De RSA Conference is 's werelds grootste en meest gerespecteerde bijeenkomst van CISO's, technologen en cyber security-specialisten. Terwijl een nieuw decennium nadert- en de volgende conferentie in februari in San Francisco bijeenkomt - is er een nieuwe reeks uitdagingen om rekening mee te houden.
Het doorpluizen van de ongeveer 500 inzendingen van cyber security-experts die graag het podium willen betreden op de conferentie (ik zit in de commissie die presentaties selecteert) biedt een kijkje in opkomende problemen zoals deep fakes, stalkerware en surveillance attacks, terwijl bestaande thema's waaronder DevOps en ransomware opnieuw belangrijk worden.
Als je leidinggevende bent bij een bedrijf, let dan op deze trends (of zorgen). Want ze kunnen jouw organisatie raken.
Hier zijn een aantal van de grootste uitdagingen die we zien op basis van de inzendingen.
1. Fakes en deep fakes zijn de buzzwords
Deep fakes zoals nepvideo's en nepaudio-opnames die op echt lijken, zijn voor veel experts een interessant onderwerp. Iedereen kan software downloaden om deep fakes te maken. Dit soort software biedt vele mogelijkheden voor het uitvoeren van schadelijke activiteiten. Een politicus kan op vervalste wijze een statement maken en zodoende een opmerking maken waardoor stemmen verloren kunnen worden tijdens een verkiezing. Een vervalste opname van een senior executive kan de boekhoudafdeling opdracht geven een financiële transactie uit te voeren op de bankrekening van een crimineel. Nieuwe vormen van "stalkerware", een soort spyware, volgt smartphone data van slachtoffers om een beeld van hun activiteiten op te bouwen; dit beeld kan worden gebruikt om nepvideo's, spraakopnamen of schriftelijke communicatie te maken. De cyber security industrie werkt nog steeds aan oplossingen om een antwoord op deze nieuwe typen dreigingen te bieden.
2. Smartphones worden gebruikt in surveillance attacks
Met het toenemende gebruik van bank-applicaties en contactloos betalen worden smartphones hubs voor financiële transacties. Dit heeft geleid tot een toename van mobiele surveillanceaanvallen, die trackingsoftware op telefoons installeren om het gedrag van mensen te volgen op basis van het smartphonegebruik. Dat maakt onder andere zakelijke e-mailfraude mogelijk, bekend als business e-mail compromise. Hoe meer een aanvaller op de hoogte is van de activiteiten van een slachtoffer, hoe eenvoudiger het is om het slachtoffer een vervalste (echt lijkende) e-mail te sturen en het slachtoffer te verleiden om een bestand met schadelijke code te downloaden. Gebruikers moeten zich meer bewust zijn van de gevaren van mobile surveillance en de stappen om dit tegen te gaan.
3. Ransomware (gijzelsoftware) wordt geavanceerder terwijl bedrijven de dwangsom betalen
We hebben veel inzendingen gezien over de evolutie van ransomware en het kat-en-muisspel tussen aanvallers die op zoek zijn naar slimme manieren om detectiemogelijkheden te omzeilen en verdedigers die nieuwe manieren zoeken om ze te blokkeren. In plaats van willekeurig gegevens te versleutelen, richten criminelen zich op hoogwaardige bedrijfsgegevens, om die vervolgens te versleutelen en vast te houden. Naar mijn mening is ransomware halverwege zijn levenscyclus. We zullen het er nog vele jaren over hebben, maar we zullen het uiteindelijk succesvol uitroeien als we onze verdedigingsmechanismen succesvol aangescherpt hebben.
4. Supply chain attacks in opkomst
Supply chain attacks zijn cyberaanvallen die code in een website injecteren, vaak e-commerce of financiële websites, waardoor ze data kunnen stelen, zoals de persoonlijke gegevens van klanten en creditcardgegevens. Aanvallers zetten sterk in op dit soort aanvallen en hebben recent enkele successen geboekt. In 2019 kreeg een bekend Brits bedrijf een recordboete van 241 miljoen dollar voor een supply chain attack. Men geloofde dat het was opgezet door de Magecart threat group. Andere grote bedrijven hebben soortgelijke aanvallen ondergaan. Dat er meer van dit soort aanvallen zullen plaatsvinden is waarschijnlijk. Verdedigers moeten de bescherming tegen malafide code verbeteren en altijd waakzaam zijn, zodat ze deze kunnen identificeren en verwijderen.
5. DevOps versnelt software development maar verhogen gelijktijdig cyber security risico's
DevOps is een transformatiemethode die het maken van code die development en operations met elkaar verbindt om software-innovatie te versnellen. DevOps contrasteert met traditionele vormen van softwareontwikkeling, die monolithisch, traag, eindeloos getest en gemakkelijk te verifiëren zijn. In plaats daarvan is DevOps snel en vereist het veel kleine, iteratieve wijzigingen. Dit verhoogt daarentegen complexiteit en zorgt voor een nieuwe reeks beveiligingsproblemen. Met DevOps kunnen bestaande beveiligingskwetsbaarheden worden vergroot en kunnen aanvallers zich op nieuwe manieren manifesteren. De snelheid waarmee software wordt gemaakt kan betekenen dat er onbewust nieuwe kwetsbaarheden gemaakt worden door ontwikkelaars. De oplossing is om vanaf het begin beveiligingsmonitoring in het DevOps-proces op te nemen. Dit vereist samenwerking en vertrouwen tussen de CISO en het DevOps-team.
6. Emulatie- en decoy-omgevingen moeten betrouwbaar zijn
Grote bedrijven zijn op zoek naar manieren om "emulatie-omgevingen" te creëren waarmee onbekende cyberdreigingen opgespoord kunnen wordt. Deze omgevingen bootsen servers en websites na, om hier vervolgens cybercriminelen mee te lokken zodat hun gedrag geobserveerd en gegevens over de door hun toegepaste methoden verzameld kan worden. Decoys werken op een vergelijkbare manier. De uitdaging is om emulatieomgevingen vorm te geven die goed genoeg zijn om de tegenstander voor de gek te houden, door hen te laten denken dat het een echte server of website is.
7. Cloud incident response vereist nieuwe tools en vaardigheden voor in-house security teams
Organisaties zijn steeds meer gewend hoe om te gaan met cyber security-incidenten op eigen netwerken. Wanneer data in de cloud opgeslagen wordt daarentegen, worstelen beveiligingsteams hier nog mee. Ze hebben geen volledige toegang tot beveiligingsgegevens, omdat dit beheerd wordt door de cloudprovider. Ze kunnen dus moeite hebben bij het maken van een onderscheid tussen dagelijkse 'events' en beveiligingsincidenten. Bestaande incident responsteams hebben nieuwe vaardigheden en hulpmiddelen nodig om forensisch onderzoek uit te kunnen voeren naar cloud data. Bedrijfsleiders moeten teams uitdagen door de discussie aan te gaan of ze voorbereid en in staat zijn om beveiligingsaanvallen in de cloud te managen en daarop te reageren.
8. Artificial Intelligence en Machine Learning
We hebben talloze papers ontvangen over Artificial Intelligence en Machine Learning. Deze technologieën bevinden zich in een vroeg stadium voor cyber security. Aanvallers bestuderen hoe netwerken Machine Learning gebruiken voor beveiliging, om te achterhalen hoe deze beveiliging doorbroken kan worden. Ze bestuderen de manier waarop Artificial Intelligence-experts beeldherkenningssystemen om de tuin proberen te leiden, door de systemen een kip of een banaan als een mens te laten identificeren. Dit vereist inzicht in hoe de Machine Learning-engine van het systeem exact werkt om vervolgens manieren te bedenken om het systeem effectief te misleiden en de wiskundige modellen te doorbreken. Aanvallers gebruiken vergelijkbare technieken om Machine Learning-modellen te misleiden die worden gebruikt in cybersecurity. Artificial Intelligence en Machine Learning worden ook gebruikt om deep fakes te stimuleren. Ze verzamelen en verwerken enorme hoeveelheden data om slachtoffers beter te begrijpen en om inschattingen te maken, of een uit te voeren deep fake aanval of fraude kan van slagen heeft.
9. Hardware en firmware aanvallen zijn terug
Er zijn toenemende zorgen over hardware vulnerabilities zoals Spectre en Meltdown. Deze maken deel uit van een familie van kwetsbaarheden, onthuld in 2018, die van invloed zijn op bijna elke computerchip die in de afgelopen 20 jaar is gemaakt. Er hebben nog geen serieuze aanvallen plaatsgevonden, maar beveiligingsexperts voorspellen al wel wat er zou kunnen gebeuren als een hacker dergelijke zwakke punten in hardware en firmware zou kunnen misbruiken.
10. Power users hebben beveiliging nodig
Het is van vitaal belang om veilige verbindingen te maken voor senior executives en andere medewerkers in de top omdat zij toegang hebben tot de meest gevoelige bedrijfsgegevens op hun eigen apparaten. Welke maatregelen moeten genomen worden om ze veilig te stellen?
11. The security industrie onderneemt eindelijk actie tegen DNS spoofing
IP-adressen zijn de reeks cijfers die computers op een internetnetwerk identificeren. Het Domain Name System kent aan elk IP-adres een naam toe zodat deze op internet kan worden gevonden. DNS staat bekend als het telefoonboek van internet, maar kwaadwillenden kunnen deze namen vervalsen en gebruikers onder valse verwachtingen verwijzen naar gecompromitteerde websites waar ze het risico lopen om data te lekken of verliezen. De industrie is eindelijk begonnen om meer DNS-informatie te verzamelen om deze problemen te identificeren en DNS-spoofing te voorkomen.
Hoe we op deze bedreigingen reageren in de komende tien jaar zal goed materiaal zijn voor het voeren van inhoudelijke discussies tijdens de RSA Conference 2020.
