Voor de cio's en beveiligingsagenten onder ons, heb ik twee nogal verrassende boodschappen. Ten eerste: we zijn niet goed bezig. Ten tweede: we moeten ons concentreren op het goede, niet op het slechte. In de war? Even uitleggen.
Sinds de begindagen van cybersecurity is het beveiligingsmodel dat gebruikt wordt, nog niet fundamenteel veranderd. Het model is gebaseerd op wat we weten over cyberdreigingen, ook wel ‘the known bad’ genoemd. Op basis van de gevaren die we ontdekken, creëren we een afweermechanisme dat voorkomt dat ze opnieuw toeslaan. Dit model werkte in het begin, omdat ‘cybercriminelen’ toen nauwelijks meer waren dan een bende puisterige jongeren die met hun malware zoveel mogelijk schermen wilden bereiken. De tegenstanders van tegenwoordig zijn echter fulltime professionals met veel schadelijkere motieven.
Het traditionele beveiligingsmodel van opsporen en voorkomen is daardoor compleet achterhaald. Niet alleen omdat malware veel meer schade kan aanrichten dan we zouden willen voordat hij daadwerkelijk wordt opgemerkt. Hij valt onze systemen ook aan met een ongekende snelheid en in oneindig veel varianten, waardoor het onmogelijk is om de ‘bad guys’ bij te houden.
Anders gezegd: we staan miljoenen criminelen toe om onschuldige slachtoffers te kwetsen voor we in actie schieten, terwijl zij ondertussen al een nieuwe soort bedreiging voorbereiden. Het is alsof je in je huis zit en inbrekers observeert terwijl ze je bestelen, om erachter te komen hoe ze het doen en ervoor te zorgen dat ze op die manier niet meer binnen kunnen komen. Maar intussen hebben ze een andere manier gevonden om naar binnen te komen, die je opnieuw moet observeren zodat je kan voorkomen dat het nog eens gebeurt. En zo verder, enzovoort. Dat klinkt niet erg goed, toch?
Focus op ‘the known good’
Maar is er een alternatief? Gelukkig wel. Alleen vraagt die oplossing dat wij onze redenering drastisch veranderen. In plaats van ons te concentreren op het ‘bekende slechte’ (‘known bad’), kunnen we ons beter focussen op het ‘bekende goede’ (‘known good’) om zo een ‘onbekende slechte’ (‘unknown bad’) te identificeren wanneer die opduikt.
Wanneer je hebt vastgesteld wat normaal gedrag is voor je netwerkverkeer – externe gebruikers die inloggen, meestal op hetzelfde moment, met dezelfde frequentie en vanaf dezelfde locatie – kan je een referentiepunt van normaal of ‘goed’ gedrag vastleggen. Elke afwijking kan dan als verdacht worden beschouwd en is het waard om te worden onderzocht voor ze de kans krijgt om schade aan te richten.
Dat betekent wel dat we ons moeten ontdoen van het dwaze idee dat we misschien nooit zullen worden getroffen. We moeten uitgaan van de veronderstelling dat het zal gebeuren en de resterende vragen zijn ‘wanneer, waar en hoe’. Let op: het ‘known good‘-model moet modulair genoeg zijn. Het zal voor elke organisatie anders zijn, en zelfs binnen een organisatie zal het verschillen: de boekhoudafdeling heeft waarschijnlijk andere werkgewoontes dan de it-afdeling. Geen gemakkelijke taak, want het vraagt investeringen in tijd, personeel en geld.
‘The known bad’ niet overbodig
De nieuwe proactieve benadering vervangt de traditionele aanpak van het identificeren van bedreigingen en het voorkomen van aanvallen niet. Beide methoden zijn complementair en in combinatie met machine learning en artificial intelligence kunnen ze een strakker beveiligingssysteem vormen dan wat we tot nu toe hebben gehad.
We zullen de cyberspace nooit volledig malware-vrij kunnen maken. Maar we kunnen het risico van malware die schade toebrengt aan onze infrastructuur ernstig beperken. En zoals ik zal uitleggen in een volgend stuk, draait cybersecurity eerder om risicobeheersing dan om risico-eliminatie. Malware is niet langer een bezigheid van onschuldige nerdy tieners, maar een serieus bedrijfsmodel. En zo moeten we cybersecurity ook behandelen.
