Zes voorspellingen over cyberbeveiliging (die misschien nog uitkomen ook)

Voorspellingen – ze zijn altijd lastig en je neemt ze beter met een korreltje zout. Zeker voorspellingen die iedere fout, vergissing of storing zien als een teken dat de digitale apocalyps nabij is. Bij Sophos willen we het dan ook anders aanpakken! We nemen de uitdrukking ‘het internet van morgen’ heel letterlijk. We vroegen een aantal medewerkers met verschillende technische functies waaraan ze de komende zes maanden tijd en energie zullen besteden. Waarop bereiden ze zich voor? Je leest hun 6 voorspellingen hier. Wij geloven alvast dat ze zullen uitkomen … We houden ons klaar, en we raden je aan om hetzelfde te doen!

1. Meer bestandsloze aanvallen (Principal Threat Researcher 2, Fraser Howard)

Vandaag komen bestandsloze aanvallen eerder sporadisch voor, maar dergelijke malware lijkt steeds meer gemeengoed te worden (Poweliks, Angler for a little, Kovter en onlangs Powmet). Dat is een natuurlijk gevolg van het wijdverbreide gebruik van machinaal leren. Ik denk ook dat er steeds meer misbruik zal worden gemaakt van Powershell.

2. Slimme fuzzing voor iedereen (Senior Security Analyst 2, Stephen Edwards)

Fuzzing zal volgens mij steeds beter en gerichter worden. Bij fuzzing genereer je automatisch miljarden ‘domme’ tests. De volgende stap is om deze tests slimmer te maken. Dat doe je door het testcreatieproces informatie te geven over hoe een programma werkt. Je kunt programmeercode automatisch verkennen, maar dat is érg moeilijk.

Met behulp van hybride technieken wordt geprobeerd om ‘domme’ (maar snelle) tests te combineren met de efficiëntie van slimmere testprocessen. Tegelijkertijd moet vermeden worden dat het testproces vastloopt door een overdaad aan keuzes.

Er bestaan al diverse interessante technieken waarvan bewezen is dat ze fuzzing efficiënter kunnen maken. Ik denk dat er binnenkort een doorbraak komt: al deze verschillende technieken zullen worden gecombineerd en openbaar gemaakt.

Stephens antwoord op onze vraag was zo lang en gedetailleerd dat we het als een volledig artikel hebben gepubliceerd: Is security on the verge of a fuzzing breakthrough?

3. Vraag wie en wat, niet waar (Cybersecurity Specialist, Mark Lanczak-Faulds)

Traditioneel richt beveiliging zich op het volledige domein. Doordat de grenzen van traditionele netwerken en het internet steeds meer vervagen, richten we ons nu vooral op de assets en de identity’s binnen een domein.

Je bepaalt dus een risicoprofiel op basis van een identity en de assets gekoppeld aan die bepaalde identiteit. Bij meldingen op basis van die factoren weet je wat er op het spel staat, en kun je snel en op gepaste manier ingrijpen.

4. Onderschat het belang van exploit mitigation niet (Sophos Security Specialist, Greg Iddon)

Patching uitstellen tot de boel vastloopt of tot je eens een rustig dagje hebt? Geen goed idee.

Wie zijn zaakjes voor elkaar wil hebben, zal de komende zes tot twaalf maanden aandacht moeten besteden aan een goede exploit mitigation: bescherming tegen misbruik van bekende of onbekende bugs en zwakke punten, en de onderliggende manier waarop aanvallers profiteren van deze bugs en zwakke punten.

Veel nieuwe softwareleveranciers richten zich uitsluitend op het detecteren van draagbare uitvoerbare bestanden (PE-files). Dat baart me zorgen. Ze stellen automatisch leren voor als het alfa en omega van endpointbeveiliging, terwijl dat absoluut niet zo is.

Begrijp me niet verkeerd – machinaal leren is geweldig. Maar het is maar één enkele laag, terwijl een efficiënte beveiliging juist meerdere lagen moet hebben.

5. Ransomware, maar dan anders (Global Escalation Support Engineer, Peter Mackenzie)

Op basis van enkele recente trends zie ik een verschuiving in de manier waarop ransomware wordt gebruikt.

In tegenstelling tot de meeste andere malware maakt ransomware vooral veel lawaai. Het is bedoeld om je bang te maken: als de gebruiker niet weet dat hij ransomware op zijn computer heeft, kom je als aanvaller nergens. Beveiligingstools slagen er steeds beter in om ransomware op te sporen, maar sommige aanvallers gebruiken deze lawaaierige malware als dekmantel voor iets anders, of als laatste poging nadat ze al op een andere manier geld aan je hebben verdiend (bijvoorbeeld met keyloggers of programma’s die je computer gebruiken om cryptovaluta aan te maken).

Vaak verwijderen gebruikers de irritante ransomware op en denken dan dat hun computer niet langer geïnfecteerd is. Terwijl je je juist moet afvragen: waarom precies op dit moment? Was (of is!) de computer waar we de ransomware hebben aangetroffen, mogelijk ook geïnfecteerd met andere malware?

6. Bekijk gegevens als een verliespost, niet als een winst (Senior Cybersecurity Director, Ross McKerchar)

Ik verwacht dat ik de komende zes maanden vooral veel tijd zal spenderen aan het verwijderen van onnodige gegevens en algemeen goed zal moeten opletten welke gegevens we opslaan en waar. Het is een belangrijke beschermingsmaatregel: gegevens die je niet opslaat, kun je ook niet kwijtraken!

Die regel gaat op voor bedrijven, maar (wellicht nog belangrijker) ook voor ‘open’ assets als webservers. Die zouden enkel toegang mogen krijgen tot de gegevens die ze minimaal nodig hebben en niets meer. Waarom zou een webserver toegang moeten hebben tot je socialezekerheidsnummer? Misschien heb je die gegevens nodig om een andere reden, en het kan best een keer gebeuren dat een webserver een socialezekerheidsnummer moet opvragen. Maar is er echt een reden om dat soort gegevens te bewaren?