Dark Web nog te vaak blinde vlek

  1. 23 dec 2016
  2. 0 reacties

Hoeveel firewalls, unified threat management-systemen of intrusion detection-oplossingen we ook installeren, iedere Chief Information Security Officer van een grote organisatie weet dat cybercriminelen nooit opgeven. Zij blijven altijd zoeken naar mogelijkheden om toegang te krijgen tot het corporate netwerk of om bepaalde bedrijfsapplicaties door middel van DDoS-aanvallen onbereikbaar te maken. Informatie over de aanvallen die zij voorbereiden is eigenlijk alleen te vinden op het Dark Web. Kunnen CISO’s en security specialisten op een of andere manier toegang tot dat soort informatie krijgen?

Grote bedrijven en overheidsorganisaties zijn in een continue strijd verwikkeld met cybercriminelen. Dagelijks doen deze pogingen om het corporate netwerk van dit soort organisaties binnen te dringen. Soms vanwege de data die zij denken te kunnen gijzelen (ransomware). In andere gevallen omdat hun opdrachtgevers op zoek zijn naar belangrijke informatie. Dit soort opdrachten zijn steeds vaker afkomstig van concurrenten of van buitenlandse overheden die op deze manier economische spionage plegen of politiek voordeel proberen te behalen.

mmox_615x255-615x255

Grotere budgetten

Deze aanvallen worden steeds geavanceerder. Dat is ook logisch. Doordat de - zeg maar - ‘winst’ die met een geslaagde inbraak economisch of politiek wordt gerealiseerd steeds groter wordt, groeien ook de ‘budgetten’ waarmee cybercriminelen dit soort attacks kunnen uitvoeren.

Wie websites als KrebsOnSecurity of WeLiveSecurity volgt, weet dat de klassieke verdedigingsmethoden tegen dit soort aanvallen onvoldoende bescherming bieden. Natuurlijk dient volop geïnvesteerd te worden in alle traditionele verdedigingsmethoden - van antivirus tot intrusion detection en van firewall tot forensische tools. Maar voldoende is het niet.

Marktplaatsen

Zo waarschuwt Jaya Baloo, Chief Information Security Officer van KPN, met grote regelmaat voor de gevaren van het zogeheten Dark Web. Dit is een voor de gewone gebruiker niet toegankelijk gedeelte van het internet waar cybercriminelen kennis, informatie en tools met elkaar uitwisselen en van elkaar kopen. Hier vindt een meer dan levendige handel plaats.

Het Dark Web bestaat uit zo’n 9000 underground servers die onder andere marktplaats-achtige sites hosten. Daar kan een cybercrimineel niet alleen tools kopen waarmee DDoS- en andere aanvallen kunnen worden aangevoerd, maar kan hij bijvoorbeeld ook lange lijsten met gestolen credit card-gegevens, inlognamen & wachtwoorden en dergelijke te koop aanbieden. Of juist aanschaffen. Maar dit soort sites vervult vaak ook de rol van - bijvoorbeeld - bulletin board. Daar kunnen cybercriminelen bijvoorbeeld vragen stellen over bepaalde aanvalsdoelen: netwerken, bedrijven of overheidsorganisaties. Of opdrachten verlenen voor het ontwikkelen specifieke stukjes codes die weer in een attack kunnen worden toegepast.

Blinde vlek

Grote enterprise-organisaties en overheidsinstellingen kennen vaak security-afdelingen van uitstekende kwaliteit. Zowel de tools die men toepast als de processen die men heeft ingericht zijn van een zeer professioneel niveau. Maar zoals Brian Krebs van KrebsOnSecurity met regelmaat vaststelt: ook voor hen is het Dark Web vaak nog een blinde vlek.

Dat is ook niet zo verwonderlijk. Deze sites zijn enkel via TOR of I2P bereikbaar. En iedereen die zich hier voor het eerst meldt, wordt met grote argwaan bekeken. Niemand weet immers of een persoon die bij wijze van spreken capaciteit wil kopen voor een DDoS-aanval op een Nederlandse bank ook inderdaad die aanval wil uitvoeren. Of dat het om een medewerker van een veiligheidsdienst of een onderzoeker van een security-firma gaat.

Toch is het van cruciaal belang dat CISO’s en security-specialisten toegang hebben tot het Dark Web. Alleen dan kunnen we immers van een reactieve verdediging doorgroeien naar een meer proactieve bescherming tegen cyberaanvallen. Dit soort aanvallen gaan continu door, maar vaak kunnen de security-afdelingen pas reageren als de attack al daadwerkelijk is begonnen. Wie echter het Dark Web zou kunnen volgen, ziet als het ware hoe cybercriminelen zich voorbereiden op een aanval. Dan kan een bedrijf zich dus veel beter voorbereiden op zo’n attack.

Gespecialiseerde kennis

Tot voor kort was het echter nauwelijks mogelijk om toegang te krijgen tot het Dark Web. Hooguit kon men proberen om zich als een soort ‘undercover agent’ voor te doen als crimineel. Maar dat is uiteraard niet bepaald eenvoudig, kost veel tijd en is ook zeker niet zonder risico’s. Er zijn ook nauwelijks bedrijven bekend die dit soort expertise hebben ontwikkeld. Een van de weinige aanbieders in deze markt is Kela Targeted Cyber Intelligence.

Tussen cybercriminelen

Dit soort bedrijven ontwikkelt in de regel in eigen beheer tools om het Dark Web te kunnen afzoeken naar relevante informatiebronnen. Uiteraard zonder dat hierbij duidelijk is dat het om een security-firma gaat. Dit soort research gebeurt dus per definitie in een soort ‘stealth mode’.

Bovendien hebben zij zeer gespecialiseerde medewerkers in dienst die zich dagelijks op underground-sites begeven. Zij leven daardoor dus als het ware tussen de cybercriminelen. Met hun software-tools kunnen zij vraag en aanbod op de eerder genoemde ‘marktplaatsen’ op gestructureerde wijze in kaart brengen. Al dit soort data kan vervolgens doorzocht en geanalyseerd worden. Hierdoor krijgen zij een goed beeld van de doelwitten die criminelen op de korrel willen nemen, evenals de aanvalsmethoden die zij hierbij willen hanteren.

700 tot 900

“Het aantal informatiebronnen waarop zich informatie bevindt of activiteiten plaats vinden die relevant zijn voor grote organisaties is tussen 700 en 900 groot”, zegt Matthijs Blokker van MMOX in Den Haag, dat de diensten van Kela naar ons land heeft gehaald. MMOX specialiseert zich in innovaties in cyber security. Door dit soort informatie continu te verzamelen is Kela in staat bedrijven en overheidsorganisaties op proactieve wijze te helpen met het afweren van cyberaanvallen. Daarmee levert men als het ware de ‘intelligence’ die CISO’s nodig hebben om aanvallen al te zien aankomen nog voordat de attack daadwerkelijk plaatsvindt.

Een interessante ontwikkeling hierbij is overigens dat dit soort van het Dark Web afkomstige informatie zich uitstekend laat combineren met gegevens die zich op het vrij toegankelijke internet bevinden. Cybercriminelen leven niet 24/7 op TOR- en Freenet-sites, maar zijn ook daarbuiten actief. En ook dan laten zij sporen achter. De combinatie van al dit soort informatie is een belangrijk hulpmiddel bij het opsporen van cybercriminele netwerken en de mensen die daarin actief zijn.

Van de redactie