De voorbije jaren hebben cybercriminelen niet stilgezeten. Het aantal DDoS-aanvallen heeft nog maar eens ongekende hoogtes bereikt. En de geavanceerde en doelgerichte aanvallen zijn gesofisticeerder dan ooit tevoren. Het wordt voor de ‘good guys’, de cybersecurity vendors en teams, steeds moeilijker om die kwantiteit en kwaliteit van de malware bij te benen.
Gelukkig hebben we de laatste tijd ook heel wat interessante nieuwe technologie zien verschijnen. Artificiële intelligentie en machine learning om kwaadaardige bestanden automatisch en sneller te herkennen en toe te voegen aan de lijst van gekende malware. Microsegmentatie (het opdelen van de infrastructuur in kleine compartimenten) om bij eventuele geslaagde inbreuken de gevolgen zo veel mogelijk in te dijken. Het zijn maar twee voorbeelden van wat de voorbije jaren op de markt kwam als bijkomende verdedigingswapens.
Toch kunnen we niet helemaal tevreden zijn met dit verdedigingsarsenaal. Het is best mooi dat je bij een geslaagde inbreuk de gevolgen kan inperken, maar het zou natuurlijk nog leuker zijn als er helemaal geen inbreuk was geweest. Microsegmentatie is een uitstekend geneesmiddel: het verlicht de pijn en helpt je omgaan met de gevolgen. Een beetje zoals een aspirientje dus: je wil het wel in huis hebben maar je ligt er niet echt wakker van. Wat je echt zou willen is dat je hoegenaamd niet getroffen was door het virus. Dan hoefde je ook niets in te nemen om de gevolgen van de ziekte te bestrijden.
Het is mooi dat je bij een inbreuk de gevolgen kan inperken, maar het zou nog leuker zijn als er helemaal geen inbreuk was geweest.
Maak jezelf onzichtbaar
Maar hoe zorg je ervoor dat je niet getroffen wordt door de slechteriken? Er zijn hier wellicht veel antwoorden mogelijk, maar één van de meest effectieve manieren lijkt me toch wel: door jezelf volledig onzichtbaar te maken. Niet alleen onzichtbaar trouwens maar op geen enkele manier waar te nemen. Je digitale assets zijn niet waar te nemen door buitenstaanders, en zijn dus onzichtbaar. Maar, zou je kunnen zeggen, wie een balletje tegen een onzichtbare muur gooit, zou dat balletje zien terugkaatsen en zo weten dat er een muur staat. Met de ‘onzichtbaarheidsmantel’ zorg je ervoor dat dit balletje niet wordt teruggekaatst maar opgevangen, geanalyseerd, geklasseerd als verdacht en vervolgens vakkundig verwijderd.
De ‘onzichtbaarheidsmantel’ (met dank aan J.K. Rowling dat ik dit concept als herkenbare beeldspraak kan gebruiken!) kan elk aan het netwerk gekoppeld digitaal object voorzien van een bescherming die elke mogelijke aanval ongemerkt pareert. Zo blijft dit object niet alleen beschermd, maar het verraadt ook niet zijn aanwezigheid op het netwerk. Zo zorgt een massale DDoS-aanval er alvast niet voor dat de cybermisdadigers weten waar ze hun aanvallen de volgende keer op moeten richten.
De mantel ontrafeld (en de firewall ontmanteld)
Hoe dit precies in zijn werk gaat? Zonder al te technisch te worden komt het hierop neer dat je de toegang tot toestellen laat afhandelen door de lagere netwerklagen in het toestel zelf, in plaats van het over te laten aan je firewall. Omdat die niet alles weet, heb je de keuze: ofwel laat de firewall vanuit praktische overwegingen te veel door, ofwel moet je uiterst gedetailleerd alles in de firewall configureren. De eerste oplossing maakt dat je netwerk inherent niet veilig is, het laatste schrikt velen af vanwege de enorme complexiteit en werklast. Een aanpak waarbij je de toegang tot een apparaat door dat apparaat zelf laat afhandelen geeft je het beste van twee werelden: zeer granulaire beveiliging zonder de noodzaak van complexe regels op je firewalls.
Hierdoor wordt de infrastructuur vanuit security-standpunt opgedeeld in vele kleine onderdelen die niet standaard met elkaar verbonden zijn. Deze opdelingstechniek, ook wel microsegmentatie genoemd, bestaat al een tijdje, maar is pas de voorbije jaren echt onder de aandacht gekomen. Toch zal het nog wel even duren voor dit breed doorbreekt bij bedrijven. De modernste generatie firewalls heeft deze functie wel ingebouwd, maar wie is bereid om hiervoor zijn volledige firewallpark te vervangen?
Onzichtbaar blijven voor de buitenwereld is vooralsnog de meest doeltreffende verdediging tegen elke vorm van cyberaanval.
Een andere manier om deze microsegmentatie te bereiken is software-defined networking: het instellen van al deze toegangsregels op het niveau van de software voor netwerkbeheer. Maar daar deinzen de netwerkbeheerders, die decennia lang gewend zijn om alles hardwarematig via de firewall te regelen, dan weer voor terug: de gedachte dat hun firewalls plots overbodig zouden worden, kan best confronterend werken.
Toch is de denkoefening de moeite waard, want software-defined networking kan ook voor andere uitdagingen een oplossing bieden. Je beschouwt je netwerk niet meer als een verzameling toestellen die zich op netwerk-locatie A of B bevinden, maar als object A dat wel mag praten met object B en niet met persoon C. Die locatie-onafhankelijke aanpak zorgt ervoor dat je niet meer de toegang tot een machine moet beschermen met extra materiaal, maar gewoon het netwerkverkeer toelaten of verbieden op basis van de identiteit van de machine of de gebruiker.
Beter voorkomen dan genezen (en ophoesten)
Onzichtbaar blijven voor de buitenwereld is vooralsnog de meest doeltreffende verdediging tegen elke vorm van cyberaanval. Wie niet gedetecteerd wordt, blijft ook gespaard van al dan niet gerichte aanvallen. En zo kan je inbreuken voorkomen in plaats van ze te genezen. Een heel verschil in dit tijdperk waarin elk lek moet worden gerapporteerd met soms gigantische imagoschade tot gevolg. Om te eindigen met nog een laatste medische beeldspraak: wie besmet raakt met een virus, moet niet alleen genezen maar vaak ook heel wat geld ophoesten.
Dit is een ingezonden bijdrage van Rudolf De Schipper, Delivery Lead Belgium and International Institutions bij Unisys. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.