Palo Alto Networks: Machines automatisch met machines bestrijden

Klassieke hackers met hoodies die georganiseerd bedrijven of organisaties aanvallen, zijn verleden tijd. Aanvallen worden tegenwoordig steeds vaker geautomatiseerd door machines uitgevoerd. De bestrijding van deze kwaadaardige machines moeten bedrijven en organisaties dan ook maar aan machines overlaten, vindt het Amerikaanse securitybedrijf Palo Alto Networks. Ook de gedachtegang over hoe precies moet worden beveiligd, is aan verandering toe, zo kreeg Techzine eind vorig jaar te horen tijdens het Europese partner- en klantenevent Iginte ’18.

Wie als bedrijf of organisatie denkt dat hackers nog steeds bestaan uit, al dan niet georganiseerde zonderlinge figuren met hoodies op zolderkamertjes, heeft het mis. Volgens Palo Alto Networks behoort dit stereotype nu echt tot het verleden. Aanvallers gebruiken namelijk steeds meer automatisering, machines, om aanvallen te plegen en dit gebeurt nu op een schaal die eerder nog niet zichtbaar was.

Met deze machines vallen hackers of andere kwaadwillenden tegenwoordig niet alleen op grote schaal bedrijfsnetwerken aan, maar ook de software die deze netwerken maken tot wat ze zijn. Het gaat hierbij om doelgerichte aanvallen op onder meer besturingssystemen, maar ook om andere specifieke protocollen die voor het functioneren van de netwerken nodig zijn en dus niet preventief kunnen worden geblokkeerd. Meer specifiek zijn dit onder meer command-and-control-aanvallen tot het fysiek injecteren van malware. Alles gaat volgens de specialisten van Palo Alto Networks geheel automatisch. Kortom, het zijn nu machines die machines aanvallen.

Mens delft het onderspit

De Amerikaanse leverancier van cybersecurity-oplossingen vindt het belangrijk dat het bestrijden van deze kwaadaardige machines de hoogste prioriteit krijgt. De vraag is echter hoe dit moet gebeuren. Veel bedrijven proberen, volgens Palo Alto Networks, dit soort machinale aanvallen te bestrijden door oude of meer traditionele bestrijdingsmethoden in te zetten. Onder andere door de aanvallende machines tegen te gaan met gemiddeld vijftien- tot twintigjarige Security Information and Event management (SIEM)-technologie in combinatie met menselijke securityanalisten.

Dit leidt natuurlijk tot niets, zo geeft Palo Alto Networks tijdens zijn evenement kritisch aan. Mensen vormen tegenwoordig geen partij meer voor machines. Machines en automatisering van processen doen hun werk heel erg goed en mensen zijn daar niet tegen opgewassen. Toch ziet het Amerikaanse securitybedrijf dit nog steeds veel gebeuren. Met alle gevolgen van dien.

Machines moeten vechten tegen machines

Hoe moet dan de strijd tegen machines worden aangegaan? Makkelijk gezegd, is het antwoord van Palo Alto Networks hierop door andere machines hierop voor te bereiden. Machines moeten het gevecht aangaan met machines. Machine learning moet de bestrijdende machines daarbij voorbereiden om dit gevecht aan te gaan, zo laat René Bonavie, Chief Marketing Officer (CMO) bij Palo Alto Networks ons in een gesprek weten.

Om deze machine learning zo goed mogelijk zijn werk te kunnen laten doen, heeft Palo Alto Networks een strategie ontwikkeld die volledig automatisch, zonder menselijke tussenkomst, grote hoeveelheden data verzamelt. Volgens Bonvanie voeren namelijk machines niet meer via de voordeur aanvallen uit, maar zoeken zij juist de zijramen of zelfs het riool op. Dit betekent dat er veel gefragmenteerde sporen worden achtergelaten, die door mensen niet allemaal kunnen worden gevonden. Door nu al deze fragmenten bij elkaar te brengen in een grote dataset, is het makkelijker om geautomatiseerd deze puzzelstukjes bij elkaar te brengen, te analyseren en uiteindelijk met een oplossing te komen.

Gegevens verzamelen in de cloud

De volgende vraag is waar Palo Alto Networks dan geautomatiseerd al deze fragmenten vandaan haalt en opslaat. Bonvanie is hier heel duidelijk over. De gegevens worden automatisch door de klanten van de leverancier aangeleverd en opgeslagen in een cloudomgeving. De software-oplossingen van de securityspecialist zijn zodanig ontwikkeld dat deze datasets automatisch en compleet versleuteld worden aangeleverd. Uit deze datasets haalt Palo Alto Networks eveneens automatisch de afwijkende gegevens en voegt deze volledig geanonimiseerd toe aan de grote centrale database. De CMO van Palo Alto Networks geeft hierbij met nadruk aan dat deze gegevens echt niet meer zijn terug te leiden tot individuele klanten.

Vervolgens laat het securitybedrijf een aantal algoritmes op de datasets los die onderzoeken of de afwijkende data tot bepaalde risico’s leidt. Zo wordt onder meer afgevraagd of de afwijkende data al eens eerder is ontdekt, of de data tot een bepaalde malware-campagne behoort, of deze campagne succesvol was en wat eventuele volgende stappen zijn.

De algoritmes komen automatisch, zonder menselijke inbreng, met de antwoorden op deze vragen en sturen deze weer terug naar de klanten. Met de antwoorden kunnen zij dan de betreffende aanvallen weer stoppen. Op deze manier zijn het dus machines die, met behulp van machine learning, de beveiliging voor klanten verzorgen en zo dus de strijd aangaan met de aanvallende machines. Bovendien geldt deze beveiliging, zo benadrukt de CMO, niet voor iedere individuele klant, maar via een cloudomgeving voor alle klanten van de Amerikaanse specialist.

Palo Alto Networks Application Framework

De leverancier heeft voor een geautomatiseerde bestrijding van malware onder meer zijn Application Framework ontwikkeld. Dit platform geeft gebruikers de mogelijkheid om snel toegang te krijgen tot de beste nieuwe security-oplossingen van Palo Alto Networks zelf of van speciaal geselecteerde partners, deze te evalueren en uiteindelijk toe te passen. Het Application Framework (AF) bestaat in de eerste plaats uit eigen infrastructuur, die van externe ontwikkelaars, MSSP’s en de eindgebruikers zelf om snel innovatieve cloudgebaseerde beveiligingsdiensten te bouwen en te leveren via diverse cloudgebaseerde API’s, diensten, rekenkracht en native toegang tot klantspecifieke data-omgevingen.

Verder beschikt het platform over klantspecifieke dataopslag, geleverd door de Logging Service van de Amerikaanse securityspecialist die het mogelijk maakt om informatie over bedreigingen te delen via het complete platform. Tot slot bestaat het AF uit specifieke cloudgebaseerde applicaties die de mogelijkheden van het platform verder uitbreiden, zoals samenwerking tussen verschillende applicaties, het leveren en delen van context en informatie over bedreigingen en het stimuleren en afdwingen van geautomatiseerde antwoorden op ontdekte bedreigingen.

Ook andere gedachtegang noodzakelijk

Naast de grootschalige inzet van machines, gevoed door machine learning, als het bestrijdingsmiddel bij uitstek om geautomatiseerde malware-aanvallen te bestrijden, is er volgens Palo Alto Networks ook zeker een verandering van denken over security bij bedrijven noodzakelijk.

Tot nu toe focussen bedrijven zich nog teveel op de endpoints, zoals fysieke of virtuele firewalls en agents voor devices of private en publieke cloudomgevingen, die beveiliging leveren. Deze beveiligingslaag is eigenlijk niet meer nodig, zo geeft Palo Alto Networks aan, omdat ze alleen dienen voor beter inzicht, reporting, detectie en bescherming, preventie, gedragsanalyse of sandboxing. Kortom de zaken die we binnen cybersecurity willen doen. Ze zijn slechts een middel om beveiliging uit te voeren. Daarnaast is het hiermee niet mogelijk om de eerdergenoemde machines te bevechten.

Waar het volgens Palo Alto Networks nu echt omdraait, zijn de uitkomsten die bovenstaande beveiligingsmiddelen leveren en wat daarmee kan worden gedaan. Dus de data die deze devices, al dan niet virtuele, opleveren en waardoor deze uitkomsten worden verwerkt. Kortom de applicatielaag.

Focus op de applicatielaag

Bedrijven en organisaties moeten in hun cybersecurity-strategie zich dus niet focussen op de middelen, maar op de diensten die een goede beveiliging mogelijk maken en dit automatiseren. De focus moet daarom liggen op wat nu precies de beste dienst is om inzicht in data te krijgen, of welke de beste compliance biedt. Dit moet snel gebeuren, hackers zitten immers niet stil en passen zich voortdurend aan. Hierbij moet, volgens Palo Alto Networks, ook de data uit de hele IT-stack worden gebruikt.

Wanneer dit goed is geregeld, is het starten van een nieuwe beveiligingsdienst slechts het ‘omzetten van een knop’. Pas dan kunnen we volgens de Amerikaanse cybersecurityleverancier echt de strijd met de machines aan.

Grootste uitdaging de komende jaren

Volgens de securityspecialist wordt deze nieuwe gedachtegang of ‘mindset’, in combinatie met de wetenschap dat het nu machines zijn die we moeten bestrijden, de komende jaren de grootse uitdaging voor bedrijven en organisaties op cybersecuritygebied. Bedrijven moeten in staat zijn om binnen zeer korte tijd een antwoord te vinden op nieuwe bedreigingen. Niet door meer mensen aan te nemen, maar door het implementeren van een nieuwe, geautomatiseerde, beveiligings-architectuur, zo vindt Palo Alto Networks. Hoe de Amerikaanse leverancier daar de komende jaren bij blijft helpen, gaan we zeker in de gaten houden.