Versleutelde malware vereist nieuwe ICT-structuren

Encryptie viert hoogtij. Gratis ssl-certificaten maken het voor iedereen kinderlijk eenvoudig én goedkoop om een versleutelde website aan te bieden. Maar die grote mate van veiligheid komt met een keerzijde. Steeds meer malware wordt ook versleuteld. Daardoor is het lastig om aanvallen te detecteren.

Drie jaar geleden pleitte SoftwareZaken al voor versleuteling van elke website. De opkomst van goedkope en makkelijk te implementeren versleuteling heeft het internet de afgelopen jaren veel veranderd. Inmiddels is het merendeel van het http-verkeer versleuteld. Met name Let’s Encrypt heeft een positieve bijdrage geleverd.

Er zijn twee belangrijke drijfveren die die opkomst mogelijk maakten. Aan de ene kant is er het bewustzijn onder bedrijven en consumenten dat ontstond na de onthullingen van Edward Snowden. Door de gelekte NSA-documenten ontstond er meer vraag naar anonimiteit voor internetters. Dat kon er echter pas komen toen de Internet Security Research Group in 2016 begon met het uitbrengen van gratis SSL-certificaten. Inmiddels is het heel simpel en ook nog eens goedkoop om al het verkeer op een website of binnen een organisatie van een versleutelde verbinding te voorzien.

Schaduwzijde

Toch heeft die ontwikkeling ook een schaduwzijde. “Criminelen maken dankbaar gebruik van het feit dat certificaten met signatures nu zo spotgoedkoop zijn”, zegt Michel Schaalje. Hij is directeur security bij Cisco. Dat ziet schrikbarende cijfers. Volgens het beveiligingsbedrijf duurt het gemiddeld tussen de 100 en 200 dagen voordat een bedrijf doorheeft dat er ongeoorloofd SSL-verkeer op hun netwerk zit.

Grote getallen

Cijfers over het fenomeen malware zijn moeilijk te geven. Beveiligingsbedrijven en analysten hanteren verschillende meetmethodes: enquêtes, software, ervaring… Maar dat versleutelde malware een probleem is, daarover is iedereen het eens. Al in 2016 concludeerde beveiligingsbedrijf A10 Networks bijvoorbeeld al dat ruim 80% van de ondervraagden ooit te maken had met een aanval waarbij SSL of TLS werd gebruikt om verkeer te maskeren.

In de meeste gevallen gaat het dan om SSL-verkeer van en naar servers toe. Het gaat niet om de payload, maar het verkeer van en naar een command and control-servers waar versleuteling plaatsvindt. Schaalje: “Als je dat verkeer weet te verbergen heb je vaak meer impact op een bedrijf. Bovendien kun je dan langer onopgemerkt blijven. Voor bedrijven is het dan namelijk moeilijker om in een netwerkanalyse te zien of verkeer naar een legitieme bron gaat of naar een malafide server waar je bedrijfsgeheimen op worden verzameld.”

Architectuurbenadering

Volgens Schaalje is het een logische ontwikkeling dat ook criminelen naar versleuteling kijken. “Zij proberen altijd onder de radar te blijven. Het is logisch dat met encryptie te doen, zeker als dat zo makkelijk wordt.” Maar er speelt volgens Schaalje nog iets anders mee: “De beschermmuur rondom organisaties wordt steeds beter. Bedrijven maken steeds vaker gebruik van een architectuurbenadering voor hun security. Ze pompen niet alleen maar geld in nieuwe en betere hardware en software, maar nemen hun hele bedrijfsstructuur onder de loep. Als crimineel moet je daarom wel andere methodes zoeken om onzichtbaar te blijven.”

Destruction of service

Aanvallers hebben vaak niet één einddoel voor ogen. Ze volgen de algemene trends van cybercrime: ransomware (al is dat in 2018 wel minder geworden), cryptojacking (dat juist enorm is gestegen), en natuurlijk diefstal en spionage. Schaalje ziet echter ook een nieuwe trend: destructie. “Vormen van cybercrime met het doel operaties plat te leggen. We zagen dat vorig jaar al met WannaCry en (Not)Petya. Die zogenaamde ‘destruction of service’ wordt steeds belangrijker voor criminelen. Ze maken dan gebruik van obfuscatiemethoden zoals aanvallen via de supply-chain, maar ook encryptie die het verkeer maskeert.”

Voorkomen, of genezen?

Schaalje herhaalt het inmiddels doodgeslagen adagium dat het niet meer de vraag is óf je wordt getroffen, maar wannéér. Dat wordt met encryptie alleen maar lastiger te detecteren. Aanvallers kunnen veel langer onopgemerkt in een systeem blijven zitten. “Het is belangrijker om te leren hoe je snel kunt reageren. Hoe grijp je in als je merkt dat je toch getroffen wordt?”

Bedrijven moeten volgens Schaalje ook anders gaan denken over de manier waarop zij vooraf maatregelen nemen. “In een ideale wereld wil je als beveiligingsbedrijf of CISO overstappen op real time-detectie”, zegt Schaalje. Antivirus is volgens hem niet meer voldoende. “Dat dectecteert verkeer alleen achteraf als het al op het systeem staat. Dat is eigenlijk te laat.”

Maar juist die versleuteling maakt het moeilijk dat verkeer te analyseren. Immers, hoe maak je onderscheid tussen legitiem en malafide verkeer?

Kunstmatige intelligentie

Schaalje denkt dat kunstmatige intelligentie en machine learning het verschil kunnen maken. “Met die technologieën kun je vreemde gedragspatronen in verkeer makkelijker herkennen. Als je die goed analyseert kun je sneller actie ondernemen.” Artificial intelligence kan in zo’n geval verkeer fingerprinten. Daarbij wordt gekeken naar technische specificaties en gedragspatronen. Je kunt dan kijken naar de omvang van het verkeer of data packets, of naar metadata. Cisco is zelf één van de weinige securitybedrijven die die methode al in het echt toepast. Met ‘Encrypted Traffic Analytics‘ (ETA) analyseert vervolgens die patronen en onderneemt waar mogelijk actie.

Een mogelijk probleem bij het inzetten van machine learning is dat je vaker false positives ziet. De technologie staat immers nog in de kinderschoenen. Er moet dan ook nog heel veel resultaten worden verzameld en worden geanalyseerd om het systeem te perfectioneren. Overigens heeft AI ook een keerzijde, vandaar dat er ook gepleit wordt voor de AI impact Assessment.

Organisatie herstructureren

Dat is de rol van beveiligingsbedrijven, maar volgens Schaalje is het ook belangrijk dat bedrijven zelf verantwoordelijkheid nemen voor hun eigen beveiliging. Zij zouden dan vooral naar hun organisatiestructuur moeten kijken. Daar mankeert het namelijk nogal eens aan. “In de IT is security de meest versnipperde markt. Alle netwerkprioriteiten liggen bij het netwerkteam, SOC-operaties liggen bij de CISO, end-points zitten bij facilitair, soms bij IT… Het zijn allemaal verschillende omgevingen.” Volgens Schaalje moeten partijen samenkomen om het probleem van versleutelde malware tegen te gaan. “Je moet bronnen en input samenbrengen. Anders is het voor klanten heel moeilijk een efficiënte security-architectuur op te zetten. Dan loop je al snel achter op de ontwikkelingen binnen cybercrime.”

Schaalje geeft ook toe dat dat niet makkelijk is. “Het kost tijd en geld. We hebben als beveiligingsindustrie ook een verantwoordelijkheid daarin, maar bedrijven hebben dat ook.”

Gelukkig zijn er ook signalen dat het de goede kant op gaat, denkt Schaalje. “Er zijn nu al veel allianties, threat intel-organisaties werken al goed samen. Maar dat kan altijd nog meer gebeuren. Pas dan kun je veel meer aan de automatisering overlaten.”

Afbeelding: Pixabay