Traditionele antivirusoplossingen en firewalls zijn vooral geschikt om bekende dreigingen te detecteren en te stoppen. Zij weten immers welke virushandtekeningen of poorten ze in de gaten moeten houden. Het is echter veel moeilijker onbekende dreigingen, waarvan geen specifieke kenmerken bekend zijn, op te sporen. Waar zoekt u immers naar, als u niet weet waar u zich tegen probeert te verdedigen?
Om ook een antwoord te kunnen bieden op onbekende dreigingen gaan we steeds meer toe naar gedragsanalyse. Door gericht te zoeken naar afwijkend gedrag is het mogelijk onbekende dreigingen te herkennen en te stoppen.
Die dreigingen komen aan het licht door het netwerkverkeer te analyseren en hierin te speuren naar opvallende gedragingen en handelingen. Denk hierbij aan malware, die om drie uur ’s nachts gigabytes aan data naar een onbekende server verstuurt, maar ook aan een gebruiker die op een ongebruikelijk tijdstip vanaf de andere kant van de wereld inlogt op zijn account.
Inzicht krijgen in versleuteld verkeer
Dataverkeer is met het oog op beveiliging echter steeds vaker versleuteld. Deze versleuteling voorkomt dat kwaadwillenden, die het dataverkeer onverhoopt in handen krijgen, deze ook daadwerkelijk kunnen inzien. Maar door de encryptie is het dataverkeer ook afgeschermd voor diepgaande inspectie. Daarom wordt steeds meer gekeken naar metadata, waaruit bijvoorbeeld blijkt wanneer welk systeem met welke server communiceert, zonder naar de inhoud van het (versleutelde) verkeer te kijken.
Om deze metadata te verzamelen, worden hardwarematige sensoren ingezet die als luisterend oor in het netwerk worden geplaatst. Deze sensoren zijn voorzien van machine learning-algoritmes en leren zichzelf in. Hierbij wordt op geautomatiseerde wijze een profiel opgebouwd van de metadata van het netwerkverkeer. Op basis van dit profiel wordt vervolgens gezocht naar afwijkend dataverkeer. Het profiel wordt continu bijgeschaafd en verbeterd, waardoor de sensoren afwijkend gedrag steeds nauwkeuriger detecteren.
Veel verbindingen zijn voorspelbaar
Sensoren voor gedragsanalyse kijken onder andere naar de hoeveelheid dataverkeer op het netwerk. Indien deze onverwachts toeneemt, kan dit bijvoorbeeld erop wijzen dat malware of een aanvaller probeert data door te sturen. Daarnaast wordt ook gekeken naar verbindingen die worden opgezet met onbekende servers en applicaties die met elkaar communiceren. Deze verbindingen zijn in belangrijke mate voorspelbaar, waardoor ook hierin afwijkingen door de sensoren worden opgemerkt.
Gedragsanalyse wordt al langer ingezet in onder andere Scada-omgevingen, zoals waterzuiveringsinstallaties en energiecentrales. In dergelijke industriële omgevingen is het netwerkverkeer doorgaans zeer voorspelbaar, waardoor zij zich bij uitstek lenen voor dergelijke analyses. Dankzij het zelflerend vermogen van de sensoren zijn deze vandaag de dag echter ook zeer geschikt voor andere omgevingen, waarin het netwerkverkeer minder voorspelbaar is.
Ik verwacht dan ook dat bedrijven, instellingen en overheden wereldwijd in toenemende mate zullen inzetten op gedragsanalyse om zich ook tegen onbekende dreigingen te wapenen. Traditionele inbraaksensoren, firewalls en antivirusoplossingen bieden immers simpelweg niet langer voldoende veiligheid.
