Visie op cybersecurity

Een visie ontwikkelen is niet eenvoudig, het is immers in zekere zin de toekomst proberen te voorspellen. Een visie vormen over Security is nog moeilijker omdat het enkel een kwaliteitsaspect van de IT is. Maar toch niet helemaal onmogelijk immers om een visie te kunnen vormen over Security moeten we eerst een duidelijk beeld hebben over hoe de IT zich de komende tijd verder gaat ontwikkelen.

1: IT-landschap wordt heterogeen

Waar voorheen de totale informatie-voorziening nog geleverd werd door één dienstverlener zal deze steeds vaker geleverd gaan worden door meerdere. Denk dan aan verschillende SaaS- en Cloud-providers naast de ‘eigen in-house’ dienstverlener. Gevolg hiervan is dat het IT-landschap zowel technisch als organisatorisch zeer divers en daarmee heterogeen wordt met een grote complexiteit tot gevolg.

Gevolgen voor Security:

  • Complexiteit komt nooit ten goede aan Security. Infiltratie van cybercriminelen zal hierdoor minder snel worden opgemerkt waardoor criminelen meer tijd hebben om hun slag te slaan. Het wordt een uitdaging om een integraal (Security) beeld te hebben over deze heterogene omgeving.
2: Internet wordt het nieuwe bedrijfsnetwerk

Medewerkers worden mobieler, toegang tot het Internet wordt makkelijker en daarnaast ook steeds sneller. Gevolg hiervan is dat het kantoor daar is waar de medewerker is. Werken wordt tijd, plaats en apparaat onafhankelijk. Functionaliteit wordt steeds vaker op basis van webtechnologie aangeboden en via het Internet ontsloten. Niet meer één applicatie voor één specifieke informatiebehoefte maar zelf de gewenste functionaliteit kunnen samenstellen (‘mashups’) afgestemd op de persoonlijke behoefte (‘personalisation’) en toegestuurd (‘gepusht’) krijgen op basis van de nodale behoefte.

Gevolgen voor Security:

  • Inherent aan de mobiliteit van de medewerker wordt ook de data mobieler. Daarmee de uitdaging om de integriteit en vertrouwelijkheid van de informatie in al haar stadia te kunnen blijven waarborgen. Parallel neemt de kans op bewust dan wel onbewust lekken van informatie enkel maar toe.
3: Artificial Intelligence wordt dé dominante technologie

AI is niet nieuw maar de hedendaagse verwerkingskracht gecombineerd met de enorme hoeveelheid data als grondstof voor het leerproces maakt AI rijp voor brede inzet. Gevolg hiervan is dat AI in talloze oplossingen ‘zit’ zonder dat consumenten er überhaupt weet van hebben. Van Search-engines tot malware-inspectie, van smartphone tot smartcar, AI is verantwoordelijk voor het autonome gedrag van de component.

Gevolgen voor Security:

  • Waar AI toegevoegde waarde levert voor vele oplossingen zal het ook gebruikt gaan worden voor de bad-cause. AI zal zeker ingezet gaan worden binnen verschillende stappen uit de Cyber Kill Chain. AI zal bijdragen in het onopvallend penetreren en infiltreren van een organisatie. Mogelijk zal een dergelijke engine zelfs ‘as-a-Service’ aangeboden gaan worden op het Dark Web.
4: Alles wordt een node op het Internet

Steeds meer componenten worden uitgerust met een chip waarmee zij zich kunnen verbinden met het lokale WiFi en daarmee toegang tot het Internet verschaffen (ook wel aangeduid met de term Internet-of-Things). Toegankelijkheid tot het Internet is primair, Security daarentegen is ondergeschikt.

Gevolgen voor Security:

  • Het Mirai botnet maakte pijnlijk duidelijk hoe slecht deze IoT-componenten beveiligd waren met de grootste DDoS-aanval aller tijden tot gevolg. En omdat de IoT-component gewoon de primaire functionaliteit blijft leveren, ontbreekt het aan noodzaak tot verbetering met als gevolg dat vandaag de dag deze omgeving nog altijd zeer kwetsbaar is en wacht op een volgende uitnutting van het criminele gilde.
5: Edge prevaleert boven de Cloud

Componenten gaan steeds meer autonoom handelen. Concrete voorbeelden hiervan zijn de smart cars, smart houses, smart weapons en ga zo maar verder. Verwerkingskracht of beter gezegd beslissingen worden genomen door de smart component op basis van Artificial Intelligence (AI) wat gevoed wordt door een enorme hoeveelheid data (big data) die aangeleverd worden door diverse sensoren. Deze technologie wordt ook wel ‘Edge Computing’ genoemd. Data wordt hooguit nog naar de Cloud verstuurd voor analyse achteraf. Daarmee krijgt de Cloud een min of meer ondergeschikte rol.

Gevolgen voor Security:

  • Het feit dat mensen nou eenmaal fouten maken in combinatie met de koppeling aan het publieke netwerk, het Internet, veroorzaakt een zekere kwetsbaarheid. Cybercriminelen kunnen hierin een nieuw verdienmodel zien, het chanteren van organisaties of welgestelden.
6: Cybercriminaliteit wordt volwassen

Cybercriminelen worden steeds volwassener. Ze weten zich steeds beter te organiseren en beschikken over steeds meer kennis en kunde. Ook tijd is niet meer een factor. Ze gaan niet voor de snelle winst maar durven het aan om te gaan voor de grote bingo. De ‘Carbanakgang‘ zette hierin duidelijk de nieuwe standaard. Twee grote campagnes, Carbanak en Cobalt, gericht op 150 financiële dienstverleners, verspreidt over zeker meer dan 30 landen en in een tijdsbestek van 3 jaar met een uiteindelijk resultaat van meer dan 1 miljard US dollar beschrijft het organisatiorisch vermogen. De totale anonimiteit, de grote verdiensten en de lage straffen werken dit in de hand. Of in goed Nederlands: cybercriminaliteit is lonend.

Gevolgen voor Security:

  • Security wordt steeds meer een commodity maar parallel daaraan ook het domein van de werkelijke specialisten. Specialisten die vroegtijdig aanvalspatronen herkennen en een mogelijke aanval kunnen pareren.

Be aware and be prepared

Advertenties
Geplaatst in New Technology, Security | Tags: , , , , | Een reactie plaatsen

Know your enemy

Konden we de cybercrimineel maar altijd een stap voor zijn zoals in de film ‘Minority Report’. Dit lijkt hypothetisch maar niet helemaal onmogelijk.

Cyber Kill Chain
Lockheed Martin publiceerde in 2016 de Cyber Kill Chain. Een framework waarin in zeven stappen een cyber aanval wordt beschreven (zie ter illustratie de infographic).

Interessant daarin is de eerste stap (reconnaissance phase) waarin de crimineel zijn slachtoffer verkent om hierop zijn aanvalsstrategie af te stemmen. 

 

 

Je wilt de cybercrimineel altijd een stap voor zijn.

Pre-crime
Het liefst wil je de cybercrimineel altijd een stap voor blijven. Eigenlijk wil je al in de verkenningsfase (reconnaissance phase) geïnformeerd worden over een ophanden zijnde aanval. Dit lijkt een utopie maar niet helemaal onmogelijk. Immers in deze fase verzamelt de cybercrimineel zoveel als mogelijk informatie over het slachtoffer. Hiervoor raadpleegt hij diverse interne en externe bronnen. Hij zal kijken welke domeinen geregistreerd zijn, welke websites actief zijn, welke poorten ‘open’ staan, zijn er kwetsbaarheden te vinden en ga zo maar verder. Met behulp van deze informatie bepaalt de aanvaller zijn aanvalstactiek. Maar een aantal van deze activiteiten zijn eenvoudig te detecteren mits hier ook maar naar ‘gekeken’ wordt. Het slachtoffer kan op zijn beurt deze informatie weer gebruiken ter verdediging.

Security Intelligence uit de Dark Web halen met behulp van Machine Learning

Security Intelligence
Cybercriminelen zullen in hun zoektocht naar informatie ook The Dark Web raadplegen, de marktplaats voor additionele informatie. Hij zal daar letterlijk de vragen stellen die hem verder helpen. Om bijvoorbeeld een spear phising (gerichte email) aanval op te zetten, heeft hij een redelijk recente emaillijst van de organisatie nodig. Deze zou hij kunnen verkrijgen via The Dark Web. Security bedrijven spelen hier op in door speciale web crawlers te ontwikkelen die op basis van Machine Learning ‘intelligence’ gaan leveren afkomstig uit dit duistere domein.

Mitre ATT@CK bevat een verzameling aanvalsvectoren

Kill Chain Frameworks
Gedreven door het succes van Lockheed’s Cyber Kill Chain verschenen er al snel verschillende varianten. Een interessante variant is het framework van Mitre ATT@CK wat zelfs een kennisbank in zich draagt. Hierin staan naast een zeer uitgebreide verzameling aanvalsvectoren ook hoe het zich manifesteert (detective measures) en wat er tegen te doen is (preventive measures).

Kill Chain frameworks worden veel gebruikt bij Security Operations, 
Threat Intelligence en Security Architecture

MaGMa Framework
Dichter bij huis ontwikkelde ABN AMRO een framework dat weer als basis diende voor het zogenaamde MaGMa Use Case Framework (UCF). Een raamwerk met bijbehorende tooling voor het bepalen en beheersen van use cases gebaseerd op een dreigingsanalyse. Het helpt organisaties met het verder operationaliseren van hun Security Monitoring strategie en stelt het in staat om aantoonbaar ‘in control’ te zijn over het Security Monitoring proces. Een onmisbare tool voor elk Security Operation Center (SOC).

Een infiltratie duurt gemiddeld 146 dagen voordat deze wordt opgemerkt

Mean time to discover
Volgens een onderzoek van FireEye duurt het gemiddeld 146 dagen voordat een infiltratie opgemerkt wordt. Anders gezegd heeft een cybercrimineel 146 dagen de tijd om de jackpot te vinden in het domein van zijn slachtoffer. Dit geeft wel aan dat Security Monitoring als detectieve maatregel een onmisbaar mechanisme is en blijft. Zonder is de organisatie zo goed als blind. De uitdaging zit niet direct in de tooling of het proces maar in het bepalen van effectieve use cases. De kwaliteit ervan bepalen de slagingskans van de cybercrimineel.

Geplaatst in Security | Tags: , , , , | Een reactie plaatsen

PKI: heilige graal in de strijd tegen cybercriminelen?

In de wedloop tussen aanval en verdediging is de cybercrimineel altijd in het voordeel. Die heeft op weg naar de jackpot maar één kwetsbaarheid nodig om zijn aanval op te zetten. Een uitzichtloze situatie?

Niet als we kijken naar het succes van de cryptocurrency. Diefstal van cryptowallets zijn geen uitzondering maar het versleutelingsmechanisme, en daarmee het fundament van de cryptocurrency, is echter nog nooit gekraakt.

Cryptocurrency is nog nooit gekraakt

Deze kracht wordt ook erkend door cloudproviders die het mechanisme inzetten ter afscherming van hun diensten. De kracht van het versleutelingsmechanisme is ook in een meer traditioneel IT-landschap in te zetten, namelijk door een brede implementatie van een Public Key Infrastructure (PKI). Asymmetrische sleutelparen zorgen dan voor versleuteling van informatie en identificatie/authenticatie van systemen.

Niet eenvoudig
Nu moet ik toegeven dat een gedegen PKI-implementatie niet eenvoudig is. Het behelst naast het gebruik van digitale certificaten van een Public Certificate Authority (CA) voor communicatie met de buitenwereld, ook de inzet van een eigen Private Certificate Authority (CA) voor interne communicatie. Daarbij moet de interne omgeving wel kennis hebben van deze eigen Private CA. De Root CA van deze Private CA moet worden opgenomen in de zogenaamde ‘Trusted Certificate Stores’ van alle interne componenten. Daarmee wordt de Private CA intern vertrouwd en is er sprake van een managed PKI-omgeving.

Private CA opnemen in de Trusted Certificate Store

Cryptografie in de cloud
Zoals gezegd maken cloudproviders ook gebruik van dit krachtige mechanisme, maar hierbij is een kleine kanttekening wel op zijn plaats. Immers, wie beheert de master key? Is dat de cloudprovider, of de klant? Deze vraag is zeer relevant immers de hele constructie is gebaseerd op vertrouwen. Maar is een cloudprovider waarop de Amerikaanse CLOUD Act en Patriot Act van toepassing zijn wel zo te vertrouwen? Of is het toch beter om zelf deze master key te bezitten? Persoonlijk kies ik altijd voor het laatste.

Beheer zelf de Master Key

CLOUD Act
Een groot aantal cloudproviders heeft zijn hoofdvestiging in de Verenigde Staten, denk alleen al aan Microsoft, Google en Amazon. Hierdoor moeten zij invulling geven aan Amerikaanse wetten, waaronder de ‘Clarifying Lawful Overseas Use of Data Act‘, toepasselijk afgekort tot CLOUD Act. Deze wet geeft de Amerikaanse opsporingsautoriteiten en inlichtingendiensten buitengewone bevoegdheden. Zo stelt het hun in staat om informatie op te vragen uit bronnen ongeacht of deze zich nu binnen of buiten de staatsgrenzen bevinden. Amerikaanse cloudproviders leggen zich hier niet bij neer en hebben deze inzage aangevochten. Tot op heden zonder succes. Overigens is de oplossing simpel, namelijk alle gevoelige informatie additioneel versleutelen met een master key die alleen jij hebt.

Amerikaanse inlichtingendienst heeft inzage in Clouddata

Pro’s ’n cons
Het gebruik van PKI is niet nieuw en zelfs misschien wel oud te noemen. Sceptici zullen terecht de vraag stellen waarom het dan nooit echt een succes geworden is. Hiervoor zijn meerdere redenen aan te dragen, waaronder het gebrek aan gedegen kennis, de negatieve impact op de performance en de afnemende flexibiliteit. Maar er is één hele goede reden om PKI wel te gebruiken. Het is namelijk een verdomd krachtig middel tegen cybercriminelen. De versleuteling is niet te kraken en door het gebruik van digitale certificaten ook niet eenvoudig infiltreerbaar. Is het daarmee de heilige graal? Nee, dat ook weer niet, maar de cybercrimineel moet wel weer op zoek naar een andere mogelijkheid.

Geplaatst in Security | Tags: , , | 1 reactie

Cyberspionage

Op verdenking van spionage tekende president Trump in 2017 een wet waarin producten van het in Moskou gehuisveste Security bedrijf Kaspersky niet langer gebruikt mochten worden binnen de Amerikaanse overheid. Ondanks het ontbreken van enig bewijs is de vraag of dit terecht is, of dat er toch sprake is van enig economisch protectionisme.

Als gevolg hierop heeft de Nederlandse overheid dit advies haast klakkeloos overgenomen. Organisaties die vallen onder Algemene Beveiligingseisen Defensie Opdrachten (ABDO) of deel uit maken van vitale diensten en processen hebben de opdracht gekregen de antivirussoftware van Kaspersky uit te faseren.

US weert producten van Huawei en ZTE

Recentelijk deed de Verenigde Staten ook producten van de Chinese leveranciers Huawei en ZTE in de ban. Dit voorbeeld werd direct gevolg door Australië. Landen als Canada, Japan en Duitsland zullen mogelijk volgen.

Enig bewijs ontbreekt

Bijzonder aspect aan dit alles is dat enig bewijs volledig ontbreekt. De basis voor dit alles is dus dat er geen enkel vertrouwen is in het land van afkomst. Helemaal ongegrond is dit ook weer niet. Zo is recentelijk nog aangetoond dat veel Amerikaans Internetverkeer gerouteerd werd via China. Veroorzaakt door een ‘configuratiefoutje’ bij verschillende Internetknooppunten van het Chinese staatsbedrijf China Telecom.

Amerikaans Internetverkeer gerouteerd via China

De verdenking dat de software achterdeuren biedt voor overheden is niet nieuw. Zo heeft het Amerikaanse Security bedrijf RSA al eens een achterdeur in haar producten geleverd aan de NSA. Niet eens uit patriottistische overtuigingen, wat nog te begrijpen valt, maar puur economisch belang, immers ze werden er goed voor betaald (10 miljoen US dollars).

Backdoors voor geld

Haast een identieke discussie vindt op dit moment plaats bij de aanstelling van een nieuwe directeur voor Interpol wat mogelijk een Rus wordt. Of de keuze voor apparatuur en diensten uit China zoals bij de aanbesteding van het vernieuwde C2000-netwerk. De vraag blijft: is deze argwaan terecht of moeten we leveranciers / producten afkomstig uit bedenkelijke landen daadwerkelijk weren.

Zie ook mijn vorige blogs over dit (backdoors) onderwerp:

Geplaatst in Cyberwarfare, Security | Tags: , , , , , | Een reactie plaatsen

China on the Net (Cyberwar part 6)

Getty images

Getty images

China is in alle opzichten een grootmacht, zo ook in het cyber domein. Het heeft op de Verenigde Staten na het grootste cyberleger ter wereld. Maar met een totaal andere motivatie, namelijk cyberspionage. China weet dat economisch leiderschap op de lange duur meer effect heeft dan imponeren met geweldsmiddelen, zoals de Amerikanen dat doen. Stelen van ‘intelectual property’ is haast een kerntaak geworden. Waar wij nog wachten op onze eerste F-35 Joint Strike Fighter (JSF) hebben zij hem al rondvliegen dankzij het stelen van de blauwdrukken.

China's motivatie is gericht op haar economie.

China on the Internet
De rol die China speelt in het cyber domein is opmerkelijk, want als we kijken naar de Internetdichtheid dan is China nog een ontwikkelingsland. Maar 22,4% van de bevolking heeft toegang tot het Internet en ook qua breedband gebruik zitten ze ver onder het gemiddelde, in vergelijking met Nederland 82,9%. Maar toch is hun presence is enorm. Hun cyberleger behoort tot de top-3 van de wereld om maar te zwijgen over de dominantie van BAT (Baidu, Alibaba en Tencent).

Kijkend naar de Internetdichtheid is China een ontwikkelingsland.

Binnenlandse censuur – The Great Firewall
China richt zich ook op censurering, in zowel het binnen- als buitenland. China maakt hier geen geheim van, integendeel, zij vinden dat zij hun burgers moeten beschermen tegen ongewenste veelal buitenlandse invloeden. Het is dan ook niet verwonderlijk dat China bijzonder slecht scoort op de Internet Freedom Scale van The Freedom House. Op een schaal van 1 tot 100, waarbij 100 het minst vrij is, scoort China een 88. Facebook, Twitter en Google zijn onvindbaar op het Chinese netwerk maar wel de Chinese alternatieven zoals WeChat en Baidu (censuur of markt bescherming?).

China scoort bijzonder slecht op de Internet Freedom Scale.

Buitenlandse censuur
In maart 2009 werd een grootschalige cyberaanval uitgevoerd, genaamd GhostNet. Naast de officiële website van de Dalai Lama waren ook ambassades, ministeries en overheidsinstanties verspreidt over 103 landen hiervan het slachtoffer.

China’s Social Credit System
China gebruikt de toegang tot het Internet zelfs als pressie middel. Etnische onrusten in de stad Urumqi leidde in 2009 tot verregaande sancties. Zo werd de totale provincie Xinjiang en daarmee 22 miljoen mensen voor 10 maanden afgesloten van het Internet. Dit pressie middel en de binnenlandse censurering past naadloos in China’s regulering van haar burgers of wel China’s Social Credit system.

22 miljoen mensen voor 10 maanden afgesloten van het Internet.

Cybereenheid PLA 61398
Unit 61398China kent een zeer strakke hiërarchische inrichting waarbij de feitelijke aansturing natuurlijk altijd vanuit de Communistische Partij is. Verschillende militaire divisies hebben de beschikking over een cyber eenheid elk met een eigen kerntaak. Een van de meest bekende en beruchte eenheid is Unit 61398 van de People’s Libration Army (ook wel PLA 61398 genoemd). Gehuisvest (zie foto) in Gaoqiaozhen met een omvang van vele honderden maar mogelijk eerder duizend manschappen telt. De eenheid is gespecialiseerd in cybercriminaliteit, cyberoorlog en het stelen van militair gevoelige informatie. Het is sinds 2006 actief en zijn volgens Wikipedia inmiddels 141 bedrijven gehackt waarvan er 115 uit de Verenigde Staten. De lijst buit gemaakte ontwerpen is onvoorstelbaar. Op Dailytech is de volgende opsomming gepubliceerd:

Experimental cyber wargame
Maar China gaat verder. Zo is China Telecom eigenaar van diverse Internetknooppunten in de wereld. Op 13 november 2018 werd alle informatie van Google Search en Google Cloud Hosting Services omgeleid naar China (een dergelijke aanval wordt ook Border Gateway Protocol (BGP) hijacking genoemd). Als gevolg hiervan was Google voor enige tijd onbereikbaar. Ondanks dat de informatie versleuteld was, konden zij wel relaties leggen tussen wie, wat, waar, hoe lang en met wie. De aanval werd afgedaan als een ‘wargame experiment’.

Als gevolg van China's wargame experiment was Google onbereikbaar.

Zie ook mijn anders blogs over cyberwarfare:

 

Geplaatst in Cyberwarfare | Tags: , | Een reactie plaatsen

Phishing v2.0

Hang op, klik weg en bel uw bank. Ja ik weet het, niet klikken op links die ik niet vertrouw. Maar zo kreeg ik recent onderstaande SMS bericht van mijn bank, via het nummer waarvan ik ook mijn tan-codes krijg.

 

 

Vertrouwd nummer maar een bericht als deze bracht mij toch aan het twijfelen. Deze twijfel was terecht immers http://www.scamadviser.com gaf een ‘Low Trust Rating’ (zie afbeelding).

Het verbaast mij wel dat de cybercriminelen er in geslaagd zijn een SMS-bericht te versturen die zich voordoet als afkomstig van het ING-nummer.

Kortom een vorm van Phishing, waarbij:

  • Phishing is een vorm van internetfraude. Het slachtoffer wordt via een e-mailbericht naar een valse website gelokt die sterk lijkt op de site van een bank of een commerciële site.
  • Vishing staat voor voice-phishing. Fraudeurs telefoneren naar slachtoffers, in naam van de bank, en proberen zo persoonlijke informatie, codes van de kaartlezer of creditcardgegevens te ontfutselen.
  • Smishing staat voor SMS phishing. Zoals bij phishing, krijgt de gebruiker een berichtje dat op een eerder urgente manier vraagt om actie te ondernemen. Bij smishing wordt een tekstbericht verzonden naar de telefoon van de gebruiker, in plaats van naar het e-mailaccount.

Be aware and be prepared.

Geplaatst in Security | Tags: , , , | Een reactie plaatsen

AI: Next step in Cybersecurity

Kunstmatige Intelligentie (of Artificial Intelligence, AI) is ‘the next big thing’ in het IT-domein. De techniek zal echter niet alleen voor ‘the good cause’ worden ingezet. Wat kan er gebeuren als AI in handen komt van minder ethische figuren?

Bij Kunstmatige Intelligentie en (de subset) Machine Learning denken we snel aan zelfrijdende auto’s van Waymo (Google) of AutoPilot (Tesla) en niet direct aan je eigen smartphone. Maar vele applicaties op je smartphone maken inmiddels gebruik van deze technologie, zoals:

  • zoekmachines; Search (Google) en Bing (Microsoft) bieden zoekresultaten en aanbevelingen aan op basis van het gebruikersprofiel en zoekhistorie;
  • spraakherkenning; zoals Siri (Apple), Cortana (Microsoft) en Alexa (Amazon) die leveren. De ondersteuning is helaas nog maar in een beperkt aantal talen;
  • gezichtsherkenning; Google en Facebook herkennen (taggen) foto’s waar jij of je vrienden op staan. Daarnaast ‘herkent’ Google het onderwerp waarop vervolgens de foto’s worden gerangschikt.

Meer serieuze toepassingen zijn te vinden in de medische wereld waarbij Watson (IBM) de mens bijstaat in het classificeren van diverse vormen van huidkanker. Daarnaast wordt Watson ook in de game-industrie ingezet en wist het in Amerika het populaire spel Jeopardy te winnen. Grote investeringen zijn altijd te vinden in de wapenindustrie. Deze is al verder dan wij durven te vermoeden. Zo zet ons eigen defensieapparaat al zelfsturende drones en killerrobots in.

Anomaly Detection 2.0
Het zal nog lang duren voordat machines gelijkwaardig zijn aan de mens. Maar als het tot een specifieke taak komt, zijn zij de mens al gepasseerd. Zo is de jaarlijkse strijd tussen mens en IBM’s schaakcomputer Deep Blue vanwege de overmacht van de computer al lang niet spannend meer. Wiskundige algoritmes winnen het van intelligentie.

Ook in cybersecurityland worden Kunstmatige Intelligentie en Machine Learning al breed ingezet. Denk hierbij dan aan diverse mechanismen voor het detecteren van spam, inbraken, fraude, malware en andere onregelmatigheden. Dit laatste is het zoeken naar de digitale speld in de virtuele hooiberg ofwel de afwijking in de big data. Leveranciers zoals Darktrace, Logz, Anodot en Tatvic bieden al oplossingen.

In mijn ogen is dit enkel nog maar een opmaat naar het echte werk. Immers, elke organisatie bestaat uit een enorm arsenaal aan componenten zoals servers, werkstations, smartphones, printers, netwerkswitches, firewalls en ga zo maar verder. Allemaal nodes in het netwerk, of anders bezien sensoren die informatie over gedrag kunnen leveren. Netwerkgedrag, applicatief gedrag, gebruikersgedrag, allemaal data, veel data, big data, de grondstof voor Machine Learning oftewel Anomaly Detection 2.0.

Cybercrime 2.0
Nu is security een oneindig schaakspel waarbij de crimineel met wit speelt en daarmee altijd in het voordeel is om een nieuwe aanval op te zetten. Vervolgens aan zwart de uitdaging deze aanval weer te pareren. Criminelen zullen ook zeker Kunstmatige Intelligentie en machine learning inzetten voor hun onethisch gewin.

Vraag is snel: ja maar hoe dan? Deze vraag is natuurlijk niet makkelijk te beantwoorden. Organisaties en vooral hun medewerkers laten enorm veel sporen achter op het internet. Sporen en dus data die als input gebruikt kunnen worden voor verdere analyse op basis van Machine Learning. Mogelijk is hieruit de beste aanvalsvector te destilleren.

Wake-upcall
Ook criminelen gaan gebruikmaken van Kunstmatige Intelligentie. Mogelijk niet direct de criminele zzp’er maar wel de goed georganiseerde misdaad die hierin kan investeren. Vreemd genoeg schuilt in deze laatste categorie niet het grootste gevaar. Dat komt uit het grijze gebied tussen goed en kwaad. De glijdende schaal naar het onethische. Zo waarschuwen diverse kenners voor de verstrekkende gevolgen:

  • Elon Musk (Tesla): “Kunstmatige Intelligentie is de grootste dreiging voor de mensheid.
  • Stephan Hawkins: “Kunstmatige Intelligentie zal de grootste gebeurtenis in de menselijke geschiedenis zijn maar helaas zou het ook de laatste kunnen zijn.
  • Bill Gates (Microsoft): “Ik denk dat we ons wel zorgen moeten maken om Kunstmatige Intelligentie.

De website ‘Ban Lethal Autonomous Weapons’ gaat nog een stap verder. Zo waarschuwt het voor de reële gevaren. Bij het zien van de film ‘Autonomous Weapons’ is er weinig fantasie nodig om een idee te krijgen van wat er allemaal kan gebeuren als dergelijke technologie in handen komt van minder ethische figuren.

Het is duidelijk dat de behoefte zal verschuiven van programmeurs die een programmeertaal kennen naar data-analisten die algoritmen kennen.

> Dit artikel werd op 17 mei 2018 gepubliceerd op Securityvandaag.nl.

Geplaatst in New Technology, Security | Tags: , | Een reactie plaatsen