Cyberdreigingen vormen een gevaar voor zo goed als alles met een stekker. Maar in het kwade handelen van zowel malware als hackers zit een zekere mate van voorspelbaarheid. Een voorspelbaarheid die niet met het menselijk waarnemingsvermogen, maar wel met brute rekenkracht aan de oppervlakte komt. Predictive security analytics vormt een nieuw wapen in de strijd. Maar wat is het precies?
Volgens vele beveiligingsexperts zijn er twee type bedrijven: zij die gehackt zijn en dat ook weten, en zij die gehackt zijn, maar dat nog niet weten. Hackers en malware zijn de afgelopen jaren dusdanig geprofessionaliseerd dat er simpelweg geen ontkomen meer aan is. Trends als bring your own device en het internet of things hebben het security-experts bovendien niet gemakkelijker gemaakt. Bijna alles met een stekker heeft ook een ip-adres en staat dus bloot aan gevaar.
Van preventie naar detectie
Niet voor niets is de verdedigingstactiek aan het verschuiven van preventie naar detectie. Want hoe dik het digitale hang- en sluitwerk ook is: hackers en malware vinden zich toch wel een weg naar binnen. Het is tegenwoordig dan ook veel belangrijker om goed voorbereid te zijn op een hack. En bovendien het kwaad vroegtijdig op te sporen, zodat het in een vroeg stadium onschadelijk kan worden gemaakt.
Precies hiermee kan predictive security analytics van grote waarde zijn. Maar wat is het eigenlijk precies?
Wat is predictive security analytics?
Predictive security analytics is eigenlijk de opvolger van het zogenoemde SIEM (Security Information and Event Management). SIEM-tools monitoren simpelweg gebeurtenissen. Logins op het bedrijfsnetwerk, veranderingen van wachtwoorden, policies en netwerkconfiguraties. Dergelijke acties worden doorgaans vastgelegd in logbestanden en SIEM-oplossingen verzamelen al die informatie in een centrale database. Dat is handig, want zo kun je bij een digitale inbraak na afloop precies zien wat zich heeft voorgedaan. En daar lessen uittrekken voor de toekomst.
Een stap verder
Predictive security analytics gaan een stap verder. Ze hebben niet alleen de functionaliteit van een SIEM-oplossing, maar analyseren vervolgens ook al die verzamelde gegevens, op zoek naar opvallende en ronduit verdachte verbanden. Het kan bijvoorbeeld zijn dat iedere week op exact hetzelfde tijdstip een bepaalde gebruiker inlogt op het netwerk. En dat bovendien iedere keer precies twee uur naderhand een bepaalde mutatie plaatsvindt in de bedrijfsdatabase.
Dergelijke acties zijn op zichzelf niet verdacht, gebruikers loggen dagelijks in en uit en ook de database staat continu aan veranderingen bloot. Maar juist de exacte regelmaat waarmee de twee acties elkaar opvolgen, is een potentieel verdacht signaal. En in die voorspelbaarheid ligt een enorme kans om dreigingen tijdig te herkennen en erger te voorkomen.
Speuren naar verbanden en toevalligheden
Predictive security analytics-oplossingen speuren continu naar dergelijke verbanden en ’toevalligheden’. Ze analyseren en combineren de informatie uit alle verschillende logs en zoeken daarin naar verbanden. Want daarin liggen aanwijzingen verborgen. Aanwijzingen die bijvoorbeeld duiden op de aanwezigheid van een ongenode gast op het netwerk. Of een hardnekkige maar ogenschijnlijk onzichtbare malware-infectie. Maar ze monitoren bijvoorbeeld ook al het netwerkverkeer: ze keren ieder datapakketje dat over het netwerk schiet binnenstebuiten. Want bij big data-gebaseerde security geldt net als voor andere big data-toepassingen: over des te meer gegevens je beschikt, des te beter verbanden zichtbaar worden.
Een capabele oplossing moet al die data wel kunnen relateren aan afzonderlijke gebruikers, apparaten en gebeurtenissen. Security-gerelateerde events creëren namelijk zoveel data, dat het voor de it-afdeling al snel niet meer te overzien is. Die menselijke beperking is nou juist wat een geautomatiseerd systeem zo krachtig maakt.
Rol van de mens
Toch is de factor mens met deze opsporings- en verdedigingstechniek nog altijd essentieel. Want vaak is het alleen de mens die kan bepalen of de zogenaamd verdachte bevindingen ook daadwerkelijk niet kies zijn. Overzichtelijke dashboards zijn daarvoor noodzakelijk. Deze moeten de complexe relaties tussen alle gebeurtenissen en entiteiten in een bedrijfsnetwerk haarfijn visualiseren. Vervolgens is het aan de security-experts om daaruit de juiste conclusies te trekken. Zij kunnen dus allesbehalve met de armen over elkaar.
Predictive security analyics biedt organisaties een nieuw, krachtig wapen in de strijd tegen cyberdreigingen. Het laat eens te meer zien welke waardevolle inzichten in big data verborgen liggen.
” Maar juist de exacte regelmaat waarmee de twee acties elkaar opvolgen, is een potentieel verdacht signaal.”
Van wat dan? Dat je met exacte regelmaat wordt gehackt ? Lijkt mij juist een duidelijke false flag.