Cybercriminelen gaan door nieuwe technologische hulpmiddelen alsmaar sneller te werk. Hoe zorg je ervoor dat jouw beveiliging een stap voor blijft? We blikken vooruit op de trends in cybersecurity.
“Cybersecurity is een race: je hebt steeds minder tijd om in te grijpen.” Bruno Durand, die de divisies van beveiligingsbedrijf Sophos in de Benelux en Frankrijk onder zijn hoede heeft, zet vrijwel meteen de toon tijdens ons gesprek. In het recent uitgebrachte Active Adversary-rapport blikt Sophos terug op wat er zich allemaal afspeelt in de wereld van cybersecurity.
Daarbij valt voor Durand één trend het meest op: “Het gaat sneller en sneller”. Een parameter die Sophos hanteert om de snelheid van cyberaanvallen te vergelijken, is de dwell time, ofwel de tijd die aanvallers gemiddeld rondlurken in je systemen alvorens hun ding te doen. In 2022 bedroeg die nog achttien dagen, dit jaar is het gemiddelde gezakt naar vijf dagen. “Aanvallers kennen de systemen die we gebruiken vaak beter dan wijzelf. Bovendien kunnen ze op het dark web ook een volledige ransomwareservice kopen, waarbij andere criminele organisaties het werk voor hun doen”, geeft Durand als mogelijke verklaringen.
Ransomware met een legitiem sausje
Nochtans zijn er meerdere onderzoeken die beweren dat ransomware-aanvallen net aan het afnemen zijn, omdat verdedigingsmiddelen beter zijn geworden. Maar Durand waarschuwt dat het nog veel te vroeg is om ransomware voor dood te verklaren: “69 procent van de aanvallen verlopen nog steeds met ransomware. Daarachter is dataexfiltratie aan een opmars bezig”.
De manier waarop ransomware wordt ingezet, verandert wel, ziet Durand. “Vroeger zochten aanvallers voornamelijk naar kwetsbaarheden in populaire software, nu proberen ze eerst via ‘legitieme’ manieren ransomware te injecteren. Ze hoeven ze niet meer binnen te breken, ze melden zich simpelweg aan”.
Dat kan op verschillende manieren, legt Durand uit. “Aanvallen verlopen vaak in verschillende fasen. Het kan beginnen met een e-mail om informatie over je te verzamelen. Het doel is om uiteindelijk je credentials te bekomen en zich lateraal verder te bewegen. Ook de ‘living-off-the-land’-tactiek wint aan populariteit. Daarbij misbruiken aanvallers legitieme tools om onopgemerkt te blijven. Verdachte activiteit is daardoor moeilijk te identificeren, maar ook ingrijpen is moeilijker omdat dat de werking van legitieme tools kan verstoren.”
Cybersecurity: geen 9 to 5
Snellere aanvallen zorgen ervoor dat beveiligingsteams continu op de toppen van hun tenen moeten lopen om even snel in te grijpen. Tijdens, voor en na de werkdag, want criminelen nemen ’s avonds of in het weekend geen rust. Durand: “Bijna negentig procent van de aanvallen vindt nu buiten de kantooruren plaats. Je hebt nood aan mensen en diensten die 24/7 je bedrijf in de gaten kunnen houden.”
Deze trend legt een groter structureel probleem bloot waar de security-industrie mee kampt: te weinig menselijke werkkrachten. “Wereldwijd is er een tekort van vier miljoen specialisten”, schat Durand. “Maar de kloof is minder groot dan iedereen denkt. Het is een stukje ook een mentaliteitsprobleem: bedrijven gaan altijd op zoek naar dezelfde profielen. Expertise is zeker belangrijk, maar de passie om die expertise op te doen is minstens even belangrijk.”
Voor Durand gaat het dan ook niet om hoeveel beveiligingsexperten je exact in dienst hebt, maar hoe je die ondersteunt in hun werk. “Zeven op de tien specialisten zegt te ‘verdrinken’ in het aantal incidentmeldingen waar ze dagelijks mee te maken krijgen. Ik voorspel dat de adoptie van managed diensten sterk zal toenemen de komende jaren, zeker in het kmo-segment. Vroeger lag de focus van criminelen vooral op enterprises, maar met de hulp van artificiële intelligentie kunnen ze nu ook kmo’s op grote schaal aanvallen. Kmo’s hebben zelden de middelen om zichzelf te verdedigen, terwijl de kosten van een aanval voor hen zeer hoog zijn.”
AI: vriend of vijand?
Anno 2023 is het bijna onmogelijk geworden om het niet over artificiële intelligentie te hebben. De voorspellingen over wat AI zal betekenen voor de security-industrie, lopen sterk uiteen. Sophos lijkt de bal in het midden te willen houden. Durand ziet opportuniteiten voor beveiliging, maar ook risico’s als de technologie in verkeerde handen valt.
“AI is niet nieuw, maar de kracht van de technologie wordt ons nu pas duidelijk. De duistere kant is dat het kan worden ingezet om aanvallen nog meer te versnellen. Daarnaast kunnen met hulp van AI realistischere phishingmails en deepfakes worden gemaakt, en maakt het nieuwe vormen van fraude mogelijk, zoals stemfraude”, aldus Durand.
Elk nadeel heeft ook zijn voordeel, gaat hij verder. “AI heeft zeker ook het potentieel om de capaciteiten van beveiliging te verhogen. Data over incidenten kunnen veel sneller verzameld, geclassificeerd en geanalyseerd worden. Menselijke experts hoeven zich enkel over complexe data te buigen. Zowel aanvallers als verdedigers worden slimmer dankzij AI. Maar ik zie het ook als niet meer dan een nuttige aanvulling.”
AI kan overigens zelf evengoed het mikpunt van cybercriminelen zijn. Durand: “Om AI te laten werken, heb je grote hoeveelheden data nodig. Wat als die data zelf corrupt zijn? Dat leidt tot onbetrouwbare output die door mensen wel als betrouwbaar zal worden aanzien. We zien dat criminelen nu ook data lakes proberen te ‘vergiftigen’”.
Om AI te laten werken, heb je grote hoeveelheden data nodig. Wat als die data zelf corrupt zijn?
Bruno Durand, VP Sophos Frankrijk & Benelux
Voorkomen én genezen
Een gewaarschuwd bedrijfsleider is er twee waard en moest het nog niet duidelijk zijn, ieder bedrijf groot en klein loopt in het vizier. Durand geeft nog zijn persoonlijke advies mee voor hoe bedrijven dat moeten voorkomen. “Volledige zichtbaarheid op wat er allemaal in je IT-infrastructuur gebeurt, is het begin. Aanvallers zoeken net ‘blinde’ plekken om zich te verstoppen. Maak analyses van je defensieve capaciteiten en waar de mogelijke risico’s liggen. Dit is niet iets dat eens één keer per jaar moet gedaan worden, dit is een continu proces. Pak je risico’s ook proactief aan: veel bedrijven kennen wel hun zwaktes, maar wachten met die op te lossen tot het te laat is.”
Hoe goed je preventie ook mag zijn, soms kan er altijd eens wat mislopen. Ook daar moet je op voorbereid zijn, hamert Durand. “Bedrijven hebben lang niet altijd een recoveryplan klaarliggen voor als hun verdediging misloopt. Wie ga je bellen bij een aanval, waar zitten je back-ups, … Recovery omvat veel meer dan het wel of niet betalen van het losgeld, het gaat om je bedrijf zo snel mogelijk te laten herstellen.”
Tijdens alle fasen van een cyberaanval kan een managed securityleverancier een reddingsboei bieden, besluit Durand, al praat hij daar natuurlijk wel naar de mond van zijn werkgever. “Ik herinner me een klant die tijdens een familielunch op zondag ontdekte dat zijn bedrijf werd aangevallen. Wij konden hem de dag zelf nog uit de nood helpen en tegen maandag was het incidentrapport er. Een securityprovider moet altijd voor je klaarstaan.”
Deze redactionele bijdrage kwam tot stand in samenwerking met Sophos.