De security-industrie is aan de verliezende hand. Men is er niet in geslaagd om penetratie van netwerken door malware te voorkomen. Toch zijn er wel lichtpuntjes te ontdekken, blijkt uit een rondgang langs een aantal analisten en experts.
Rik Turner, analist bij Ovum, constateert dat een aanval doorgaans pas wordt ontdekt wanneer een netwerk is binnengedrongen. ‘Vervolgens kan niet veel meer worden gedaan dan de schade zoveel mogelijk te beperken.’ Hij stelt dat de afgelopen twee decennia het accent bij de virusbestrijding is verschoven van preventie naar detectie. Volgens hem betekent dat in zekere zin een nederlaag voor de cybersecurity-industrie.
Een grote verandering is ook dat de traditionele antivirus-signatures niet meer dan 30 à 40 procent van de malware kunnen vangen. Deze klassieke methode om kwaadaardige software te herkennen en onschadelijk te maken verliest haar effectiviteit. De cybercriminelen worden steeds slimmer.
Ook het aantal gepubliceerde kwetsbaarheden is enorm toegenomen. Volgens het Amerikaanse Cyentia Institute en Kenna Security waren dat er in 2017 al 15.000. Turner: ‘Uiteindelijk wordt maar 2 procent hiervan daadwerkelijk door aanvallers gebruikt. Probleem is echter dat je niet weet welke tot een exploit leidt.’
Falen
Extra lastig is dat aanvallers steeds sneller van een zwakke plek kunnen profiteren. Ze hebben gemiddeld nog maar twintig dagen nodig om een exploit te maken en de aanval te openen. Volgens Roard Pollock, marketingdirecteur bij Ziften Technologies, werken eerder genoemde signatures alleen bij bekende malware. Dit traditionele model faalt als onbekende virussen opduiken. Dan moeten nieuwe signatures worden geschreven. Dat duurt gemiddeld zo’n twee weken.
Uiteraard zit de security industrie niet stil. Netwerken zitten vol ‘sandboxen’ waar verdachte software in kan worden gecheckt. Verder is men zich meer gaan richten op afwijkend gedrag van gebruikers ergens in het netwerk. Een ander verdedigingsmiddel is om de detectie en response lokaal bij de laptop of een ander endpoint te plaatsen. Ook ‘threat intelligence’ komt meer in zwang. Hierbij wordt informatie verzameld over het karakter van de aanval.
Geen panacee
Veel wordt ook gesproken over kunstmatige intelligentie (artificial intelligence, ai) en dan vooral over machine leren. Via patroonherkenning wordt het gemakkelijker het kaf van het koren te scheiden en de echte gevaren op te sporen. Machine leren wordt overigens al ruim vijftien jaar toegepast, onder meer voor anti-spam software.
Tijdens het NetEvents over veiligheid en netwerken in Albufeira leidde een discussie hierover tot de conclusie dat ai geen panacee is. Jan Guldentops, directeur van BA Test Lab: ‘Het is geen magie die overal tegen helpt.’ Wel is het mogelijk de cybersecurity expert te ontlasten. Telkens als een alarm overgaat, kan ai alvast kijken of het werkelijk nodig is hier veel aandacht aan te geven. Het is een hulpmiddel voor het rangschikken van alarmmeldingen. Dit gebeurt snel en efficiënt. Sommige repeterende taken lenen zich hier goed voor.
Vitaly Kamluk, directeur van het Global Research & Analysis Team bij Kaspersky, wil op persoonlijke titel wel reageren op de vraag hoe belangrijk ai momenteel is voor de virusbestrijding. Hij spreekt van een hype. Wel vergroot het de bescherming. Probleem is dat machine learning niet erg betrouwbaar is. Het kan moeilijk onderscheid maken tussen malware en onschadelijke software. Hij vergelijkt de situatie met het bezit van een mes. Je kunt dat gebruiken om groente te snijden of om iemand te steken. Ai kan moeilijk beoordelen of het een goed is en het ander slecht. Het foutpercentage ligt hoog. Daarom is ai vooral bruikbaar als een ‘second opinion’.
Hype met toegevoegde waarde
Ook Paul Ducklin, senior security adviseur bij Sophos, beschouwt ai als een hype maar ook van toevoegde waarde voor de security-industrie. Hij noemt machine leren een geweldige techniek om mensen vrij te maken voor de echt belangrijke taken. ‘Omdat het nuttig en effectief werkt en computers nu veel meer data kunnen verwerken, wordt machine leren meer ingezet.’
Verder relativeert hij de snelle groei van het aantal gepubliceerde kwetsbaarheden. Een van de redenen dat we steeds meer meldingen krijgen, is dat de it-beveiligingsindustrie beter wordt in het vinden van bugs. Daarnaast speelt mee dat beloningen worden gegeven voor het ontdekken van bugs. Hij benadrukt wel dat er veel meer methoden bestaan om malware af te vangen dan alleen signatures. Sophos heeft naast ai en signatures ook anti-exploittechnieken als securitymechanisme. ‘De criminele exploitatietechnieken veranderen niet, per jaar komen er ongeveer één à twee bij. Omdat we de technieken kennen, hoeven we tegen exploits alleen deze te monitoren. Dat maakt het sneller, veiliger en effectiever tegen criminelen.’
Vitaly Kamluk (Kaspersky) wijst op de Anti-Exploit Programs (AEP), een extra veiligheidslaag die tegen nieuwe exploits beschermt. Volgens hem moet het probleem van nieuwe, nog onbekende malware niet uit zijn proporties worden getrokken. Het op tijd doorvoeren van updates is een veel grotere bottleneck. Veel klanten dralen daarmee.