Jezelf verdedigen tegen cybercrime… het wordt steeds moeilijker voor bedrijven. Enerzijds omdat de 'cybercrimesector’ steeds meer professionaliseert – analyses bij grote databreaches tonen aan dat hackers hun acties vaak maanden van tevoren minutieus plannen – en anderzijds omdat het potentieel aantal doelwitten exponentieel stijgt door onder meer het groeiende aantal internet of things (iot)-apparaten.
Dat vraagt van bedrijven dus een andere aanpak om hun kroonjuwelen te beschermen. Een ding is zeker: niemand blijft gevrijwaard.
Uit recente cijfers van de Duitse sectorvereniging Bitkom – de tegenhanger van ons NLdigital – blijkt dat in de afgelopen twee jaar maar liefst 70 procent van de Duitse bedrijven schade ondervonden van digitale aanvallen. Voor ons land laten meerdere studies dezelfde trend zien. En het aantal beschikbare specialisten staat niet meer in verhouding tot het aantal aanvallen. Vandaag zijn er meer dan een miljoen cybersecurity-experts te weinig, zowel voor de implementatie van de oplossingen, het laten werken ervan, het detecteren en onderzoeken van incidenten als het geven van security-advies.
Met dit in het achterhoofd zien we it-veiligheidsstrategieën opschuiven: zich alleen maar beschermen tegen bedreigingen is niet meer voldoende; vandaag is het cruciaal om deze tijdig te herkennen en er efficiënt op te reageren. We moeten zoveel mogelijk zaken automatiseren door het inzetten van kunstmatige intelligentie (ai) en robots. 90 procent van het werk is het vereenvoudigen en versnellen van securityprocessen door die automatisering. Als er bepaalde software op mijn thuislaptop niet goed draait, identificeert een bot dat en geeft een signaal. Menselijke interventie is daardoor overbodig.
Bedreigingen identificeren dankzij machine learning
De afgelopen decennia vertrouwden veiligheidssystemen op de zogenaamde signature-based approach om bedreigingen op te sporen. Deze aanpak, waarbij gekeken wordt naar ‘slechte’ patronen, heeft echter enkele nadelen:
- Alleen de reeds bekende dreigingsvectoren en -actoren worden herkend;
- Oplossingsgerichte benaderingen zoals ‘siem” kunnen slechts een korte periode data controleren en verwerken;
- Geavanceerde siem-cases kunnen wel de knowhow van de organisatie over eerder bekende (of goed onderzochte) bedreigingsscenario’s weerspiegelen, maar dergelijke oplossingen zijn niet effectief als data van een laagdrempelig en langzaam beveiligingslek over een lange periode moeten worden verzameld.
Om dergelijke dreigingen op te sporen, moet je data uit verschillende bronnen over een lange periode kunnen analyseren om er abnormaal gedrag uit te filteren. We zien nu oplossingen ontstaan die gebruik maken van machine learning (ml) om net die onbekende bedreigingen te detecteren. Machine learning – een vorm van artificiële intelligentie (ai) – laat computers leren zonder dat ze expliciet geprogrammeerd zijn. Er wordt een onderscheid gemaakt tussen gesuperviseerde en onbewaakte algoritmes.
Gesuperviseerde algoritmes kunnen de kennis uit het verleden toepassen op nieuwe data. Enerzijds kunnen cybersecurity-experts hierdoor nieuwe malware, aanvalsmodellen, technieken en procedures analyseren en die kennis gebruiken om hun datamodellen te trainen. Anderzijds helpt de analyse van het dataverkeer om de belangrijkste kenmerken van bedreigingen te identificeren. Deze algoritmes ondersteunen dus de detectie van bedreigingen binnen het netwerk van de organisatie vanaf het begin van een threat en zonder dat er sprake is van een organisatie-specifieke leerfase. Het grote voordeel van deze modellen is dat ze vanaf de eerste dag klaar zijn voor gebruik.
Onbeheerde algoritmes daarentegen breiden hun ‘intelligentie’ specifiek uit naar de omgeving van de klant. Sommige bedreigingsscenario’s kunnen immers alleen specifiek voor elke klantomgeving apart worden aangeleerd. Een voorbeeld hiervan is anonieme toegang voor medewerkers. Deze leeralgoritmes focussen op het begrijpen van wat het it-gebruikspatroon van de klant uniek maakt, en het opsporen van anomalieën. Het risico hier is dat ze bij blootstelling aan zo’n anomalie een foutief gedrag kunnen aannemen als normaal.
Drie opties om machine learning te gebruiken
Een inbreuk vindt meestal plaats op de endpoint devices (laptops, smartphones, et cetera) via data van de gebruiker en zoekt zich vervolgens een weg over het hele netwerk. Endpoints zijn daarom een van de belangrijkste schakels in de introductie van machine learning voor de detectie. ‘Endpoint Threat Detection and Response’-oplossingen (ETDR) blijken daarbij bijzonder veelbelovend. Naast dreigingsdetectie bieden deze oplossingen ook uitgebreide isolerings- en forensische mogelijkheden op de endpoints.
ETDR-oplossingen bieden een gedetailleerde zichtbaarheid van de dreiging op het endpoint. De uitdaging voor organisaties is om software agents op de endpoints in te zetten en te beheren. Helaas verandert door bijvoorbeeld een ‘bring your own device’-beleid (byod) of het internet of things (iot) de vormfactor van de endpoints voortdurend en kunnen de agent-based benaderingen niet snel genoeg worden opgeschaald.
In dit geval biedt het netwerk de beste mogelijkheid om laagdrempelige en trage bedreigingen te identificeren. Er schuilt waarheid in het gezegde ‘The network never lies’. Dus ‘network traffic analysis’ (nta) is een interessante oplossing. Met nta-oplossingen kunnen beide soorten algoritmes worden gebruikt en kan de geschiedenis van de bedreigingen worden gevolgd. Deze maatregelen helpen om de security-situatie van een organisatie snel en betrouwbaar in te schatten. De netwerkinterventie die nodig is om nta-oplossingen te implementeren is niet significant, dus de drempel voor implementatie is vrij laag.
Een andere benadering van het gebruik van machine learning-vaardigheden om bedreigingen te detecteren is door de credentials van de gebruiker te hanteren. Dergelijke oplossingen worden geclassificeerd als ‘user and entity behaviour’ (ueba) en kunnen via machine learning de bedreigingen in een vroeg stadium detecteren. Belangrijke cases zijn onder andere analyse van gebruikersaccounts met privileges, bedreigingen van binnenuit, data-exfiltratie of het delen van accounts.
De context kiest de juiste oplossing
Welke oplossing in welke context wordt aanbevolen, hangt af van vele factoren. De basisvoorwaarde is echter dat de betrokkenen de mechanismen begrijpen om het potentieel van de verschillende benaderingen ten volle te kunnen benutten. Machine learning biedt je een echte mogelijkheid om de beschreven laagdrempelige en trage bedreigingen uit de enorme hoeveelheden gegevens te filteren, en doet dit beter dan menselijke specialisten. Er is echter geen ideale manier om het cybersecurity-probleem op te lossen. De sleutel is vooral om meerlagige verdedigingsmechanismen te combineren met de mogelijkheden van machine learning om het best mogelijke resultaat te bereiken.
