Cybersecurity krijgt veel aandacht, en terecht. Cybercriminelen hackten eerder deze maand de mailserver van de Amerikaanse televisiezender Fox21 en eisten vijfduizend dollar losgeld van het bedrijf als dat weer toegang tot alle e-mails wilde. Hackers hebben drie jaar lang toegang tot de systemen van QinetiQ gehad, een Amerikaans defensiebedrijf dat geavanceerde wapenapparatuur ontwikkelt.
Het lijkt alsof hackers tijdelijk vrij spel hebben en vooruitlopen op de verdediging. Daarom is het tijd voor de aanval. Dit is nog altijd de beste verdediging. Want hoe graag we het ook zouden willen horen, 100 procent veiligheid bestaat niet. De werkelijkheid is dat de hacker zoekt naar zwakheden en ze vaak ook vindt en dat beveiligingsbedrijven daarop moeten reageren met een maatregel, securitypatch of update. Een virusscanner kan pas een antivirus maken als het virus bekend is. Bij het bekend worden van een nieuwe kwetsbaarheid kijkt de hacker hoe hij hier misbruik van kan maken en ontwikkelt malware en kijkt de verdediger hoe hij zich hiertegen kan wapenen, met patches en updates.
Het ontwikkelen van patches is een passende noodmaatregel. Alleen heeft de ontwikkeling ervan een lange doorlooptijd. Daarom moeten verdedigers zoeken naar slimmere alternatieven die direct beschikbaar zijn. Gelukkig zijn er wel degelijk mogelijkheden voor een ‘actieve’ verdediging.
Inbraakdetectiesystemen komen razendsnel met detectie- en preventieregels. Deze zijn zeer snel in te zetten waardoor lekken virtueel zijn gedicht. Security-experts leggen een verband tussen een kwetsbaarheid en actie van de IPS. Hierdoor kunnen direct virtuele maatregelen getroffen worden zonder te wachten op een securitypatch.
Moderne e-mail- en websecurityfilters werken met innovatieve reputatiefilters en speciale outbreak-filters. Deze worden razendsnel ingezet voor detectie en preventie van aanvallers die gebruikmaken van recente kwetsbaarheden. Deze filters treden automatisch in werking en bieden daarmee eveneens een vorm van ‘actieve verdediging’. Een uitstekend werkend voorbeeld daarvan zijn de VOF-filters van Cisco IronPort.
Bij een succesvolle digitale inbraak lekt data weg naar de aanvaller. Systemen die onderdeel zijn van een botnet houden verbinding met zogenoemde command-and-control-systemen op internet. Door intensief het uitgaande verkeer te filteren is het mogelijk de schade van een inbraak in een aantal gevallen tot nul te reduceren. Bijvoorbeeld het botnetfilter van Check Point biedt direct toegevoegde waarde voor actieve verdediging.
Focus ook op managementsystemen die een breed blikveld hebben in plaats van puntoplossingen die specifiek naar één type maatregel kijken. Zowel bewaking als wijzigingenbeheer kan met centraal management sneller en vollediger functioneren waardoor de noodzakelijke doorlooptijd wordt verkort.
En dan nog dit: focus niet alleen op de weerbaarheid, maar ook op securitymonitoring om eventuele inbraken snel op te sporen. Garantie voor volledige bescherming is niet realistisch. Koppel systemen voor beveiliging aan automatische logging-analyse waardoor verdachte patronen sneller aan het licht komen. De komst van het Nationaal Cyber Security Centrum vorig jaar is een grote stap om samen te werken op het gebied van cybersecurity. Kennisdeling vanuit NCSC middels beveiligingsadviezen, factsheets en een dreigingsbeeld geven je de ingrediënten voor een actieve verdediging. Alleen een ‘actieve verdediging’ gecombineerd met securitymonitoring biedt zekerheid en vertrouwen voor de ict-voorzieningen. Kies voor de aanval.
Bastiaan Bakker, Directeur Business Development bij Motiv
