Een terugblik op InfoSecurity 2018

Preventie, detectie, inspectie en mitigatie. Het zijn de sleutelwoorden die gecombineerd helpen om te voorkomen dat je gehackt wordt of de gevolgen van een hack te minimaliseren. De beursvloer van InfoSecurity stond vol met bedrijven die zich in één of meer van deze IT security facetten specialiseren. Er zijn op dit soort expo’s echter ook altijd wel een paar bedrijven te vinden die de zaken net iets anders aanpakken. In dit bezoekverslag lichten we er drie uit.

Een algemene trend die op vooral de stands van de grotere bedrijven zichtbaar is, is steeds verdere integratie van oplossingen. Denk aan firewalls die ook dienst kunnen doen als intrusion prevention & detection applicance. Een ander voorbeeld: anti-virus software die gekoppeld kan worden aan een centraal security-dashboard waardoor je gebeurtenissen vanaf verschillende apparaten (of zelfs binnen het gehele bedrijfsnetwerk) kunt correleren. Dit helpt om sneller te kunnen vaststellen waar een inbraak(poging) wordt uitgevoerd en welk deel van het bedrijf of van de bedrijfsmiddelen in gevaar is. De meest voorkomende manieren waarop er bij bedrijven digitaal ingebroken wordt zijn hierbij volgens meerdere bronnen op de beurs:

  • Phishing (via social media en/of e-mail)
  • Social engineering
  • Nabootsen van (social media) accounts
  • Misbruik van kwetsbaarheden in verouderde firmware, applicaties en besturingssystemen
  • Misbruik van misconfiguraties in de IT-infrastructuur

Een belangrijk aandachtspunt blijft awareness. Een groot deel van alle beveiligingsproblemen komt door menselijke fouten of menselijk handelen. Door continu om aandacht te besteden aan cyber security kan de kans op een hack of datalek worden gereduceerd. Er zijn hiervoor inmiddels diverse oplossingen verkrijgbaar, variërend van kant-en-klare campagnes in huisstijl naar keuze tot gadgets die op ludieke wijze proberen om aandacht te vragen voor een specifiek onderwerp. Een van de leukste gadgets waren pepermuntjes die als “instant security awareness capsule” werden aangeboden.

ThousandEyes

Met een monitor die ongeveer driekwart van de hele stand opslokte, was het Amerikaanse ThousandEyes voor het eerst in Nederland op een beurs aanwezig. Het product dat ze maken is even simpel als krachtig: ze maken netwerken inzichtelijk. Wat ze hiervoor gebruiken is in feite niet heel veel meer dan een eenvoudige traceroute. De toegevoegde waarde zit echter in de manier waarop de verkregen data grafisch wordt weergegeven. Door periodiek een totaal overzicht met alle hops van source tot destination op te slaan, kan een zeer gedetailleerd diagram worden weergegeven van alle netwerkpaden en hoe deze zich historisch hebben gedragen. Als voorbeeld was er een failover van een router binnen het netwerk van een ISP te zien. In het netwerkdiagram zag je hierbij letterlijk één van de hops op rood springen en vervolgens het verkeer via een andere hop lopen. Zeker bij bedrijven die een complex netwerk hebben met veel locaties of endpoints kan de diagram-weergave enorm veen inzicht verschaffen. Er kan bovendien snel en eenvoudig worden vastgesteld of een door medewerkers ervaren storing aan een ISP ligt, door het bedrijfsnetwerk wordt veroorzaakt of wordt veroorzaakt door een applicatieprobleem. Wie het leuk vindt kan op thousandeyes.com een aantal dagen een gratis demo-account gebruiken. Hoewel het de vraag is of het product gezien kan worden als specialistisch security-gereedschap, helpt het wel bij het inzichtelijk maken van alle netwerkverbindingen van/naar het bedrijf en daarmee kan het zeker helpen om de bron van een aanval (zoals dos) te localiseren.

Cybersprint

Grondlegger en CEO Pieter Jansen van Cybersprint gaf op donderdagmiddag een korte, maar boeiende presentatie over de manier waarop hackers geautomatiseerd aanvallen uitoefenen. Een hacker werkt hierbij doorgaans via stappen die zijn samengevat in de door Lockheed Martin bedachte Cyber Kill Chain. Hierbij wordt door zowel hackers als cyber security experts volop gebruik gemaakt van Open Source Intelligence (OSINT). Dit zijn bronnen op het internet die publiek informatie beschikbaar stellen. Denk hierbij niet alleen aan social media of zoekmachines, maar ook aan databanken met informatie over bijvoorbeeld scheeps- en vliegtuiglocaties en webcams. Een interessante poster van Bell¿ngcat met een groot aantal OSINT bronnen vind je hier. Cybersprint gebruikt OSINT voor het in kaart brengen van het aanvalsoppervlak van bedrijven en overheden. De data die dit oplevert wordt verwerkt in hun voornaamste product: het Risk Monitoring Platform. Volledig geautomatiseerd geeft dit platform een actueel beeld van beveiligingsrisico’s en ook het automatisch ondernemen van mitigerende maatregelen is mogelijk. Wat nog wel aan het denken zette: door de jaren heen zijn er diverse succesvolle cyberaanvallen uitgevoerd. Stuk voor stuk beschikten die aanvallen over een uniek kenmerk. Een “superaanval” zou mogelijk kunnen zijn wanneer meerdere van deze unieke eigenschappen in één aanval worden gebundeld. “We zijn dit nog niet tegengekomen.” aldus Cybersprint. De vraag is dan natuurlijk: komt dat omdat een dergelijke aanval nog niet is uitgevoerd of omdat deze aanval zo geraffineerd is dat deze (nog) niet te vinden is…. Wat overigens absoluut niet onvermeld mag blijven: de versgebakken stroopwafels op de Cybersprint stand waren super lekker!

Rubrik

Het derde bedrijf met een interessant product is Rubrik. Net zoals ThousandEyes en Cybersprint is ook dit bedrijf nog zeer jong: het is opgericht in 2014. Wat een groot voordeel blijkt van deze jeugdigheid is dat er geen beperkingen zijn door legacy. Er kan met een schone lei, op basis van de modernste technologie worden gewerkt om een product op de markt te brengen. Om te onderstrepen hoe modern het bedrijf is: de presentatie werd gegeven door een Fransman die de taal van het besturingssysteem op zijn laptop op Engels heeft staan. “Dit is nog nooit eerder vertoond!” zou Maarten Ducrot erover zeggen. Enfin, Rubrik heeft recent een SaaS applicatie uitgebracht die beveiligingsrisico’s kan opsporen door analyse van verschillen tussen back-ups. Door toepassing van de machine learning engine van Google worden op basis van de verschillen tussen back-ups patronen gecreëerd van ieder object dat onderdeel is van de back-up. Hierbij wordt niet de data of metadata van de back-up gebruikt, maar alleen de diff-files die bij iedere back-up worden gegenereerd. Door de aangeleerde en continue bijgewerkte patronen is de applicatie in staat om afwijkingen feilloos op te sporen. Als voorbeeld liet Rubrik-techneut Pierre-François Guglielmi in een demo zien dat er op bestandsniveau naar voren kwam dat er een map met documenten door ransomware was versleuteld. De software kon het vermoeden dat er sprake was van ransomware vaststellen op basis van een zogeheten entropie-meting. Hierbij wordt gekeken naar de mate waarin de aanwezige data gestructureerd of willekeurig van samenstelling is. Een normale map met documenten is gestructureerd van aard. Ieder document heeft immers zaken als metadata en headers waarin op een XML-achtige manier data over het document is opgeslagen. Wanneer de data echter volledig willekeurig en er geen structuur kan worden herleid dan is de kans groot dat er sprake is van encryptie en daarmee dus van een aanval met ransomware.

Tot slot: de ketting en de zwakste schakel

Een onderwerp wat niet heel breed aan bod kwam, maar waarvan te verwachten valt dat er in de toekomst veel om te doen gaat zijn: zakenrelaties. Grootzakelijke bedrijven en overheden investeren steeds meer in de beveiliging van hun IT-omgeving. Een groot bedrijf of overheidsorgaan heeft echter in veel gevallen ook een flink aantal leveranciers en partners waarmee ze samenwerken. Die bedrijven zijn lang niet altijd van dezelfde omvang en daarmee ook niet altijd in staat om dezelfde beveiligingsmaatregelen te nemen. Omdat een ketting zo sterk is als de zwakste schakel, zie je dat hierdoor voor alle bedrijven die onderdeel zijn van een bedrijfsketen een risico vormen. Naarmate hier meer aandacht voor komt zullen de eisen die grootzakelijke ondernemingen en overheden aan toeleveranciers stellen steeds strikter worden en bovendien nauwlettender worden gecontroleerd. Alleen op die manier kan de veiligheid van het geheel worden bewaakt. Het spreekt voor zich dat in deze ontwikkeling voor de betreffende toeleveranciers zowel kansen als risico’s schuilen.

Foto via https://dok30.nl/

Onderwerpen
Actieve filters: Wis alle filters
Loading...