Thales denkt net even wat anders over de silver bullets

Van security-experts horen we regelmatig dat machine learning en kunstmatige intelligentie (AI) voor hen wapens zijn. Noem het gerust een silver bullet, in de legendes het enige wapen om de weerwolf te doden. Tegenwoordig zien we het als een magische oplossing voor een gecompliceerd probleem. Want gecompliceerd zijn de problemen  in de cybersecurity-wereld zeker. Zowel de kwantiteit als de kwaliteit van bedreigingen neemt toe. Thales heeft nagedacht over hoe je op die nieuwe situaties in moet springen, en komt met interessante bevindingen.

Recentelijk gingen we op bezoek bij het bedrijf. In de vestiging in Huizen sprak Cybersecurity Specialist Wessel Hemels over de whitepaper ‘Beyond the SOC as a detection center’. Op zich geen gekke locatie, aangezien er zich in Huizen een Security Operations Center (SOC) bevindt waar 24/7 security-incidenten gedetecteerd en indien nodig aangepakt worden.

Zo’n SOC kan een onderdeel zijn van de cyberdefensie van organisaties. Thales voorziet hen in tijdige detectie van incidenten en de benodigde expertise, zodat eventuele gevolgschade vermeden kan worden. Hiervoor wordt gebruikgemaakt van allerlei technologieën en krijgt het bedrijf inzicht in verschillende processen. Die kennis is gebruikt voor het whitepaper, om vast te stellen wat er momenteel eigenlijk hot is rondom technologie en security.

Explosie aan data

Centraal staat daarbij data, hoe kan het ook anders. Data wordt steeds belangrijker.  De inmiddels veelgebruikte vergelijking met olie bestaat niet voor niets. Naar verwachting blijft de hoeveelheid gegevens die enterprises en personen generen alleen maar groeien. Voor het verwerken van die grote hoeveelheid informatie is een rol weggelegd voor software. De ontwikkeling van software zal zodoende ook een vlucht nemen.

Voor een securitybedrijf betekent dit dat er nog meer geanalyseerd moet worden. Want in die gegevens en software kunnen zich bedreigingen verschuilen. Op verschillende manieren kan er misbruik van gemaakt worden, en dat zal alleen maar verder evolueren.

De hoofdactiviteiten van een SOC

Neem bijvoorbeeld de manier waarop Cambridge Analytica eerder dit jaar in de schijnwerpers stond. Deze partij misbruikte Facebook-gegevens om aan de hand van die data methodes te ontwikkelen ter ondersteuning van politieke campagnes. Door analytics-technologieën toe te passen op de informatie kregen ze inzichten in de gebruikers, om campagnes erop af te stellen. Data is dus veel meer waard dan alleen maar geld.

Fix the basics

Het is dan ook de vraag hoe je als bedrijf in het algemeen het best kan anticiperen op het huidige landschap. De algemene gedachtegang zal al snel zijn om nieuwe technologieën in te zetten, die vaak gezien worden als een silver bullet. Bijvoorbeeld blockchain en deep learning klinken erg hip, dat is zeker. Deze technologieën hebben op zich ook een behoorlijk potentieel, is de algemene opvatting.

Thales plaatst echter de kanttekening dat heel veel bedrijven hun bestaande zaken nog niet op orde hebben, terwijl ze dat wel vaak denken. WannaCry zette op dat gebied veel bedrijven met beide benen op de grond. Naar schatting komen de kosten van deze aanval wereldwijd uit op miljarden euro’s.

We betwijfelen dat WannaCry in zijn totaliteit voorkomen had kunnen worden, maar inmiddels zijn er al wel rapporten die hier wat uitspraken over doen. Zo was de National Health Service van het Verenigd Koninkrijk niet getroffen door de ransomware indien het over “basale IT Security” beschikte.

Een SOC kan hier in principe bij helpen. Er wordt vulnerability management geboden, er worden tests uitgevoerd en er is ondersteuning bij het managen van patches. Je hebt dan in ieder geval een deel van de basis op orde. Of, zoals Hemels het ook wel omschrijft, “fix te basics”. Het betekent niet dat het inkopen van al die nieuwe technologieën onverstandig is, maar dat je weet waar de prioriteiten liggen.

Cloud als het hek

Zo’n technologie die Thales-klanten bijvoorbeeld graag gebruiken, is de cloud. Het securitybedrijf ziet dat het voor de klant ook ontzettend fijn is om gebruik te maken van de cloud. Werken wordt zo namelijk relatief eenvoudig; je hebt alleen een pc en een client, de cloud levert allerlei extra  mogelijkheden en oneindig veel rekenkracht.

Waar Thales wel van schrikt is dat gebruikers heel veel vertrouwen hebben in de cloudproviders. Vaak wordt bij de stap naar de cloud gedacht dat data veilig zijn omdat de provider voorziet in security. Natuurlijk staat security hoog op het lijstje bij de providers. Het gebeurt onder meer door het inbouwen van firewalls, IPS (Intrusion Prevention System) en IDS (Intrusion Detection System).

Hemels noemt die beschermingsmethodes een hek. Providers zorgen tot op zekere hoogte voor beveiliging, de verantwoordelijkheid over data blijft bij de klant liggen. Daarmee zeggen ze eigenlijk: “Het is jullie data, wat er met die data intern gebeurt dat moeten jullie zelf in de gaten houden.” Dat is iets wat AWS ons onlangs ook vertelde. In de contracten wordt de rolverdeling afgesproken, waar duidelijk wordt dat de klant zijn eigen data bezit.

De populariteit van de cloud houdt ook security-experts bezig

Ondanks het scheiden van de verantwoordelijkheden ziet Hemels vanuit het SOC-perspectief ook heel veel moois in de cloud. Zo zijn er tools om rapporten op te vragen met boeiende informatie voor de IT-afdeling en security mensen. Bovendien kan er in contracten afgesproken worden om de logs van de gebruikte systemen over te dragen. Dat is eveneens bruikbare informatie voor de securityteams.

De heilige graal

Onlosmakelijk verbonden met die groeiende hoeveelheid data zijn toch wel machine learning en AI. Met deze technologieën is Thales natuurlijk bezig. Vorig jaar kocht het bijvoorbeeld Guavus, een partij gespecialiseerd in big data analytics, machine learning en AI. Het industriële platform van Guavus beschikt over real-time analytics-mogelijkheden. Momenteel wordt het geïntegreerd in het SOC van Thales.

Zo’n integratieproces is niet eenvoudig, je hebt er veel specialisten voor nodig. Thales heeft het geluk dat het over veel personeel beschikt, waardoor er vaak de gewenste specialisten gevonden kunnen worden. Een positie waar niet iedereen zich in zou bevinden. Dat kunnen we enigszins jammer noemen, aangezien de technologieën soms als heilige graal gezien worden.

Voor Thales gaat het bij machine learning om het oppikken van kleine dingen, zoals het oplossen van herhalende, simpele incidenten. Toch is de huidige staat nog niet echt ver, zo merken we aan de woorden van Hemels. Je zou bijvoorbeeld de algoritmes op een bepaald moment een aantal zaken aan kunnen leren. Echter, zodra een beheerder met veel ander gedrag terugkomt van vakantie, loop je tegen het probleem aan dat machine learning heel veel signalen oppikt. Dat kan ook weer niet de bedoeling zijn.

Desalniettemin blijft machine learning een fijn gegeven voor een SOC. Bij simpel, herhaaldelijk werk dreigt namelijk de gemakzucht bij het huidig personeel soms in te treden. Dat geldt bijvoorbeeld voor een eenvoudig incident dat iedere maandagochtend terugkeert. Als er op dat moment een pittiger incident voorbij glipt, kan dat ernstige gevolgen hebben.

Waar gaan de silver bullets heen?

Daarbij wordt AI door Thales zelfs omschreven als iets wat ver in de toekomst is. Hemels spreekt in deze situatie over een technologie die een mens zou moeten vervangen. Op dat punt zijn we volgens de securityspecialist nog lang niet, de ontwikkeling moet daarvoor nog een ruimere periode vorderen. Voorlopig blijft er daardoor wat betreft security veel werk dat gedaan moet worden, tegenover misschien wel te weinig mensen die ervoor beschikbaar zijn.

De inzichten in machine learning en AI van Thales zijn in ieder geval een interessante aanvulling op wat we doorgaans in het veld horen. In veel gevallen gaat het namelijk over de strijd tussen de cybercrimineel en het securitybedrijf. Dan zou een kwaadwillende zijn aanvallen nog verfijnder maken, terwijl de verdediger factoren detecteert die kunnen wijzen op een cyberaanval.

Ook Thales neemt uiteindelijk een ontwikkeling in het AI- en machine learning-landschap waar, maar kijkt in deze situatie vooral naar de rol van zijn eigen SOC. Hierin is zeker ruimte voor de twee technologieën. Dat toont de overname van Guaves eens te meer aan. Maar het enthousiasme rondom de silver bullets is in het algemeen net iets meer ingetogen dan bij het gemiddelde securitybedrijf. Reden genoeg om in de gaten te houden welke technologieën over een aantal jaar echt een silver bullet blijken, of toch niet verder komen dan een buzzword.