Cybersecurity zit vol met termen die achterhaald zijn of hun betekenis hebben verloren. Het idee dat ‘slechteriken’ buiten de deur zijn te houden, bijvoorbeeld. Traditioneel gezien werden werknemers beschermd door preventieve technologieën als firewalls of security gateways die inkomend dataverkeer filteren. En dit is zeker een belangrijk verdedigingsmechanisme – vergelijk het met grenscontroles die de grenzen van een land beschermen.
Ondertussen weten we dat de ‘slechteriken’ zich al onder ons bevinden – we weten alleen nog niet wie ze zijn. Daarom hebben we technologie nodig die minder op preventie is gericht en meer op detectie en het ondernemen van actie. Hoe zorgen we ervoor dat personen die zich al achter onze firewall bevinden geen schade aanrichten? Nog specifieker: hoe houden we de mensen tegen die privileged access hebben tot een bedrijfsnetwerk – in andere woorden, mensen die heel gemakkelijk op legale wijze wachtwoordauthenticatie verkrijgen en vanaf dat moment dus volledig hun gang kunnen gaan?
Om eerlijk te zijn, kunnen de meeste technologische oplossingen dit tegenhouden simpelweg niet. Als een vertrouwde insider toegang krijgt tot het crm-systeem van een bedrijf, is het security operations centre (SOC) dan in staat om een datalek te voorkomen? Of misschien zijn de gegevens van een privileged user gestolen bij een APT-aanval. Is dat tegen te houden als de aanvaller eenmaal in het wachtwoordmanagementsysteem zit? Het antwoord is: nee. Of in ieder geval is het zeer onwaarschijnlijk.
Gedrag als ontbrekende factor
Ondanks al onze multi-factorauthenticatie, wachtwoordmanagement en sessiemonitoring, missen we namelijk één punt als het gaat om het ontdekken van misbruik door bevoorrechte accounts: gedrag. Gedrag is de ontbrekende factor in het ontdekken en voorkomen van datalekken. Gedrag is het nieuwe authenticeren.
Machines zijn over het algemeen homogeen. Wanneer meerdere machines dezelfde specificaties hebben en op dezelfde manier geprogrammeerd zijn, gedragen ze zich hetzelfde. Dat kan van mensen niet gezegd worden: wij zijn allemaal geheel uniek. Dat geldt ook voor privileged users, en wat hen uniek maakt is hun gedrag bij het uitvoeren van hun dagelijkse taken.
Gedragspatroon
Een privileged user heeft een typisch patroon van werkgedrag, dat opgeslagen kan worden als metadata. Op welke servers loggen ze gewoonlijk in en wanneer? Wanneer zijn ze ingelogd, wat doen ze normaal gesproken? Welke commando’s gebruiken ze? Welke applicaties? Als we de sessies van elke gebruiker een bepaalde periode bijhouden, kunnen we een beeld schetsen van hun digitale gedrag. Dat noemen we user profiling.
Als er een inbreuk van binnenuit plaatsvindt, zullen er dingen zijn die afwijken in het gedragspatroon van die persoon. De gebruikte commando’s wellicht, of misschien is het een heel ongebruikelijke tijd voor diegene om ingelogd te zijn in het crm-systeem?
Muisbewegingen en typsnelheid
In het geval van een APT-aanval kan een slimme cybercrimineel het typische gedrag van degene wiens account gehackt is nadoen, zodat de metadata identiek is. Wat dan? In dat geval kijken we verder dan de metadata, naar zeer specifiek maar meetbaar gedrag zoals de manier van typen en muisbewegingen. Hoe snel typ ik nu? Best snel, eigenlijk. Als iemand mijn account hackt en langzamer typt of meer fouten maakt, kunnen we dat zien als afwijkend gedrag. Zo kunnen we een inbreuk tegenhouden voor hij plaatsvindt.
Traditionele authenticatiemethoden richten zich op een bepaald punt in de tijd, en beschermen je niet tegen een aanvaller die beschikt over geldige inloggegevens. Door de dimensie ‘gebruikersgedrag’ toe te voegen, kunnen we activiteiten realtime monitoren waarbij we de privileged user continu authenticeren aan de hand van een opgebouwde basis voor een ‘digitale voetafdruk’. Hiermee verkleinen we het risico op malafide insiders en geavanceerde aanvallers aanzienlijk.
Balázs Scheidler, mede-oprichter en cto, Balabit
Aangezien de voordelen van wachtwoorden nog altijd groter zijn dan de nadelen is het onzin om te stellen dat deze dood zijn. De auteur geeft zelf al aan dat authenticatiemethoden zich richten op een bepaald punt in tijd, het ‘eroderen’ van de beveiliging door ontwikkelingen in de aanval vraagt steeds meer oplossingen voor een in essentie eenvoudig probleem. En dat is dus een steeds verdergaande profilering van de gebruiker.
Ja, je kunt op basis van digitale patronen veel te weten komen over de persoonlijkheid van de anonieme identiteit aan de andere kant van de lijn. Zo blijken (honeypot) deze veelal erg nieuwsgierig te zijn als we even kijken naar hun I/O paden op het netwerk. Het punt hier is echter of je niet altijd weet of ze vanuit hun functie ook geautoriseerd toegang hebben tot de informatie. Het lijkt me dus handig om eerst het autorisatie model op informatie zelf in te regelen en dan pas te kijken naar het authenticatie middel.
Waar zou de schrijver deze waarheid vandaan hebben?
Het wachtwoord is helemaal niet dood en bangmakerij om nieuwe zaken erdoor te drukken is ook niet op zijn plaats.
Dat hackers nieuwe aanvalsvectoren vinden zul je rekening mee moeten houden. Dat je metadata gedrag scant kan maar het mag geen opmaat zijn om deze gegevens van iedere gebruiker bij te gaan houden voor het geval dat.
Daar komt nog bij dat het scannen van (online) gedrag een behoorlijke inbreuk op je privacy is!
Overigens gedraag ik me thuis online anders dan op het werk. En ik typ in Excel anders dan in Word: andere frequentie, andere woorden / getallen. Maar ook als ik me tot het tikken van teksten beperk, dan laat ik een andere “vingerafdruk” achter wanneer ik een reactie op Computable tik dan wanneer ik een (Engestalige) bijdrage aan een (functioneel) ontwerp inklop.
Patroonherkenning op gedrag lijkt een leuke academische studie, als (primaire) authenticatie is het niet geschikt. Stel, het systeem dat jij in beheer hebt, ligt eruit. Je bent gestrest, wil inloggen, fail! Resultaat: de hele organisatie ligt plat omdat je het foute authenticatie algoritme hebt gekozen.