Supply-chain-aanvallen, IoT-exploits en andere trends voor 2019
We hebben 2018 definitief achter ons gelaten. Onze blik is nu gericht op 2019 en op alles wat dit jaar voor ons in petto heeft.
Een aantal weken geleden, in de Cyber Security Sauna van F-Secure, ontving gastheer Janne Kauhanen een aantal experts om terug te blikken op 2018 en te bespreken wat er staat te gebeuren in 2019. Je kunt de podcast beluisteren of het transcript teruglezen. Hier volgen echter een aantal hoogtepunten uit de onderwerpen waar Laura Kankaala, Artturi Lehtio, Adam Sheehan, Andy Patel en Tom Van de Wiele van F-Secure naar uitkijken in 2019.
Het aantal supply-chain-aanvallen neemt toe
Artturi Lehtio, Service Technology Lead bij F-Secure, denkt dat er de afgelopen jaren opvallend meer supply-chain-aanvallen zijn uitgevoerd en hij verwacht dat deze trend in 2019 alleen maar doorzet. Het bekendste voorbeeld van een supply-chain-aanval is waarschijnlijk de ransomware-aanval met NotPetya in 2017, maar Artturi geeft aan dat supply-chain-aanvallen enorm divers zijn. Een ander type supply-chain-aanval is bijvoorbeeld het hacken van een serviceprovider om bepaalde klantgegevens te stelen. Nog een voorbeeld is het manipuleren van rechtmatige informatie die mensen normaal gesproken vertrouwen. Door slechts een kleine verandering aan een online dienst kunnen er beveiligingsrisico’s ontstaan waar gebruikers niet het fijne van weten.
“Hoewel we grote delen van ons leven toevertrouwen aan anderen, realiseren we ons dikwijls niet hoe afhankelijk wij zijn van anderen of hoeveel wij anderen vertrouwen. En we kunnen moeilijk controleren of dat vertrouwen nog steeds terecht is,” legt Artturi uit in de podcast.
Tom en Laura zijn het hiermee eens en geven aan dat alles, van cloudcomputing tot het toenemende gebruik van code repositories door ontwikkelaars, zorgt voor een onderlinge afhankelijkheid die bedrijven wellicht onderschatten.
“De manier waarop aanvallers een organisatie hacken, is wellicht niet iets wat tot je takenpakket hoort of wat je beschouwt als jouw verantwoordelijkheid,” is de belangrijkste boodschap van Artturi.
Geconditioneerd leren zal een enorme vlucht nemen
Iedereen heeft het tegenwoordig over Artificial Intelligence (AI). Het is een belangrijk onderdeel van cybersecurity en technologie. Andy Patel, senior onderzoeker bij het Artificial Intelligence Center of Excellence van F-Secure, denkt dat de grootste ontwikkelingen van AI in 2019 zullen plaatsvinden op het gebied van geconditioneerd leren.
Andy beschrijft geconditioneerd leren als volgt: een algoritme wordt dingen aangeleerd door het te belonen zodra het positieve vooruitgang boekt. In de podcast legt hij dit gedetailleerder uit aan Janne. Als voorbeeld geeft hij aan dat iemand het zou kunnen gebruiken om een computer een spelletje aan te leren.
Andy zegt dat Facebook gebruikmaakt van geconditioneerd leren om uit te vinden wanneer gebruikers meldingen zouden moeten ontvangen. Andere bedrijven gebruiken het om financiële handelsmodellen te trainen, video’s te streamen en nog meer. Op basis van de onderzoeken die dit jaar tijdens de Black Hat-conferentie zijn gepresenteerd, denkt Andy dat we in 2019 dit soort AI in cybersecurity gaan terugzien.
“…er zijn een groot aantal soortgelijke applicaties in cybersecurity die interessant zijn, voornamelijk op het gebied van penetratietesten en fuzzing. Daarbij moet je denken aan het kraken van wachtwoorden of het fuzz-testen van applicaties. Ik kan me dus voorstellen dat mensen daadwerkelijk gaan publiceren over situaties waarbij geconditioneerd leren wordt gebruikt voor dergelijke toepassingen,” zegt Andy.
Door automatisering, detectie en reactie worden aanvallen duurder
Luisteraars vinden het misschien verrassend om te horen dat Tom van de Wiele, Principal Security Consultant bij F-Secure, denkt dat we in 2019 positieve ontwikkelingen kunnen verwachten op het gebied van beveiliging. Tom denkt dat de aanvallers meer geld zullen kwijt zijn aan aanvallen omdat steeds meer bedrijven gebruik maken van de ontwikkelingen op het gebied van automatisering, detection en response. Tom, die vaak Red Team-tests uitvoert voor klanten van F-Secure, zegt dat dit is gebaseerd op wat hij ziet gebeuren bij de bedrijven waar hij mee werkt.
“…we zien een duidelijke trend bij klanten, namelijk dat zij steeds meer software en diensten implementeren omdat zij of hun concurrenten worden getroffen door bepaalde aanvallen. Die toename in automatisering op het gebied van detectie heeft natuurlijk een ontmoedigend effect op bepaalde aanvallers en maakt het andere aanvallers lastig om bedrijven ongemerkt te hacken,” zegt Tom.
Organisaties denken steeds meer na over WAAROM ze worden gehackt
Adam Sheehan, Behavioral Science Lead bij F-Secure, denkt dat meer bedrijven geïnteresseerd zullen zijn in wat hij omschrijft als het volgende analyseniveau: waarom hebben hun organisaties te maken met beveiligingsproblemen?
“Ik denk dat er te lang is rondgelopen met het idee dat als organisatie A een hoog clickratio heeft op bijvoorbeeld phishingmails, en hetzelfde wordt waargenomen bij organisatie B, ze min of meer dezelfde oplossing nodig hebben,” zegt Adam. Vervolgens legt hij uit waarom het de moeite waard is dit idee aan te vechten.
IoT zal groeien, maar dat geldt ook voor de interesse van aanvallers
Het is geen geheim dat apparaten met een internetverbinding, voornamelijk IoT-apparaten, aan de lopende band worden aangeschaft. Laura Kankaala, Security Consultant bij F-Secure, zegt dat deze trend in 2019 gevolgen heeft voor de beveiliging. Zij verwacht dat er volgend jaar nog meer aanvallen worden uitgevoerd op dit soort apparaten.
Om toch een positieve draai te geven aan dit verhaal, hoopt ze dat de toename in aanvallen resulteert in een AVG-achtige verordening waar ook IoT-apparaten onder vallen. Een andere optie zou zijn dat leveranciers beloningen aanbieden voor het opsporen van bugs in hun producten.
“De AVG zou kunnen worden aangepast zodat IoT-apparaten hier ook onder vallen. Een ander soort verordening voor IoT-apparaten in plaats van de AVG zou ook kunnen helpen,” vertelt Laura.
Tom denkt dat er een stimulans nodig is om zowel klanten als leveranciers van apparaten serieus te laten kijken naar de beveiliging van deze apparaten. Tot nu toe zijn er weinig prikkels voor beide groepen. Beloningen voor het opsporen van bugs en regels zouden hier aan kunnen bijdragen.
Maar zoals wel vaker moeten we afwachten en zien hoe het loopt. Luister naar de podcast om meer te weten te komen over de cybersecuritytrends voor dit jaar.
Categorieën