Cybersecurity zit vol met termen die achterhaald zijn of hun betekenis hebben verloren. Het idee dat ‘slechteriken’ buiten de deur zijn te houden, bijvoorbeeld. Traditioneel gezien werden werknemers beschermd door preventieve technologieën als firewalls of security gateways die inkomend dataverkeer filteren. En dit is zeker een belangrijk verdedigingsmechanisme – vergelijk het met grenscontroles die de grenzen van een land beschermen.
Ondertussen weten we dat de ‘slechteriken’ zich al onder ons bevinden – we weten alleen nog niet wie ze zijn. Daarom hebben we technologie nodig die minder op preventie is gericht en meer op detectie en het ondernemen van actie. Hoe zorgen we ervoor dat personen die zich al achter onze firewall bevinden geen schade aanrichten? Nog specifieker: hoe houden we de mensen tegen die privileged access hebben tot een bedrijfsnetwerk – in andere woorden, mensen die heel gemakkelijk op legale wijze wachtwoordauthenticatie verkrijgen en vanaf dat moment dus volledig hun gang kunnen gaan?
Om eerlijk te zijn, kunnen de meeste technologische oplossingen dit tegenhouden simpelweg niet. Als een vertrouwde insider toegang krijgt tot het crm-systeem van een bedrijf, is het security operations centre (SOC) dan in staat om een datalek te voorkomen? Of misschien zijn de gegevens van een privileged user gestolen bij een APT-aanval. Is dat tegen te houden als de aanvaller eenmaal in het wachtwoordmanagementsysteem zit? Het antwoord is: nee. Of in ieder geval is het zeer onwaarschijnlijk.
Gedrag als ontbrekende factor
Ondanks al onze multi-factorauthenticatie, wachtwoordmanagement en sessiemonitoring, missen we namelijk één punt als het gaat om het ontdekken van misbruik door bevoorrechte accounts: gedrag. Gedrag is de ontbrekende factor in het ontdekken en voorkomen van datalekken. Gedrag is het nieuwe authenticeren.
Machines zijn over het algemeen homogeen. Wanneer meerdere machines dezelfde specificaties hebben en op dezelfde manier geprogrammeerd zijn, gedragen ze zich hetzelfde. Dat kan van mensen niet gezegd worden: wij zijn allemaal geheel uniek. Dat geldt ook voor privileged users, en wat hen uniek maakt is hun gedrag bij het uitvoeren van hun dagelijkse taken.
Gedragspatroon
Een privileged user heeft een typisch patroon van werkgedrag, dat opgeslagen kan worden als metadata. Op welke servers loggen ze gewoonlijk in en wanneer? Wanneer zijn ze ingelogd, wat doen ze normaal gesproken? Welke commando’s gebruiken ze? Welke applicaties? Als we de sessies van elke gebruiker een bepaalde periode bijhouden, kunnen we een beeld schetsen van hun digitale gedrag. Dat noemen we user profiling.
Als er een inbreuk van binnenuit plaatsvindt, zullen er dingen zijn die afwijken in het gedragspatroon van die persoon. De gebruikte commando’s wellicht, of misschien is het een heel ongebruikelijke tijd voor diegene om ingelogd te zijn in het crm-systeem?
Muisbewegingen en typsnelheid
In het geval van een APT-aanval kan een slimme cybercrimineel het typische gedrag van degene wiens account gehackt is nadoen, zodat de metadata identiek is. Wat dan? In dat geval kijken we verder dan de metadata, naar zeer specifiek maar meetbaar gedrag zoals de manier van typen en muisbewegingen. Hoe snel typ ik nu? Best snel, eigenlijk. Als iemand mijn account hackt en langzamer typt of meer fouten maakt, kunnen we dat zien als afwijkend gedrag. Zo kunnen we een inbreuk tegenhouden voor hij plaatsvindt.
Traditionele authenticatiemethoden richten zich op een bepaald punt in de tijd, en beschermen je niet tegen een aanvaller die beschikt over geldige inloggegevens. Door de dimensie ‘gebruikersgedrag’ toe te voegen, kunnen we activiteiten realtime monitoren waarbij we de privileged user continu authenticeren aan de hand van een opgebouwde basis voor een ‘digitale voetafdruk’. Hiermee verkleinen we het risico op malafide insiders en geavanceerde aanvallers aanzienlijk.
Balázs Scheidler, mede-oprichter en cto, Balabit
