Misleiding blijkt effectief wapen tegen cybercrime

Onze IT-infrastructuren ontwikkelen zich steeds sneller en onze afhankelijkheid van die systemen neemt toe. Datzelfde tempo zien we bij de groei van dreigingen van de kant van particuliere hackers, terroristische organisaties en statelijke actoren. Hoe houden we kwaadwillenden tegenwoordig nog effectief buiten de deur? De nieuwste verdedigingstechnologie, die sinds ongeveer een jaar in opmars is bij de grotere organisaties en bedrijven, heet ‘Security Deception’.

Security Deception is, zoals deze Engelse term al aangeeft, gebaseerd op misleiding. Maar... misleiding als digitale verdedigingstactiek via zogeheten ‘honeypots’ en ‘sandboxing’ kennen we al veel langer dan vandaag. Dus: wat is precies het nieuwe aan Security Deception?

shutterstock_492787432-1-300x200

Het hoofddoel van alle genoemde technologieën is in ieder geval hetzelfde: aanvallers en kwaadaardige applicaties zodanig om de tuin leiden dat ze zich voordat ze onheil kunnen aanrichten al bloot geven. Daarmee securityspecialisten de kans gevend op tijd in te grijpen en daar waar nodig effectieve verdedigingsmaatregelen in stelling te brengen.

Good old sandboxing

Sandboxing is verreweg de oudste van de drie zojuist aangehaalde technologieën. Dat concept werd al geïntroduceerd in de jaren zeventig (!) van de vorige eeuw voor het testen van kunstmatige intelligentie. Ingezet als beveiligingsmiddel zorgt Security Deception ervoor dat malware zich installeert en manifesteert in een geïsoleerde en afgeschermde IT-­omgeving, zodat onderzoekers op basis van observatie van het gedrag ervan hun conclusies kunnen trekken: wat doet deze malware precies, hoe werkt hij, wat zijn de potentiële risico’s en wat zijn effectieve tegenmaatregelen?

Tegenwoordig wordt sandboxingtechnologie veelal ondergebracht op speciaal daarvoor ingerichte virtuele machines op een virtuele host. Zo kan de malware op een veilige manier worden uitgeplozen in samenhang met diverse OS-versies op machines die gescheiden van het netwerk opereren.

Honeypots en meer

Zogeheten ‘honeypots’ en ‘honeynets’ deden zo’n twintig jaar terug hun entree. Het zijn opzettelijk kwetsbaar gemaakte systemen met als doel de aandacht van potentiële aanvallers op zich te vestigen. Waar met sandboxing alleen het gedrag van malware wordt blootgelegd en geobserveerd, krijgen securityonder­zoekers met honeypots en honeynets ook zicht op het gedrag, de strategie en de werkwijze van echte tegenstanders, aanvallers van vlees en bloed.

Honeypots kunnen onder meer de gedaante krijgen van een losstaande host, een individuele workloadservice, of een lokaal geïnstalleerde software-agent. Ze moeten aanvallers verleiden tot het stelen van ‘waardevolle’ data, of een verdere verkenning van het doelnetwerk uitlokken. Door het stelselmatig monitoren van deze systemen krijgen securityspecialisten direct zicht op 100 procent securityincidenten, omdat reguliere gebruikers, applicaties en processen nooit iets te zoeken zullen hebben op deze fake-systemen.

Honeynets bestaan uit meerdere honeypots die gezamenlijk een echt netwerk nabootsen, compleet met een fileserver, een webserver, et cetera. Ze moeten aanvallers de indruk geven dat ze met succes een regulier netwerk zijn binnengedrongen, terwijl ze in werkelijk­heid in een geïsoleerde omgeving rondwaren, waarbij al hun gangen worden nagegaan. Zo kan gedetailleerd bestudeerd worden welke strategieën ze volgen en hoe ze die uitvoeren.

Misleiding en gedragsobservatie

In de fysieke wereld van misdaad, terrorisme en oorlogvoering zijn misleiding en gedragsobservatie al sinds mensenheugenis effectieve wapens voor zowel de aanvallende als de verdedigende partij. Denk qua misleiding slechts aan de overvaller die zich verkleedt als politieagent; of omgekeerd: de politie-infiltrant die zich voordoet als misdadiger. Denk qua gedragsobservatie aan de toepassing van ‘social engineering’ door een hacker, of aan de inzet door de politie van zogenoemde ‘spotters’ die op bijvoorbeeld stations en luchthavens door middel van gedrags­analyse personen proberen te vinden die mogelijk een terroristische daad in de zin hebben (eind augustus bij het steekincident op Amsterdam CS nog zeer effectief gebleken).

In de digitale wereld van cybercrime worden misleiding en gedragsobservatie tot nu toe vooral effectief toegepast door de ‘bad guys’. Dit ondanks het bestaan van de eerder besproken technologieën als sandboxing, honeypots en honeynets. Nader onderzoek leert namelijk dat de inzet daarvan vooralsnog op zeer beperkte schaal heeft plaatsgevonden, waarvoor in de vakliteratuur meerdere verklaringen worden aangevoerd. Het zou ermee begonnen zijn dat de op misleiding gestoelde cybertechnologie in zijn jonge jaren al vrij snel het etiket ‘alleen wetenschappelijk interessant’ kreeg opgeplakt.

Overigens niet zo verwonderlijk, omdat de gebruikte methoden en technieken als zeer complex en tijdrovend bekend stonden, en bovendien voor geheel eigen risico’s zorgden op de plekken waar ze werden ingezet. Leveranciers van recente Security Deception-technologie trachten met hun oplossingen die bezwaren nu zo goed mogelijk weg te poetsen.

Relatief nieuw

Security Deception is een relatief nieuwe term waarvan de definitie nog niet in steen is gebeiteld. Over het algemeen verwijst hij naar een groep van moderne, geavanceerde en meer dynamische honeypot- en honeynet­producten, die voorzien in een hogere automatiseringsgraad van zowel de detectie van indringers als de implemen­tatie van verdedigingsmechanismen op basis van de data die ze vergaren.

Deze hernieuwde belangstelling voor de inzet van misleiding tegen cybercrime wordt onder meer ingegeven door de snelle toename - zowel in frequentie als ernst - van de geregistreerde veiligheids­incidenten. Lange tijd bestond er een zeker evenwicht tussen aanval en verdediging, dankzij bewezen, niet op misleiding gebaseerde technieken als firewalls, Intrusion Detection/Prevention Systems, Data Loss Prevention-systemen en Security Information & Event Managers (SIEM). Deze status quo lijkt echter doorbroken. De geautomatiseerde en dynamische inzet van honeypots en honeynets kan het evenwicht weer herstellen.

De voordelen

Dus moet Security Deception, met de vermeende voordelen die zij biedt, voor versterking zorgen. Ter afsluiting hier drie voordelen van deze technologie die frequent in de vakliteratuur worden opgevoerd:

  • Vervroegde detectie van indringers - alle net genoemde securityoplossingen genereren hun alerts op het moment dat er daadwerkelijk een aanval plaatsvindt. Het zou echter nog mooier zijn als de waarschuwing al komt voordat die aanval plaatsvindt. Security Deception doet dat, want de aanvaller wordt al gedetecteerd zodra hij in de uitgezette val is getrapt.
  • 100 procent accuratesse - aanvallers bedenken allerlei trucs om de traditionele detectiemechanismen te foppen en slagen daar met regelmaat in. Daarnaast slaan die detectie­mechanismen zelf te vaak vals alarm. Bij een alert afkomstig van een Security Deception-oplossing weet je vrijwel altijd 100 procent zeker dat je met een echte indringer te maken hebt.
  • Beter inzicht in werkwijze aanvallers - gedragsobservaties ‘op eigen terrein’ - maar dan nagebootst - geven de opdrachtgever relevantere informatie over de gekozen aanvalsroutes dan meer algemene observaties.

Martijn Nielen is Senior Sales Engineer bij WatchGuard Technologies