Cybercrime in realtime detecteren

Simon Bramble

26/10/2016

Volgens een recent rapport van de Britse National Crime Agency is ‘cybercriminaliteit’ nu alle andere vormen van misdaad in het land voorbijgestreefd.

In de Cyber Crime Assessment 2016 van het National Crime Agency (NCA) wordt geconstateerd dat 36 procent van alle gerapporteerde misdaad ‘cybercriminaliteit’ betrof. Nog eens 17 procent werd toegeschreven aan ‘computermisbruik’.

Terwijl deze belangrijke statistieken op zich opzienbarend zijn, komt er bij nadere beschouwing een interessant beeld naar voren. Als onderdeel van het rapport schat de Office of National Statistics dat er 2,46 miljoen cyberincidenten plaatsvonden over heel 2015. Maar slechts 716.349 cyber-gerelateerde incidenten werden gerapporteerd; een enorme kloof die een intrigerende vraag oproept.

Hoeveel slachtoffers van deze incidenten zijn zich ervan bewust dat ze met een inbreuk op hun beveiliging te kampen hadden?

Wanneer er ogenschijnlijk niets ontbreekt en er geen versplinterde deur of gebroken glas is dat alarmbellen doet afgaan, is het lastig om te weten dat er iets onbetamelijks heeft plaatsgevonden.

Toename in frequentie en complexiteit

Ondanks de grote bedragen die worden uitgegeven aan digitale bescherming, neemt het aantal bedrijven toe dat last heeft van diefstal van informatie.

Het onderzoek uit 2015 over Information Security Breaches van de Britse overheid, concludeerde dat bijna driekwart (74 procent) van de kleine en middelgrote bedrijven (MKB) in 2015 te kampen had met gegevensinbreuk . Dit is hoger dan de aantallen die werden vastgesteld in 2013 en 2014. Bij grote bedrijven met aanzienlijk hogere digitale beveiligingsbudgetten en knowhow, lag dit op 90 procent.

Het is verstandig om ervan uit te gaan dat uw bedrijf te maken zal krijgen met een inbreuk op de beveiliging. Of dit nu gebeurt door een werknemer die gevoelige informatie op een geheugenstick zet die in verkeerde handen valt of dat malware toegang tot uw documenten krijgt. Ook worden in Groot-Brittannië steeds vaker sociale-engineeringtechnieken toegepast die zorgen dat mensen onbedoeld persoonlijke gegevens prijsgeven. Het is van essentieel belang om de inbreuk zo snel mogelijk te kunnen opsporen. Of nog beter, zodra die plaatsvindt.

De toenemende complexiteit van bedreigingen tegen computerbeveiliging maakt waarneming in realtime essentieel. Gegevensanalyse van een compleet functionerend netwerk is een proactieve verdediging. Aanmeldgegevens, incidentrapporten en systeemalarmen worden gecontroleerd aan de hand van externe informatie om een grondig beeld te creëren van wat er op elk moment met uw gegevens gebeurt.

Het hele plaatje zien

Analyses van big data kunnen de voortdurend veranderende cyberaanvallen pareren. Door het integreren van bewakingsfuncties voor gegevensverlies en alarmsystemen in uw netwerk verwijdert u de afscherming die toegang tot informatie vertraagt, waardoor een aanval sneller kan worden geïdentificeerd en onschadelijk gemaakt.

Tegenwoordig zijn internetcriminelen veel rapper in hun pogingen om onbevoegd toegang te krijgen tot een netwerk zonder dat ze gedurende langere tijd hoeven te spioneren. Dit lijkt paradoxaal aangezien antidiefstalmaatregelen zoveel zijn verbeterd.

Big data komt tot zijn recht wanneer u het normale gedrag van uw hele netwerk analyseert en daarbij vals-positieve gebeurtenissen identificeert en de wirwar van achtergrond, dagelijkse ruis en veilige gegevenstransacties buiten beschouwing laat.

Veel grote inbreuken op de beveiliging vinden echter niet plaats als één grote klap. Er kan sprake zijn van een eerste binnendringing, die dagen of soms weken later wordt gevolgd door een lek of inbreuk. De ruimte tussen de stadia kan tot gevolg hebben dat elke vertakking van één uitgevoerde aanval wordt behandeld als een geïsoleerd incident.

Een netwerk zonder informatiesilo’s kan holistisch worden geanalyseerd en ‘look-backs’ door middel van analysetoepassingen kunnen mogelijke koppelingen tussen de schendingen aantonen.

Dankzij de analyse wordt de tijdsduur tot het herkennen van een aanval aanzienlijk verkort en kunnen zelfs toekomstige aanvallen worden voorspeld. Dit heeft echter geen waarde wanneer men niet begrijpt wat de gegevens vertellen.

Eric Ahlm, onderzoeker bij Gartner, waarschuwde in een rapport van 2015: “De manier waarop menselijke gebruikers de outputs van omvangrijke gegevensanalyses benutten, bepaalt in hoge mate in hoeverre men de technologie accepteert of vindt dat er binnen een redelijk tijdsbestek nuttige informatie wordt geleverd. Zoals andere disciplines waarbij omvangrijke gegevensanalyses worden ingezet voor het ontdekken van nieuwe dingen of het produceren van nieuwe resultaten, zal het visualiseren van die gegevens van grote invloed zijn of de technologie aanslaat.”

Ingebouwde beveiliging

Continue bewakingssystemen houden de netwerkzijde in de gaten. Maar hoe zit het met de apparaten van uw werknemers? Lenovo’s ideapad Miix 700 Business Edition biedt de flexibiliteit van een eersteklas tablet en de beveiliging van een desktop, dankzij een zogenaamde Trusted Program Module (TPM).

Tikiri Wanduragala van Lenovo legt uit: “Deze module controleert de microcode die wordt uitgevoerd op de server  en is geïntegreerd in het moederbord.

“Wanneer de microcode wordt bijgewerkt, wordt van elk stuk code gecontroleerd of dit het juiste stuk code op de juiste computer is. Dat gebeurt trouwens allemaal in realtime.

“TPM’s spelen hierbij een belangrijke rol, omdat sommige achterdeurtjes in retailsystemen (waarover we zo vaak horen in het nieuws) via de microcode ontstaan. De microcode wordt vertrouwd, dus als de boeven eenmaal binnen zijn, zijn het vertrouwde gebruikers… en dan is het einde oefening.“

Effectieve netwerkbeveiliging is een proces met meerdere lagen, waarbij moet worden geïnvesteerd in scholing en training van werknemers, anti-phishing en bescherming tegen ransomware, en in een reeks andere maatregelen. Maar als u prioriteiten wilt stellen, moet boven aan de lijst staan dat u een duidelijk beeld van uw totale netwerk wilt hebben zodra zich een schending voordoet, samen met een overzicht van apparaten die zichzelf kunnen verifiëren.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.