Of het nu gaat om het Syrische Elektronische Leger dat de website van New York Times een jaar geleden platlegde of de herhaalde aanvallen op grote informatiehandelaars waarbij miljoenen euro’s op het spel staan, cybercriminelen gaan steeds geavanceerder te werk. Daarmee worden ze effectiever in het bemachtigen van gevoelige informatie en het veroorzaken van grootschalige online verstoringen.
Door staten gesponsorde aanvallen tegen bedrijven vormen op hun beurt een bedreiging voor onze werkgelegenheid en economie. Helaas weten proactieve cybercriminelen maar al te goed misbruik te maken van een fundamentele scheefgroei die is ontstaan door het passieve karakter van traditionele beveiligingsmechanismen. De 'kasteel en slotgracht'-strategie, waarbij bedrijven fors investeren in security-oplossingen waarmee ze aanvallen op de netwerkrand kunnen afslaan, is niet meer van deze tijd.
Deze aanpak is niet toereikend om hedendaagse cyberaanvallen af te slaan, omdat de netwerkrand hierdoor uitgroeit tot een single point of failure. Hackers hebben daarentegen slechts één zwak punt in de beveiliging nodig om zich toegang tot het netwerk te verschaffen en zo hun doel te realiseren.
Als je echter te ver de andere kant op gaat, kunnen er ook problemen optreden. Reageren met een tegenaanval of actie ondernemen tegen cybercriminelen of de computers waarvan aanvallen afkomstig zijn, is wettelijk verboden en vanuit moreel oogpunt onwenselijk. Wordt uit verdediging een tegenaanval uitgevoerd, dan kunnen onschuldige mensen getroffen worden of een nog zwaardere tegenaanvallen worden uitgelokt. Dit is dus ook geen oplossing.
Actieve verdediging
Een betere aanpak is actieve verdediging (active defense). Hierbij worden de aanvalspogingen van cybercriminelen actief verstoord, maar zonder over de schreef te gaan en kans te lopen op vergeldingsacties. Deze techniek legt zich toe op het identificeren en verstoren van aanvallers op het moment waarop ze toegang zoeken tot digitale bedrijfseigendommen. Deze cybercriminelen worden echter niet tot in het publieke domein opgejaagd.
De technologie die deze gulden middenweg mogelijk maakt, is er. Een veelbelovende aanpak die bekend staat als intrusion deception (indringersmisleiding), maakt het mogelijk om aanvallen proactief te herkennen, te onderscheppen en af te wenden. In het geval van web-applicaties kan dit betekenen dat er een kwetsbaarheid in een website wordt nagebootst waar een cybercrimineel misbruik van zou maken. Dit resulteert echter niet in een succesvolle aanval, maar stelt de verdedigende partij in staat om de aanvaller te herkennen en onschadelijk te maken.
Op een soortgelijke manier kunnen aanvallers een halt worden toegeroepen door het simuleren van ogenschijnlijk waardevolle bestanden die in werkelijkheid als een soort van digitale mierenlokdoos (tar trap) functioneren. Op deze manier wordt voorkomen dat aanvallers waardevolle bedrijfsactiva kunnen stelen, terwijl zij in de waan zijn dat ze een succesvolle aanval hebben uitgevoerd. In feite ondermijn je daarmee het nut van hacken, zodat aanvallers gedwongen zijn om hun heil ergens anders te zoeken.
Normen en richtlijnen
Om het gebruik van active defense te bevorderen moeten de beveiligingsbranche, overheid en wetgevingsinstanties gezamenlijk nieuwe normen en richtlijnen opstellen. De afwezigheid van een duidelijk samenwerkingskader werkt op zichzelf al passiviteit in de hand.
Hoewel er nog veel werk moet worden verzet om active defense tot de norm te verheffen, kunnen we het ons niet permitteren om nog langer een afwachtende houding in te nemen. De potentiële kosten van aanvallen zijn daarvoor te hoog. Het vasthouden aan de status quo zal alleen maar tot frustratie leiden en het succes van cybercriminelen aanhouden. Het is daarom zaak dat de securitybranche, de overheid en wetgevingsinstanties zo snel mogelijk gaan samenwerken aan een kader en zich hard maken voor een brede implementatie van een actieve verdediging tegen cyberaanvallen.
