Misleiding is een machtig middel, maar niet alleen voor aanvallers. Verdediging valt ook flink te versterken met misleiding, om digitale schatten te beschermen en om cyberaanvallen te detecteren.
Misleiding kan bogen op een rijke historie. Zo zijn tijdens de Tweede Wereldoorlog complete nepdorpjes opgetuigd om Boeings-bommenwerperfabrieken te verbergen. Dichter bij ons, en tegen het einde van de oorlog, is de vijand misleid met opblaastanks, -trucks en meer.
‘Opblaas’ niet in de explosieve zin van het woord, maar als met-lucht-gevuld. Deze nepobjecten dienden om de invasie schijnbaar elders te laten plaatsvinden. Tijdens de Eerste Wereldoorlog is er zelfs een replica van Parijs gemaakt. Compleet met Champs-Elysées en Gare Du Nord.
Cyberstrijd
Tot zover de geschiedenis en fysieke oorlog. Misleiding speelt ook een belangrijke rol in de moderne tijd en in cyberstrijd. Het misleiden van securitymiddelen is een bekend gegeven in de huidige digitale wereld. Zo verstopt malware zich in bestanden die zijn vermomd als andere bestanden, waarbij de kwaadaardige code ook nog eens verdoezeld is zodat de ware werking niet gelijk duidelijk is. Minder bekend is dat misleiding ook wordt ingezet voor verdediging tegen cybergevaren. Bovendien heeft misleiding nog veel meer te bieden.
Het is onder security-onderzoekers al lange tijd standaardpraktijk om niet alleen code te analyseren, maar ook om malware te lokken zodat het valt te analyseren. Dit betreft enerzijds volautomatisch opererende malware ‘voor de massa’, anderzijds digitale dreigingen die als gerichte aanval direct worden aangestuurd door cybercriminelen. Zo bestaat er al bijna dertig jaar de inzet van zogeheten honeypots, om aanvallende vliegen, wespen en ander cybergespuis te lokken. Een ander voorbeeld is het bewust laten draaien van (vermoede) malware in een geïsoleerde omgeving, zoals een virtuele machine of sandbox van een security-oplossing.
Tweezijdig zwaard
Moderne malware is echter door de makers voorzien van uiteenlopende detectiemogelijkheden voor deze vormen van misleiding. Het lijkt dus een wedstrijd haasje-over waarbij aanvallers vaak voorop liggen. Misleiding heeft echter meer in haar mars, ook juist ter verdediging. Het werkt namelijk twee kanten op, mits goed ingezet. Dit vertegenwoordigt een nieuwe aanpak van cybersecurity, die in de toekomst de standaard kan, of nee moet zijn.
Het klinkt als toekomstmuziek, maar onderzoeksbureau Gartner heeft voorspeld dat één op de tien bedrijven komend jaar al gebruik maakt van tools en tactieken voor misleiding. Zij doen dan actief aan deceptie om aanvallers te detecteren, om de tuin te leiden en tegen te houden. In plaats van de basale opzet van honeypots gaat het hierbij om geavanceerde digitale lokvogels die aanvallers weten te overtuigen. Normale honeypots bevinden zich tot op heden namelijk buiten de eigenlijke infrastructuur waar organisaties op vertrouwen en die ze dus moeten beschermen. Vandaar ook dat moderne malware aan bepaalde indicatoren kan zien of het te maken heeft met een echt doelwit of met een lokdoos. In het geval van virtuele machines is de afwezigheid van een muis een weggever. Ook het ontbreken van documenten en andere tekenen van echt computergebruik kan verraden dat het gaat om een testomgeving van een security-onderzoeker of beveiligingssysteem.
Fundamenteel foppen
Misleiding als fundamenteel onderdeel van cyberdefensie gaat erom digitale dreigingen diepgaand te misleiden. Dit dient dan niet alleen om ze te weren maar ook om ze te detecteren. Compromitteren van een nepdoelwit kan een stil alarm laten afgaan waardoor de aangevallen organisatie een voorsprong kan nemen op de aanvallers. Het is hierbij zaak om overtuigende lokvogels op te stellen, in het hart van de ict-omgeving.
Misschien moet er zelfs een nepinfrastructuur vol met verschillende lokvogels worden opgetuigd, doorweven in de echte infrastructuur. Denk aan namaaknetwerken, fop-clients, misleidende documenten, afleidende applicaties en deceptie-databases. Dit alles moet natuurlijk het reguliere gebruik van de echte infrastructuur niet in de weg zitten. Geen geringe, maar wel noodzakelijke opgave.
Continue waakzaamheid
Het klinkt als een verkooppraatje, maar security is geen einddoel waarvoor een enkele oplossing valt aan te schaffen. Cybersecurity is een zaak van doorlopende waakzaamheid. Effectieve cybersecurity van de nabije toekomst zal dan ook gekenmerkt worden door een combinatie van kundige experts, slimme technologieën en subtiele tactieken. Daarbij is een belangrijke rol weggelegd voor ‘inlichtingen’, die mede verkregen worden uit de resultaten van misleidingsoperaties. De deceptie van digitale dreigingen kan daarbij op zichzelf staan of juist één linie zijn in verweven verdedigingswerken in de strijd tegen cybercrime. Kennis is macht en misleiding ontneemt kennis aan de vijand. Ergo: misleiding geeft macht.
Gelukkig hebben wij de grootste experts der misleiding in Den Haag zitten. Om de miljarden schade politiek en ambtenaar middels impotentie en incompetentie te compenseren is er nu een stok om de krijgsmacht nog verder in te krimpen.
Voor het grote werk heb je geen kogels of kogewerend vest meer nodig. Win/Win.