Deception, of in het Nederlands: misleiding, is door de geschiedenis heen gebruikt als een geducht wapen om aanvallers te verslaan. Het is algemeen bekend dat in de afgelopen jaren aanvallers gebruik gemaakt hebben van een groot aantal misleidende tactieken om bedrijfsnetwerken binnen te dringen. Hacker Kevin D. Mitnick heeft zelfs een boek gewijd aan dit onderwerp met de veelzeggende titel ‘The Art of Deception’.
Er is een belangrijke les voor securityspecialisten. Als aanvallers misleiding kunnen inzetten, waarom verdedigers dan niet? Door misleiding op een goede manier toe te passen tegen kwaadwillende hackers, kunnen de rollen omgedraaid worden waardoor de schade van een inbreuk op een endpoint beperkt worden.
Misleiding – een eeuwenoude techniek, maar niet veel gebruikt
Terwijl het dreigingslandschap zich voortdurend in allerlei nieuwe richtingen ontwikkelt, zijn aanvallers vaak in staat om aan de aandacht van bestaande defensieve maatregelen te ontsnappen. Zo kunnen indringers bijvoorbeeld toegang krijgen tot een bedrijfsnetwerk door gebruikersgegevens te stelen of door gebruik te maken van tools die al geïnstalleerd zijn op ‘target-computers’. Deze tactieken laden doorgaans geen nieuwe malware of openen geen nieuwe bestanden op de harddisk van het apparaat. Reden temeer om nieuwe manieren te bedenken om deze potentiële aanvalsvectoren af te snijden.
Cybersecurity deception nam voor het eerst serieuze vormen aan in de jaren ’90 van de vorige eeuw toen organisaties in het netwerk eenvoudige ‘honeypots’ als lokaas in gingen zetten om kwaadaardige hackers in verwarring te brengen. Deze honeypots zagen eruit als geloofwaardige data in geïsoleerde netwerken – compleet met fictieve toegangscodes, databases, webservers en kwetsbare systemen die doorgaans nieuwkomers goed kon misleiden. Doorgewinterde aanvallers trapten hier echter niet in.
Bovendien kostte het implementeren van deception-strategieën veel tijd en expertise en was het zeer moeilijk te beheren waardoor het beoogde effect vaak achterbleef. Ondanks deze beperkingen en het complexe karakter, was het een technologie die desalniettemin veel gebruikt werd.
De opkomst van nieuwe deception-technologie voor endpoints
Symantec heeft verder gekeken dan de historische beperkingen van het inzetten van misleiding als verdedigingswapen in een bedrijf en bedacht dat deception-technologie geïntegreerd in endpoints een heel nieuwe manier kon zijn om de rollen om te draaien tegen aanvallers. Deception begint waar andere beveiligingstechnologieën het na laten en maakt gebruik van aanvalstactieken om de aanwezigheid van een aanvaller aan het licht te brengen. Op basis van dit inzicht is deception nu een integraal onderdeel van de Symantec Endpoint Protection (SEP) familie, die verdedigers in staat stellen om aanvallers al in een vroeg stadium te ontdekken en te identificeren. Dat geeft niet alleen meer zicht op de bedoelingen van de aanvaller, maar geeft organisaties nu ook de kans om misleiding op grotere schaal in te zetten. Klanten kunnen nu samenwerken met Symantec om deception in te schakelen en het ‘lokaas met hoog interactiegehalte’ in te zetten, die geïntegreerd is in de SEP-familie, om de kwaliteit van aanvalsdetectie te verbeteren.
De voordelen van de inzet van deception met Symantec Endpoint Protection (SEP)
Een groot voordeel van het inzetten van deception-technologie in endpoints is de enorme tijdwinst bij het ontdekken van aanvallers: die wordt van maanden teruggebracht tot een kwestie van minuten. Deception biedt een totaal andere manier om aanvallen het hoofd te bieden. De uitdaging van vandaag is dat aanvallers gemiddeld te lang actief kunnen zijn binnen het netwerk voor ze worden ontdekt. Tot nu toe konden indringers stilletjes hun gang gaan in het netwerk van hun slachtoffers; dat kon weken of zelfs maanden voortduren. Een recent onderzoek van het Ponemon Institute toonde aan dat een hacker gemiddeld 191 dagen doorbrengt op een netwerk alvorens ontdekt te worden.
SEP geeft organisaties mogelijkheden om aanvallers zover te krijgen dat ze hun locaties prijsgeven. Securitymanagers kennen vanzelfsprekend locaties van hun bedrijfkritische systemen. Die kennis kunnen ze gebruiken om aanvallers naar nep-systemen te leiden. Hoe geloofwaardiger die nep-systemen, des te groter is de kans dat een aanvaller zich daarop zal richten. Dat kunnen nep-bestanden, inloggegevens, gedeelde netwerkmappen, cache entries of endpoints zijn die aanvallers uit hun tent lokken. Een systeembeheerder kan snel en eenvoudig een enorme hoeveelheid lokaas in het bedrijf verstoppen om een aanvaller te verleiden om zichtzelf bloot te geven. Elk contact met het lokaas activeert een alarm dat de aanwezigheid van een aanvaller verraadt. Op dat moment kunnen systeembeheerders in actie komen en de verdere activiteiten van de aanvaller blokkeren.
De uitdaging tot nu toe was altijd hoe je het voor klanten eenvoudig kon maken om deception in te zetten en de expertise die daarvoor nodig was. Alleen klanten met een zeer hoog kennisniveau en zogenaamde ‘nation states’ waren tot nu toe de enige partijen die deception-technologie succesvol konden inzetten. Symantec heeft die uitdaging opgelost en kan met deception-technologie die is geïntegreerd in de endpointbeveiliging, de beveiliging naar een hoger niveau tillen.
Meer informatie over deception-technologie vind je in deze Symantec white paper en op onze productpagina over Symantec Endpoint Protection 14.
Joakim (JK) Lialias
Director, Product Marketing Endpoint and Cloud Workload Security
Symantec Corporation