“Machine learning zorgt voor geavanceerdere aanvallen”

Security
“Machine learning zorgt voor geavanceerdere aanvallen”

Tijdens de maanden november en december zien we dat cybersecurity-bedrijven vaak met voorspellingen komen voor het komende jaar. Hoe bepaal je dan welke partij je moet volgen om een goed beeld te krijgen van de bedreigingen? Wellicht is het verstandig om te kijken naar de nauwkeurigheid van eerdere voorspellingen van het bedrijf. Vanuit dit opzicht zit je bij McAfee wel goed, want deze partij voorspelde eerder geheel tegen de trend in dat ransomware in 2017 af zou nemen. En dat zorgt voor tevredenheid bij McAfee Chief Scientist Raj Samani, met wie Techzine onlangs een interview had.

Tijdens zijn perspraatje op de MPOWER EMEA (Europe, Middle East & Africa) conferentie in Amsterdam begint de security-expert met zichzelf een schouderklopje te geven. Precies een jaar geleden dacht iedereen dat McAfee gek was met zijn voorspelling over ransomware. We zagen dit jaar weliswaar grote aanvallen als WannaCry en NotPetya, maar in de tweede helft was er wel degelijk een afname te zien.

Dat is voornamelijk terug te zien in het aantal families dat terugliep. Daartegenover staat dat het aantal varianten wel toenam. In zijn stellingname krijgt Samani bijval van Kaspersky Lab.  Deze partij publiceerde onlangs cijfers, waarin we zien dat er dit jaar 38 nieuwe families bij kwamen. Ter vergelijking: in 2016 waren er nog 62 nieuwe families. Ook nam het aantal unieke slachtoffers af – 950.000 dit jaar, tegenover de 1,5 miljoen van vorig jaar.

Ransomware blijft een bedreiging

Ondanks die afname blijft McAfee ransomware als één van de belangrijkste bedreigingen zien, al zal de kwaadaardige software alleen wat anders worden dan we gewend zijn. Onder meer de aanpak van de securityindustrie en gebruikersbewustzijn laten de winstgevendheid van traditionele aanvallen afnemen. Cybercriminelen komen zodoende uit bij andere doelwitten, waaronder bedrijven, connected devices en vermogende personen.

Er wordt daarbij meermaals teruggevallen op het begrip pseudo-ransomware. Bij deze vorm is het de vraag wat nou werkelijk de intentie van een aanval is. Is dat echt het verdienen van geld, de ransom, of worden systemen gegijzeld om bijvoorbeeld een IT-afdeling overuren te laten draaien? In het laatste geval wordt bijvoorbeeld een zakelijke rivaal gedwarsboomd of een land getreiterd. Bij aanvallen als WannaCry en NotPetya zou dit de werkelijke intentie geweest kunnen zijn.

Samani schetst ook al een beeld van mogelijke ransomware in de toekomst. Over een aantal jaar zitten we in een zelfrijdende auto, wat de afhankelijkheid van technologie zo goed als compleet maakt. Een gevaar bij dit soort technieken is dat we ook daar het vergrendelen en losgeld eisen gaan zien. In een wereld waar een auto als ransom gehouden wordt, wil de Chief Scientist absoluut niet leven. Om dit tegen te houden moet dit soort aanvallen voor cybercriminelen oninteressante campagnes zijn.

Uitdaging en verantwoordelijkheid van de maatschappij

Daarvoor stipt Samani een ontwikkeling aan die hij als één van de oorzaken ziet. Onderzoek toonde aan dat een ransomware-ontwikkelaar, dus de persoon die de software maakt en niet de aanvallen uitvoert, naar schatting 100.000 dollar per jaar verdient. Vergelijkbaar ontwikkelwerk in de legale software-industrie levert 69.000 dollar per jaar op. Samani ziet een wereld waarin er meer verdiend wordt met dergelijke praktijken als een uitdaging.

Anderzijds wijst hij op een vraag die weleens is voorgelegd aan de cybercriminelen. Er werd toen gevraagd waarom zij hun activiteiten uitvoeren. Het antwoord: we verdienen er geld mee en er is geen risico. Het is niet alleen aan McAfee om hier verandering in te brengen, maar de gehele maatschappij heeft een rol. Zoals de Amerikanen zeggen “everybody has a skin in the game”, waarmee bedoeld wordt dat iedereen een rol vervult in het oplossen van die onbalans.

Er moet dus worden samengewerkt om echt te kunnen optreden tegen de bedreigingen, bijvoorbeeld via het sluiten van partnerships met de politie en cybersecuity-bedrijven onderling. Cyber Threat Intelligence is daar een voorbeeld van, een initiatief waarvan naast McAfee bijvoorbeeld Fortinet en Symantec deel uitmaken. No More Ransom is weer een ander programma van onder meer McAfee en Kaspersky Lab. Dit soort initiatieven toont aan dat men in de security-gemeenschap inziet dat men het niet alleen kan.

Endpoint en cloud

Tijdens het gesprek met de pers maakte McAfee tevens duidelijk dat de activiteiten van het bedrijf meer en meer naar de corporate-divisie verplaatsen. De beveiliging die hierbij komt kijken is ruwweg onder te verdelen in twee categorieën: cloud en endpoint. Het is niet geheel toevallig dat McAfee onlangs nog de overname van Skyhigh Networks bekendmaakte, dat de feature cloud access security broker in huis heeft. De mogelijkheid zorgt voor on-premises of cloud-gebaseerde security-richtlijnen geplaatst tussen de gebruiker en provider.

Een schets van McAfee’s corporate-divisie

Bij het praten over deze onderwerpen wordt er verwezen naar een studie waarin onderzocht werd wanneer een organisatie verwacht dat 80 procent van de IT gehost wordt in de cloud. Dit vindt plaats binnen 16 maanden, getuige de resultaten van dat onderzoek. Digitale assets zullen dus zowel on-premise als off-premise opgeslagen worden. Organisaties hebben daarbij behoefte aan zichtbaarheid en bescherming. De endpoint en de cloud zullen de aandrijvers worden voor die twee onderwerpen.

Samani stipt aan dat bij de stap naar de cloud niet gedacht moet worden dat er geen verantwoordelijkheden meer zijn voor de organisatie. Uber is daarvan een voorbeeld. Het taxibedrijf dacht dat na het onderbrengen van zijn activiteiten bij een derde partij (een datacenter) geen verantwoordelijkheden meer te hebben. Inmiddels weten we dat Uber er beter iets meer mee bezig was geweest.

Machine learning voor de aanvaller en verdediger

Een andere kans die de Chief Scientist ziet is machine learning. Hij noemt dit één van de magische technologieën zoals blockchain, de soorten technieken die ook wel de silver bullet genoemd worden. Zo’n zilveren kogel komt voort uit legendes, waarin het de enige manier is om een weerwolf te doden. Tegenwoordig wordt dit ook wel gezien als een eenvoudigere, bijna magische oplossing voor een gecompliceerd probleem. Samani zegt hierover het volgende: “They say there is no thing as a silver bullet, I say not every threat is a werewolf.” Hij denkt bij machine learning dan ook vooral aan de mogelijkheid om continu te innoveren en adopteren, zodat men beter in kan springen op toekomstige dreigingen.

Dat is ook fundamenteel de boodschap die McAfee over wil brengen. Er zullen innovatievere, geëvolueerde aanvallen plaatsvinden, omdat cybercriminelen beschikken over geld en investeringen. Daarom maakt machine learning deel uit van de voorspellingen van het bedrijf. De techniek zal toegepast worden om een specifieke bedreiging beter te maken. Daarnaast zal het ook een weg openen voor het ontwijken van technologieën die security-bedrijven juist gebruiken.

Anderzijds moeten we ook inzien dat bedreigingen voortdurend evolueren, iets wat niet nieuw is. Ransomware zagen we al voor de jaren ’90, claimt McAfee. Het zag er toen alleen wat anders uit, geleverd middels een floppydisk. Remote Access Trojans bestaan ook al een tijdje. Dit is slechts een klein aantal voorbeelden van bedreigingen die gedurende de jaren steeds veranderden, en inmiddels ook vaker voorkomen overigens.

Menselijke inbreng

De strijd tussen de aanvallers en verdedigers kan volgens McAfee alleen gewonnen worden door het beoordelingsvermogen van machines en snelle automatische reacties te versterken met menselijk intellect. Zo zullen organisaties in staat zijn om aanvalspatronen te herkennen en erop te anticiperen, ook als ze deze nog niet eerder gezien hebben. Oftewel, ervaring en context zullen altijd nodig zijn. Menselijke inbreng zal dus in ieder geval niet in de nabije toekomst uit het cybersecurity-proces verdwijnen.

Het sleutelwoord bij machine learning is voor Samani dan ook menselijke samenwerking – de machines worden gebruikt om samen te werken met de mens. De mens kan in dit geval een probleem identificeren waarop gefocust moet worden. Tegelijkertijd krijgen organisaties te maken met een enorme hoeveelheid informatie, die het werk er alleen maar uitdagender op maakt.