De RSA-conferentie is ’s werelds grootste en meest gerespecteerde bijeenkomst van CISO’s, technologen en cyberbeveiligingsspecialisten. Nu er een nieuw decennium aanbreekt – en de volgende conferentie in februari in San Francisco plaatsvindt – is er een nieuwe reeks uitdagingen.
Ziftend door zo’n 500 inzendingen van cyberbeveiligingsdeskundigen die staan te popelen om het podium op de conferentie te betreden (ik zit in de commissie die de presentaties kiest), biedt een blik op opkomende problemen zoals deep fakes, stalkerware en surveillanceaanvallen, terwijl reeds lang bestaande thema’s, waaronder DevOps en ransomware, weer aan belang winnen.
Als u een bedrijfsleider bent, let dan op deze trends (of zorgen). Ze kunnen van invloed zijn op uw organisatie. Hier zijn enkele van de grootste uitdagingen die we zien op basis van de inzendingen.
1. Fakes en deep fakes zijn de nieuwe buzzwords.
Deep fakes – vervalste video’s en audio-opnamen die op de echte lijken – is een onderwerp dat veel deskundigen bezighoudt. Iedereen kan software downloaden om deep fakes te maken, wat veel mogelijkheden biedt voor kwaadaardige activiteiten. Een politicus kan worden nagemaakt met een stemverliezende opmerking voor de verkiezingen. Een vervalste opname van een topman kan de boekhoudafdeling opdracht geven een financiële transactie uit te voeren naar de bankrekening van een crimineel. Nieuwe vormen van “stalkerware”, een soort spyware, traceren smartphonegegevens van slachtoffers om een beeld te krijgen van hun activiteiten; dit kan worden gebruikt om vervalste video’s, spraakopnamen of schriftelijke communicatie te creëren. De beveiligingsindustrie is nog bezig met het uitwerken van een antwoord op deze nieuwe dreiging.
2. Smartphones worden gebruikt bij surveillance-aanvallen.
Met het toenemende gebruik van bank-apps en touchless-betalingen worden smartphones hubs voor financiële transacties. Dit heeft geleid tot een toename van mobiele surveillance-aanvallen, waarbij volgsoftware op telefoons wordt geïnstalleerd om het gedrag van mensen te volgen aan de hand van hun smartphonegebruik. Dat maakt zakelijke e-mailfraude mogelijk, bekend als business email compromise. Hoe meer een aanvaller weet over de activiteiten van een slachtoffer, hoe gemakkelijker het is om hem een nep-e-mail te sturen die hem ertoe brengt een bestand met kwaadaardige code te downloaden. Gebruikers moeten zich meer bewust worden van de gevaren van mobiele surveillance en de stappen om deze tegen te gaan.
3. Ransomware wordt steeds geavanceerder naarmate bedrijven uitbetalen.
We zagen veel inzendingen over de evolutie van ransomware en het kat-en-muisspel tussen aanvallers die op zoek zijn naar slimme manieren om detectiemogelijkheden te omzeilen en verdedigers die op zoek zijn naar nieuwe manieren om ze te blokkeren. In plaats van lukraak gegevens te versleutelen, richten criminelen zich nu op waardevolle bedrijfsgegevens om die te versleutelen en er losgeld voor te vragen. Naar mijn mening is ransomware halverwege zijn levenscyclus. We zullen er nog vele jaren over praten, maar uiteindelijk zullen we het onder controle hebben als we onze verdediging aanscherpen.
4. Aanvallen op de toeleveringsketen nemen toe.
Hierbij injecteren cyberaanvallers code in een website – vaak e-commerce of financiën – waardoor ze gegevens kunnen stelen, zoals de persoonlijke gegevens van klanten en creditcardgegevens. Tegenstanders hebben dit soort aanvallen verdubbeld en hebben enkele recente successen geboekt. In 2019 kreeg een bekend Brits bedrijf een recordboete van 241 miljoen dollar opgelegd voor een aanval op de toeleveringsketen. Aangenomen werd dat deze was opgezet door de Magecart-dreigingsgroep. Andere grote bedrijven hebben met soortgelijke aanvallen te maken gehad. Meer aanvallen zijn waarschijnlijk. Verdedigers moeten de beveiliging tegen malafide code verbeteren en voortdurend op hun hoede zijn om deze te identificeren en te elimineren.
5. DevOps versnelt de ontwikkeling van software, maar vergroot de beveiligingsrisico’s.
DevOps is een transformationele methode voor het maken van code die ontwikkeling en operaties aan elkaar koppelt om software-innovatie te versnellen. DevOps staat in contrast met traditionele vormen van softwareontwikkeling, die monolithisch, traag, eindeloos getest en gemakkelijk te verifiëren zijn. In plaats daarvan is DevOps snel en vereist het veel kleine, iteratieve veranderingen. Maar dit verhoogt de complexiteit en opent een nieuwe reeks beveiligingsproblemen. Met DevOps kunnen bestaande beveiligingskwetsbaarheden worden vergroot en zich op nieuwe manieren manifesteren. De snelheid waarmee software wordt gemaakt, kan betekenen dat ontwikkelaars ongezien nieuwe kwetsbaarheden creëren. De oplossing is om beveiligingsmonitoring vanaf het begin in het DevOps-proces in te bouwen. Dit vereist samenwerking en vertrouwen tussen de CISO en het DevOps-team.
6. Emulatie- en decoy-omgevingen moeten geloofwaardig zijn.
Grote bedrijven zijn op zoek naar het creëren van “emulatie-omgevingen” om onbekende bedreigingen op te sporen. Deze bootsen geloofwaardige servers en websites na, maar zijn in werkelijkheid bedoeld om slechte actoren te lokken en zo hun gedrag te observeren en gegevens over hun methoden te verzamelen. Decoys werken op een vergelijkbare manier. De uitdaging is om emulatie-omgevingen te creëren die goed genoeg zijn om de tegenstander te laten denken dat het om een echte server of website gaat.
7. De reactie op cloudincidenten vereist nieuwe hulpmiddelen en vaardigheden voor interne beveiligingsteams.
Organisaties zijn gewend aan het omgaan met cyberbeveiligingsincidenten op hun eigen netwerken. Maar wanneer hun gegevens in de cloud zijn opgeslagen, kunnen beveiligingsteams het moeilijk hebben. Zij hebben geen volledige toegang tot beveiligingsgegevens, omdat deze worden gecontroleerd door de cloudprovider. Ze kunnen dus moeite hebben om onderscheid te maken tussen alledaagse computergebeurtenissen en beveiligingsincidenten. Bestaande incidentresponsteams hebben nieuwe vaardigheden en hulpmiddelen nodig om forensisch onderzoek uit te voeren op cloudgegevens. Bedrijfsleiders moeten hun teams vragen of zij bereid en in staat zijn om beveiligingsaanvallen in de cloud te beheren en erop te reageren.
8. Kunstmatige intelligentie en machine learning.
We hebben talloze papers ontvangen over AI en ML. Deze technologieën bevinden zich in een vroeg stadium van cyberbeveiliging. Aanvallers bestuderen hoe netwerken ML gebruiken voor beveiligingsverdedigingen, zodat ze kunnen uitvinden hoe ze die kunnen doorbreken. Zij kijken naar de manier waarop AI-deskundigen proberen beeldherkenningssystemen zo te foppen dat zij een kip of een banaan als mens herkennen. Hiervoor is het nodig te begrijpen hoe de ML-engine van het systeem werkt en vervolgens manieren te bedenken om het effectief te misleiden en de wiskundige modellering te doorbreken. Aanvallers gebruiken soortgelijke technieken om ML-modellen voor cyberbeveiliging te misleiden. AI en ML worden ook gebruikt om diepe vervalsingen te stimuleren. Zij verzamelen en verwerken enorme hoeveelheden gegevens om hun slachtoffers te begrijpen en te weten of een diepe nepaanval of fraude zal slagen.
9. Hardware- en firmware-aanvallen zijn terug.
Er is toenemende bezorgdheid over kwetsbaarheden in hardware, zoals Spectre en Meltdown. Deze maken deel uit van een familie van kwetsbaarheden, onthuld in 2018, die van invloed zijn op bijna elke computerchip die in de afgelopen 20 jaar is gemaakt. Er hebben nog geen ernstige aanvallen plaatsgevonden. Maar beveiligingsexperts voorspellen wat er zou kunnen gebeuren als een hacker in staat zou zijn om dergelijke zwakke plekken in hardware en firmware uit te buiten.
10. Krachtige gebruikers hebben bescherming nodig.
Het creëren van veilige verbindingen voor senior executives en ander toppersoneel dat toegang heeft tot de meest gevoelige bedrijfsgegevens op hun eigen apparaten, is van vitaal belang. Welke maatregelen moeten worden genomen om hen veilig te houden?
11. De beveiligingsindustrie neemt eindelijk maatregelen tegen DNS-spoofing.
IP-adressen zijn de getallenreeksen waarmee computers op een internetnetwerk worden geïdentificeerd. Het Domain Name System kent aan elk IP-adres een naam toe, zodat het op het web kan worden gevonden. DNS staat bekend als het telefoonboek van het internet. Kwaadwillenden kunnen deze namen echter vervalsen, waardoor gebruikers ten onrechte op websites terechtkomen waar ze het risico lopen dat hun gegevens worden gestolen. De industrie is eindelijk begonnen met het verzamelen van meer DNS-informatie om deze problemen op te sporen en DNS-spoofing te voorkomen.