Onderzoekers van TNO uit Delft hebben samen met experts uit de financiële sector en biomedische wetenschappen een methode ontwikkeld om ict-beveiliging zelfhelend te maken. Ze zijn erin geslaagd om geautomatiseerd softwarecontainers uit te schakelen en te vernieuwen nadat ze door een cyberaanval afwijkend gedrag vertoonden. In een volgende fase worden nieuwe scenario’s bekeken om zelfhelende ict-beveiliging in te zetten. Bijvoorbeeld bij banken, telecombedrijven en universiteiten.
Projectleider van het Self Healing Security-project van onderzoeksinstituut TNO, Bart Gijsen: ‘De uitdaging was om een gedecentraliseerd systeem te bouwen dat zichzelf herstelt. In een proof-of-concept bouwde het onderzoeksteam adaptieve, zelf regenererende ict-functionaliteit in het container-orchestratieplatform Kubernetes. De containers (soort virtuele machines red.) kunnen zich bij een cyberaanval direct vernieuwen. Dat deden we met nieuw ontwikkelde software die functionaliteit toevoegt aan het bestaande orchestratieplatform.’
Hij vervolgt: ‘Zelfregeneratie van containers zorgt er al voor dat eventueel onopgemerkt besmette containers niet langdurig benut kunnen worden door cyberaanvallers. Daarbovenop gaat het erom dat zo snel mogelijk gehandeld wordt zodra een container abnormaal gedrag begint te vertonen. In plaats van te wachten tot de timer voor een specifieke container afloopt wordt bij abnormaal gedrag de container direct getermineerd.’
Deze toevoeging van anomaliedetectie (afwijkingen of onregelmatigheden red.) maakt het zelf regenererende systeem ook nog eens adaptief, aldus de projectleider.
Immuunsysteem
De onderzoekers haalden hun inspiratie voor de security-aanpak uit de natuur. In de basis zijn ze uitgegaan van de manier waarop cellen in het menselijk lichaam virussen en bacteriën bestrijden en zich vernieuwen. Dat is omgezet naar een concept voor ict-beveiliging. Dat idee komt van Rogier Reemer. Die enterprise-architect van verzekeraar Achmea maakt deel uit van de onderzoeksgroep. Reemer studeerde af als immunoloog.
Reemer: ‘Op een computernetwerk draait centrale beveiligingssoftware. Zodra de aanvaller een laptop hackt, wordt die buitengesloten en is de rest van de laptops veilig. Maar in het menselijk lichaam draait iedere cel zijn eigen scans. Als een cel is geïnfecteerd zet hij zichzelf uit en geeft hij een waarschuwingssignaal aan alle andere cellen, dus zonder aansturing van bovenaf.’ Dat over het lichaam gedistribueerde verschijnsel wordt in de biomedische wetenschappen ‘disposability’ genoemd en vormt de basis van zijn idee. ‘Een fundamenteel verschil tussen ict-systemen en het menselijk lichaam is disposability,’ stelt hij. ‘Eens in de zoveel tijd vervangt het menselijk lichaam zijn eigen biologische cellen. Afhankelijk van het orgaan gebeurt het sneller of trager. Ook het immuunsysteem gebruikt dat principe. Als het verwacht dat cellen zijn besmet met een virus, start al snel een vernieuwingsproces.’
Gijsen: ‘In de ict kennen we dat niet. Daar is het adagium: het werkt, vooral van afblijven en zo lang mogelijk laten draaien. Vandaar dat we het gedistribueerde mechanisme van disposability als een van de eerste vraagstukken hebben onderzocht. Onze vraag: hoe kun je moderne ict-technologie gebruiken om in ict-infrastructuur tot een automatisch vernieuwingsproces te komen dat adaptief is ten behoeve van cybersecurity?’
Einde maken aan ratrace
Projectleider Gijsen: ‘We hebben laten zien dat ‘self-healing’ geen loze term is. Je kunt er daadwerkelijk een architectuur mee opzetten die cyberverdediging in veel hogere mate automatiseert en integreert met anomaliedetectie dan nu het geval is. In het hele arsenaal is dit een fundamenteel mechanisme om aanvallers te verslaan en verdedigers steun te bieden om hun werk goed te doen.’
Gijsen hoopt dat de zelfhelende beveiliging een tegenwicht biedt aan de almaar heftig wordende strijd van bedrijven en organisaties tegen cybercriminelen. ‘Verdediging tegen cyberaanvallen staat bij grote organisaties, zoals banken, energiebedrijven, telecombedrijven, overheidsinstellingen en vervoerders, hoog op de agenda. Het probleem is dat ze de ratrace dreigen te verliezen. Steeds als de aanvaller iets nieuws bedenkt, moet het slachtoffer een verdedigingsmechanisme vinden. En zodra de nieuwe bescherming is gevonden, komt de aanvaller met een manier om die te kraken. Die ratrace willen we doorbreken.’
Hoe nu verder?
Samen met ABN AMRO, Achmea, ING en de Volksbank richt TNO de pijlen op volgende innovaties in cybersecurity. Om die beter aan te laten sluiten bij actuele ontwikkelingen, kiezen ze voor een nieuw samenwerkingsverband (zie kader onderaan artikel). Door ‘kortcyclische innovatie’ en agile werken moeten toepassingen sneller in de praktijk worden gebracht.
TNO is nog op zoek naar meer partijen die zich bij dat onderzoek willen aansluiten. Het gaat om grote ict-gebruikers uit alle sectoren met een volwassen securityafdeling zoals bij banken, Ook met Shell wordt over deelname gesproken. Daarnaast kunnen kleine securitybedrijven met specifieke expertise, bijvoorbeeld van anomaliedetectie (afwijkend functioneren en/of onregelmatigheden) worden uitgenodigd om deel te nemen, licht Gijsen toe.
In 2021 worden de bevindingen gedeeld in de opensourcegemeenschap rondom Kubernetes en self healing security. Dan staat er in Amsterdam het evenement Kubernetes Community Days gepland waar TNO zijn bevindingen wil presenteren en delen met opensource-experts.
Onderzoek
Het idee van self healing security ontstond in het Shared Research Programma (SRP) Cybersecurity van TNO. Daarin werkte de onderzoeksinstelling samen met security officers van ABN Amro, ING, Rabobank, Volksbank en Achmea aan nieuwe toepassingen.
In juli 2020 is PCSI gestart (Partnership for Cyber Security Innovation) Dat programma, de opvolger van SRP, onderzoekt vooral de praktische toepassingen van zelfhelende beveiliging. Het geld voor de onderzoeken komt uit gezamenlijke bijdragen door de deelnemende bedrijven en wordt vermeerderd met een bijdrage van de overheid (basisfinanciering Economische Zaken).
TNO is projectleider en voert de onderzoeken uit op basis van zijn cybersecurity-expertise, in dit geval aangevuld met micro-biologische kennis (immuniteit).
