Het zero trust-concept is de laatste jaren steeds bekender geworden, ook onder de C-suite. Met deze bekendheid steeg ook het aantal organisaties dat dit concept toepast voor het beveiligen van connectiviteit. Daarmee is het echter ook een interessant doelwit voor cybercriminelen, die in toenemende mate misbruik willen maken van zero trust – geholpen door recente ontwikkelingen in AI.
Als een cybercrimineel erin slaagt toegang te krijgen tot een zero trust-omgeving, bijvoorbeeld door gebruik te maken van een gestolen identiteit, moeten organisaties de schade tot een minimum kunnen beperken. Misleidingtechnologie kan hier een rol in spelen. Voor beveiligingsteams is misleiding al jaren een onderdeel van hun draaiboek. Deze technologie zal binnenkort nog gemakkelijker te implementeren zijn dankzij machine learning (ML) en artificial intelligence (AI). AI kan echter ook gebruikt worden door cybercriminelen om aanvallen te optimaliseren en automatiseren. Daarom zullen beveiligingsteams hun bestaande ideeën over misleidingstechnologieën de komende tijd moeten updaten of zelfs een geheel nieuwe methodologie moeten overwegen: negative trust.
Wat zit er achter de opkomst van negative trust als nieuwe misleidingsmethode? En hoe ziet een negative trust-omgeving eruit?
AI en het veranderende beveiligingslandschap
De good guys gebruiken AI en ML al sinds 2001 voor bescherming tegen malware en fraude. We zien nu dat cybercriminelen in toenemende mate gebruikmaken van AI. Nieuwe coderingstechnieken maken het veel moeilijker om vanuit een zero day-perspectief te detecteren en large language models (LLM) helpen aanvallers om kwetsbaarheden in de beveiliging sneller te ontdekken en zelfs de output kunnen testen om er zeker van te zijn dat deze niet detecteerbaar is.
Beveiligingsteams zullen hierop moeten reageren door generatieve AI vaker te gebruiken voor verdediging tegen geavanceerde dreigingen. Hoe kan misleidingstechnologie hierbij helpen?
De geschiedenis van deceptie
Misleiding is niet nieuw: het concept van honeypots en tarpits als middel om ongeoorloofde toegangspogingen op te sporen of af te slaan, bestaat al jaren. Maar ik zou zeggen dat dit concept zijn tijd altijd een beetje vooruit was.
In de kern is cyberbeveiliging een race tussen verdediger en aanvaller. Om te winnen moet je sneller zijn, over betere data beschikken en meer opties binnen handbereik hebben, maar je moet ook de concurrent vertragen, zijn energie verspillen en obstakels creëren. Dit laatste gaat over misleidingstechnologie: het doel is om identiteiten te beschermen met valse inloggegevens (nepapplicaties, bestanden of datastructuren). Bij elke stap moeten aanvallers fouten kunnen maken, bij voorkeur op een manier die niet verraadt dat ze misleid worden.
In 2009 zette RSA labs een project op om hun wachtwoorden beter te beschermen. Dit deden ze door valse wachtwoorden toe te voegen aan wachtwoordbestanden. Zo probeerden ze te bereiken dat aanvallers nooit zeker zouden weten of gestolen credentials echt waren of niet. Voor dit project waren mensen nodig om algoritmen te ontwikkelen voor het maken van die valse wachtwoorden (ook wel honeywords genoemd). Mensen bleken echter ook de zwakke schakel in dit project. Misleidingtechnologie gebruiken voor wachtwoorden was niet zo’n goed idee, omdat dergelijke algoritmen vele malen sterker zijn wanneer ze worden gecreëerd door machines.
Hetzelfde spel, andere regels
Fast forward naar 2023: nieuwe technologieën zoals zero trust en AI veranderen het misleidingsspel. Ze bieden organisaties een krachtigere, geautomatiseerde, intelligente aanpak van misleidingstechnologie. Als het Zscaler Zero Trust Exchange-platform bijvoorbeeld een hoge risicoscore ontvangt, kan het nu nepopties creëren die veel geloofwaardiger zijn dan een paar jaar geleden. Deze technologieën kunnen zelfs lokmappen en -bestanden maken en vervolgens de verdedigers waarschuwen als iemand toegang probeert te krijgen tot deze mappen of bestanden. Het beveiligingsteam krijgt een digitaal signaal dat er een slechte actor in het systeem zit. Verdedigers kunnen de aanvaller vervolgens realistisch ogende nep-applicaties sturen. Dit vertraagt aanvallers, waardoor ze stilletjes van het hoofdnetwerk naar een digitale opslagplaats kunnen worden verplaatst waar geen echte data staan. Dit is wat we een negative trust-omgeving noemen.
Het doel van een negative trust-omgeving is om het vertrouwen in bedrijfsmiddelen te elimineren en ervoor te zorgen dat aanvallers, wanneer ze zich in een netwerk bevinden, bang zijn dat ze het verkeerde bestand openen en ontdekt worden. Ongeacht welke data of activa ze uit het netwerk halen, ze zullen nooit zeker weten of deze echt zijn of niet. Hierdoor wordt hun output gedevalueerd en verspillen ze hun tijd.
Op dit moment worden er vooraf negative trust-omgevingen gecreëerd in zero trust-omgevingen, met een breed scala aan lokmiddelen in de hoop een aanvaller te pakken te krijgen. In de toekomst is het doel om een negative trust-omgeving rond een aanvaller te creëren wanneer deze een waarschuwing activeert. Deze negative trust-omgeving wordt vervolgens meteen gepersonaliseerd rond datgene waar de aanvaller toegang tot probeert te krijgen, in plaats van dat er een heel systeem met bestanden en nep-applicaties moet worden gecreëerd. Dit zorgt voor een meer op maat gemaakte en dus effectievere misleiding, waarbij ook de rekenkracht van beveiligingsteams niet wordt verspild.
Conclusie
Organisaties moeten er alles aan blijven doen om cyberrisico’s te verkleinen. Daarnaast moeten zij actief bezig zijn met het plaatsen van obstakels op de paden van cybercriminelen om hen te vertragen, verwarren en tegenhouden. AI kan hierbij helpen.
Door Sam Curry, VP and CISO bij Zscaler