McAfee roept op tot meer samenwerking bij bestrijding van malware

Het aantal cyberaanvallen in de wereld groeit sterk. Verontrustend is dat cybercriminelen steeds sneller code ontwikkelen, testen en uitrollen. Hierbij gebruiken ze consequent informatie uit de securitygemeenschap zelf. Daarnaast zijn ook vele nationale staten actief bezig met cybercriminele activiteiten. Het antwoord van de cyberindustrie hierop laat vaak nog te wensen over. Chief Scientist Raj Samani en Lead Scientist – Senior Principal Engineer Christiaan Beek van McAfee vinden het daarom belangrijk dat publieke (overheids) en private partijen meer met elkaar samenwerken, lieten zij ons onlangs weten.

Cybercriminelen zijn tegenwoordig in staat om binnen zeer korte tijd, ongeveer zeven dagen, een malware-campagne te ontwikkelen, te testen en uit te rollen. Bovendien gebruiken zij hierbij vaak malware-toepassingen die pas kort bekend en/of openbaar zijn. Dit heeft als resultaat dat cybercriminelen steeds vaker in staat zijn om kwaadaardige code 20 tot 30 keer zo snel te hergebruiken dan de cybersecurity-gemeenschap erop kan reageren. Logischerwijs loopt de gemeenschap dan achter de feiten aan.

Dreiging van nationale staten

Het zeer snel uitrollen van kwaadaardige code is niet alleen het werk van individuele cybercriminelen, maar er staat vaak een heel ecosysteem achter. Je moet daarbij denken aan verschillende groepen die elkaar ondersteunen bij het ontwikkelen van de kwaadaardige code, daarvoor afzonderlijke doelen ontwikkelen en deze dus snel kunnen aanpassen. Dit heeft natuurlijk een sterke organisatie nodig en vanzelfsprekend een flinke financiële injectie. Hierbij komen dan natuurlijk vaak nationale staten om de hoek kijken, aldus McAfee.

Dat nationale staten in cyberoffensieve capaciteit investeren, is inmiddels vanzelfsprekend. Het zijn niet alleen de ‘usual suspects’ als Noord-Korea of Rusland, iedere staat is ertoe instaat of is er mee bezig. Zelfs landen waarvan je in eerste instantie zou verwachten dat ze zich hier niet mee bezighouden, doen het. Als je als land niet in staat bent om zelf cybercrime-mogelijkheden te ontwikkelen, dan kan je het tegenwoordig gewoon, legaal, aanschaffen. Of je nu je eigen inwoners wil bespioneren of omdat je aanvallen wilt plegen. Zo kunnen zelfs de kleinste landen ter wereld budget reserveren en zich bezig houden met offensieve cyberaanvallen. Of je outsourcet dit als land. Het is een complete industrie geworden. Via het internet zijn er immers zoveel cybercrimecriminelen en aanverwante diensten te huur dat het de gewoonste zaak van de wereld is, aldus Samani en Beek.

Hand in eigen boezem

Dat de beveiligingsindustrie nu achterloopt bij de feiten, leggen de experts overigens ook bij de securitygemeenschap zelf. De informatie die de cybercriminelen verzamelen over mogelijk kwetsbaarheden komt vooral van de beveiligingsindustrie zelf vandaan. Net gepubliceerde informatie over kwetsbaarheden, die vaak door de doelgroepen wordt genegeerd, wordt door cybercriminelen opgezocht en ingezet om nieuwe aanvallen te ontwikkelen en daadwerkelijk uit te voeren.

Ook weet de industrie, hoewel het vaak wel al geruime tijd op de hoogte is, vaak geen antwoord op bepaalde ontwikkelingen. Iedereen binnen de cybersecurity-industrie wist bijvoorbeeld  dat eind mei dit jaar de GDPR van kracht werd. Een van de gevolgen is dat toegang tot het WHOIS-register voor informatie over IP-adressen, de basis van iedere cybersecurity-expert voor een onderzoek, zeer beperkt is geworden. Volgens McAfee heeft de cybersecurity-industrie dit willens en wetens laten gebeuren en dat is natuurlijk geen goede zaak

Verder wordt de industrie ook nog anders tegengewerkt, onder meer doordat het de toegang wordt ontzegd tot ontdekte servers die malware distribueren. Hierdoor is het erg moeilijk deze malware te analyseren om er een goed antwoord op te vinden. Of nationale overheden delen alleen informatie met securitybedrijven die uit dat land komen. Voor malware-bestrijders zijn deze hordes daarom zeer frustrerend.

Oproep tot meer publiek-private samenwerking

Voor het oplossen van dit soort problemen moet de industrie stoppen met het afvangen van elkaars vliegen en elkaar te bekritiseren. Ze moeten meer gaan samenwerken. En dan het liefst in de combinatie met publieke (overheid) partijen. Kortom: Publiek-private samenwerking kan de bestrijding van cybercrime een flinke nieuwe impuls geven.

Een voorbeeld hiervan die de cyberexperts ons geven, is The No More Ransom Project. Inmiddels zijn er bij dit, in Nederland door de High Tech Crime Unit van de Nationale Politie, Europol en McAfee ontwikkelde initiatief, wereldwijd meer dan 100 partners aangesloten en is ervoor gezorgd dat er honderden miljoen euro’s uit handen van criminelen bleven. Zonder zelf daarvoor kosten te maken.

Een ander voorbeeld van goede samenwerking is de non-profit organisatie The ShadowServer Foundation. Die leidt in samenwerking met justitiële autoriteiten het internetverkeer van criminelen om naar beveiligers als McAfee. Zo kunnen bestrijders direct analyseren waar de cybercriminelen mee bezig zijn. Daarnaast gaat het verkeer natuurlijk naar de justitiële autoriteiten die zo de kans krijgen arrestaties te verrichten. Deze samenwerking heeft heel veel succes gehad, geven Samani en Beek aan.

Meer gaan samenwerken is het devies

Al deze initiatieven laten zien dat de security-industrie best kan samenwerken. Dit moet als het aan McAfee ligt meer gebeuren, zowel door de industrie als de samenleving in het algemeen. De tijd van praten is voorbij, we moeten nu echt wat laten zien. Want de criminelen zitten niet stil en blijven ons uitdagen, vatten Samani en Beek de huidige stand van zaken samen. Door het combineren van alle puzzelstukjes van de verschillende partijen, kunnen we tegen de groeiende cybercriminaliteit een vuist maken. Maar er is helaas nog veel werk aan de winkel.