur en een alarmsysteem. De geavanceerde aanvallen die we de laatste tijd zien gaan daar gewoon omheen. We zien ook stapsgewijze infiltratie om langzaam maar zeker de zaak in handen te krijgen en daar zitten hoogstwaarschijnlijk geen gewone hackers achter.
Dat betekent allemaal niet dat we machteloos staan tegen de cybercriminelen en cyberspionnen. Het gaat er nu steeds meer om dat duidelijk wordt wat er precies op het netwerk gebeurt. Door permanente monitoring en analyse kun je afwijkende verkeerspatronen boven tafel krijgen en bepalen of er sprake is van ongewenst gedrag, zoals het versturen van spam of het een begin van een aanval. Dan is het zaak in te grijpen vóórdat er schade wordt aangericht. Ook kun je werken met een betrouwbaarheidsindex voor netwerkverkeer. Als er dan een drempelwaarde wordt overschreden wordt er ingegrepen. In de praktijk is dit een accuraat systeem, dat soms iets te veel filtert. Maar het is meestal beter iets tegen te houden dat doorgelaten had moeten worden dan iets door te laten dat tegengehouden had moeten worden.
Met het kat- en muisspel tussen cybercrimelen en beveiligers zullen we moeten leren leven, net als in de fysieke wereld. Dat zal ook gebeuren. Neem internetbankieren, dat doen we nu gewoon terwijl we weten dat er soms iets mee mis kan gaan. Zoals gezegd helpt technologie om het de cybercrimineel moeilijker te maken, maar biedt vooralsnog niet de allesomvattende oplossing. Het dichthouden van de ‘voordeur’ vergt vooral bewustwording van gebruikers. Een holistische aanpak van de beveiliging zal zich moeten concentreren op het zo vroeg mogelijk detecteren van aanvallen en het minimaliseren van de impact, waarbij de bescherming aan de buitenkant natuurlijk niet op de achtergrond moet raken. En op dat gebied zullen veel organisaties nog stappen moeten zetten om de kat adequaat tegenspel te bieden.
Michel Schaalje, Technisch Directeur Cisco Nederland
