RedSocks: Gedrag en bestemming dataverkeer geeft uitsluitsel over malware

Eind 2018 nam Bitdefender het Nederlandse RedSocks over, dat zich richt op de zakelijke markt. Voor ons reden om in gesprek te gaan met RedSocks over de acquisitie, waardoor we direct wat meer te weten kwamen over de werking van de technologie van het bedrijf. Het specialiseert zich namelijk in het geautomatiseerd analyseren van gegevensverkeer naar gedrag en de uiteindelijke bestemming om malware te kunnen identificeren. Naast de overname en de technologie bespraken we ook de malware trends voor 2019.

Half oktober 2018 maakte het Roemeense Bitdefender bekend enterprise-beveiliger RedSocks uit Nederland over te nemen. De vooral op consumenten gerichte beveiligingsspecialist breidde hiermee zijn dienstenportfolio uit naar het beveiligen van netwerken binnen de zakelijke markt. RedSocks levert namelijk technologie om verdacht netwerkverkeer automatisch te detecteren. Hiervoor heeft het bedrijf non-intrusive real time malicious threat detection-oplossingen en incident response-diensten ter beschikking. Met deze diensten krijgen organisaties direct inzicht in hun digitale weerbaarheid en maakt het hen mogelijk om hun netwerken zo goed mogelijk te beveiligen, zo vertelt RedSocks-oprichter en -CTO Pepijn Janssen ons.

Ontwikkeling portfolio RedSocks

Al vanaf 2012 zag RedSocks dat threat intelligence de belangrijkste technologie ging worden op securitygebied in de nabije toekomst. Tot dan toe lag de focus vooral op het herkennen van bepaalde kwaadaardige bestandsinformatie of vingerafdrukken van malware. Hackers zaten echter niet stil en zorgden ervoor dat deze hashes of vingerafdrukken wel 10 keer van inhoud konden veranderen. Hierdoor werd het steeds moeilijker de malware te traceren en dus te bestrijden.

Door nu te kijken naar het bestemmingsverkeer van de malware, wordt het eenvoudiger om kwaadaardig verkeer op netwerken te onderscheiden van normaal verkeer. Dit wordt ook wel threat intelligence genoemd. RedSocks kocht dit soort data eerst in bij andere leveranciers om deze toe te passen in hun eigen product, maar ging later juist zelf deze data genereren. Dit omdat RedSocks ontdekte dat deze zelfontwikkelde threat intelligence beter was dan die van de andere partijen, stelt Janssen.

Doordat meta-data en threat intelligence weinig ruimte in beslag nemen, werd het nu ook mogelijk gedragsanalyses over een langere periode uit te voeren. Deze tweede engine werd in 2016 opgenomen in de oplossing. Deze vorm van netwerkanalyse is sinds een paar jaar dan ook een opkomende trend in de securitymarkt.

Advanced analytics-oplossing

RedSocks levert concreet een software-gebaseerde flow based advanced analytics-oplossing waarmee gebruikers real time en ouder dataverkeer op hun netwerken kunnen analyseren, op basis van beredeneerde argumenten dataverkeer daadwerkelijk als malware bestempelen en zo actie kunnen ondernemen.

Met zijn oplossing kijkt RedSocks niet naar de inhoud van bestanden die zich op het netwerk verdacht gedragen, maar naar wat zij op het netwerk doen. De oplossing combineert daarnaast ook het bestemmingsverkeer met de eventuele vertraging die zij op netwerken veroorzaken. Ontstaat tussen deze twee een match, dan kan volgens Janssen ervan uit worden gegaan dat dit malware is en moet worden bestreden

Overname door Bitdefender

Het is ook de vooruitziende blik geweest van Bitdefender die ervoor heeft gezorgd dat RedSocks nu door hen is ingelijfd. De Roemeense securityspecialist is van origine vooral een leverancier van desktop-beveiligingsoplossingen voor vooral consumenten. De beveiligingsspecialist heeft echter al flinke stappen gezet op de zakelijke markt. Het levert al oplossingen voor datacenters en is, niet heel bekend, ook de motor achter diverse OEM-oplossingen, white label-producten en -engines van derde partijen. Het miste nog een goede network analytics-oplossing. Deze is met RedSocks nu gevonden.

Voor de Nederlandse security-aanbieder was de overname ook een goede match. Door de aanvullende producten van Bitdefender en de footprint die het bedrijf wereldwijd heeft, kan het nu ook zijn afzetmarkt flink gaan uitbreiden en de ambities voor wereldwijde groei te realiseren.

Focus op uitgaand verkeer

Meer concreet focust de software van RedSocks zich in beginsel op de communicatiepatronen die eventuele binnen het netwerk aanwezige malware afgeeft. Waar firewalls proberen te verhinderen dat malafide verkeer de netwerken binnenkomt, legt de software-oplossing zich juist toe op het uitgaande verkeer. Binnen dit verkeer probeert de software met behulp van metadata of ‘flow data’, die een geconcentreerd overzicht biedt van al het netwerkverkeer, patronen te ontdekken die op malware of naar besmette of anderszins gecompromitteerde devices wijzen.

Volgens het securitybedrijf maakt het niet uit waar het uitgaande netwerkverkeer vandaan komt. Of dit vanuit on-premise-omgevingen is, vanuit hybride omgevingen, volledig uit de cloud of vanaf mobiele devices. De eindgebruikers bepalen hoe zij de softwaretoepassing naar het uitgaande verkeer laten kijken.

Lijsten met malafide indicatoren

Voor het uitbannen van zogenoemde false positives, gebruikt RedSocks de analyse van de metadata een ‘reasoning engine’ die op basis van door de eigen securityexperts samengestelde algoritmes geautomatiseerd beredeneert of bepaald uitgaand verkeer kwaadaardig is of niet. Daar komen geen enkele menselijke analisten meer aan te pas.

De algoritmes worden 24/7 bijgehouden door de securityexperts, aangepast en naar de klanten verstuurd, zodat appliances en andere installments ‘on the fly’ updates krijgen. In tegenstelling tot veel andere leveranciers haalt RedSocks niet zijn bronnen uit data die door klanten wordt ‘teruggestuurd’ voor analyse, dit om de privacy van klanten te waarborgen

Beredeneerde alerts

Deze beredeneringen worden omgezet in simpele of complexe algoritmes, ook wel scenario’s, en naar de beheerders gestuurd. Hiermee krijgen de gebruikers heldere uitleg en beredeneerde alerts over afwijkende gedragingen op hun netwerken, waarop zij dan gericht actie kunnen ondernemen.

Een mooie bijkomstigheid vindt Janssen dat deze alerts zo helder zijn dat voor het ondernemen van actie eigenlijk geen speciale securityspecialisten nodig zijn, maar gewoon door IT-beheer van bedrijven kan worden uitgevoerd. Er is slechts een beetje kennis van security nodig om een risicoschatting te kunnen maken van een breach.

Eindgebruikers kunnen de software implementeren naast hun bestaande netwerkbeveiligingsapparatuur, zoals firewalls. Het liefst ziet de securityspecialist zijn oplossing dichtbij de bedrijfsrouter(s) zodat met een kleine aanpassing al het verkeer direct door de software kan worden gehaald. Verder levert het de softwareoplossing op een eigen fysieke appliance, maar het is ook als virtuele machine verkrijgbaar. Ook levert het een speciale versie voor Managed Security Service Providers (MSSP’s) waarmee die weer hun eigen klanten kunnen bedienen.

Uitdagingen voor 2019

Janssen vindt dat bedrijven tegenwoordig eigenlijk standaard over Intrusion Detection System (IDS)-oplossingen zoals die van RedSocks moeten beschikken. Vooral omdat de dreiging van malware voor bedrijven steeds meer toeneemt en tegelijkertijd ook complexer wordt.

Gevraagd naar de trends voor dit jaar, ziet hij een aantal interessante ontwikkelingen. Financieel gedreven malware speelt bijvoorbeeld nog steeds een grote rol. Deze wordt slimmer ingezet, onder meer in kleine batches die eenvoudig te automatiseren vallen en op deze manier semi-gericht zijn in plaats van ongericht.

Daarnaast ziet Janssen dat de ingezette trend van malware as-a-service steeds breder wordt aangeboden. Zo is het nu mogelijk om via een distributie met een druk op de knop complete malafide sociale media-pagina’s aan te maken. Kortom, automatisering doet zijn intrede. Hierdoor valt malware sneller te bouwen en te distribueren en neemt het aantal dus toe.

Ransomware blijft domineren

Ransomware is nog steeds de grootste bedreiging waarmee bedrijven en de security-industrie te maken hebben. Hackers en andere kwaadwillenden zetten deze malware steeds slimmer in en weten nu bedrijven en instellingen steeds vaker te treffen op de momenten waarop zij het meest kwetsbaar zijn, zoals op momenten van grote transacties of bij het maken van back-ups.

Het bestrijden van dit type malware is dan ook zeker de komende tijd nog steeds de grootse uitdaging op securitygebied. Vooral omdat het aanbod nieuwe malware zo groot is dat bestrijders hier moeilijke tegenop kunnen werken. Het op tijd leveren van data voor detectie wordt daarom een absolute prioriteit

Volgende logische stap

Een logische volgende stap is volgens Janssen dat machine learning en automatisering belangrijke factoren worden voor malwarebestrijding. Met mensen is er gewoon niet meer tegenop te boksen. De security-industrie moet zich daarom serieus gaan richten op het geautomatiseerd bekijken van al dan niet kwaadaardig gegevensverkeer. Het liefst natuurlijk beide.

Amerikaanse bedrijven noemen dit met een marketingterm ook wel kunstmatige intelligente (AI). Volgens Pepijn Janssen komt het eigenlijk neer, en daarmee zijn we weer terug bij de corebusiness van RedSocks, op het kijken naar gedragingen en bestemmingen van al dan niet kwaadaardig gegevensverkeer en het beredeneerd verklaren van dit verkeer.

We zijn benieuwd hoe RedSocks zich de komende tijd onder de vlag van Bitdefender zal gaan ontwikkelen. Aan de markt ligt het niet, want er zijn en komen nog voldoende uitdagingen om het gegevensverkeer van bedrijven en organisaties in de toekomst te beveiligen.