5 doorbraken in de digitale wapenwedloop

De afgelopen kwart eeuw is het oorlog tussen kwaadwillende programmeurs en securityprofessionals. Geen van beide partijen wenst de strijd op te geven: na iedere nieuwe tegenmaatregel weten hackers it-afdelingen weer nerveus te maken.

"Bijna alle malware komt binnen via internet en dat terwijl we juist steeds meer doen op het web", zegt Gartner-analist Peter Firstbrook. Hij doelt op het bedrijfsleven, dat in toenemende mate voor zaken afhankelijk is van sites als Salesforce.com. Volgens Firstbrook is echter 60 procent van alle openbaar toegankelijke websites besmet met malware. Bedrijven moeten dus nog intelligentere systemen ontwikkelen om zich tegen deze bedreiging te wapenen.

Intussen werken 's werelds beste security-onderzoekers - zoals Symantec, VeriSign, McAfee, Kaspersky en Kindsight - aan innovatieve tegenmaatregelen die binnenkort zullen worden gebruikt in datacenters. Hier volgen vijf manieren waarop veiligheidsexperts de bedreiging van cybercriminelen willen aanpakken:

1. Houdt de tweets van hackers in de gaten om verdachte sites te herkennen

In de film Minority Report gebruiken agenten 'voorspellende' technieken om te voorkomen dat er een moord plaatsvindt. In het werkelijke leven onderzoeken Verisign Labs en de Purdue University een technologie waarmee voorspellende analyses besmettingen kunnen voorkomen, zodat bedrijven een stap vóór blijven op hackers.

Daarbij gaat het om het scannen van de publiek toegankelijke Twitter-activiteiten van hackers en het vergelijken van discussies over specifieke domeinen met bestaande databases van dreigingen. Hierdoor kan een 'veiligheidsreputatie' worden gehecht aan bepaalde sites. Zo kunnen hackers twitteren over het opzetten van een nieuwe website om gebruik te maken van een schandaal in het nieuws. Zodra de site is geregistreerd, en de code verschijnt na de twisterdiscussie, kan de site als malware worden aangemerkt.

"We maken een koppeling tussen gebruikers en applicaties", zegt Burt Kaliski van Verisign, die uitlegt hoe deze nieuwe techniek via gedragsonderzoek hackers kan opsporen.

Voor bedrijven kan dit onderzoek betekenen dat er een hulpmiddel beschikbaar komt dat in een handomdraai websites kan selecteren op 'reputatie'. Die selectie kan veranderen op basis van de analyses van tweets.

Volgens Firstbrook zijn deze technieken belangrijk. Als je immers een site hebt gevonden van een malwareleverancier, dan kun je meer sites blootleggen en een database aanleggen over de activiteiten van kwaadwillenden. De tool WebPulse van Blue Coat Systems gebruikt een vergelijkbare 'reputatie analyse'-techniek om domeinregistraties van bekende hackers te vinden. Firstbrook stelt echter dat de meeste securitylabs nu al chatrooms in de gaten houden en dat Verisign "de wereldwijde problemen niet zal oplossen door Twitter te monitoren."

Rob Enderle, analist van de Enderle Group, noemt deze preventieve waarschuwingssystemen waardevol voor bedrijven, omdat ze zich dan kunnen voorbereiden op een eventuele aanval, zeker als het gaat om een Stuxnet-achtige bedreiging.

2. Controleer uitgaand netwerkverkeer op besmette clients

Volgens de traditionele aanpak van it-veiligheid, controleer je de eindpunten op ongewenste bezoekers: malware, spyware en virussen die de bedrijfsvoering kunnen schaden. Veel grote organisaties hebben echter ondervonden dat je eindpunten beter kunt scannen op inkomend en uitgaand verkeer. Op die manier kun je met een tool aanvallen voorkomen, evenals uitgaande signalen van met malware besmette clients. Als de uitgaande activiteit is gemarkeerd, kunnen it-beheerders de besmettingen identificeren en verwijderen.

Kindsight Security Labs, opgericht in november, onderzoekt een methode om uitgaand verkeer te scannen om zo uit te vinden welke clients besmet zijn. Nieuw aan die aanpak is dat de sensors van de applicatie gebruikmaken van 16-, 32- of zelfs 64-processorkernen en een 10GB switch om netwerkverkeer voor breedbandaanbieders te controleren. Die sensors zijn nu beschikbaar als product voor isp's, maar het testen van uitgaand verkeer wordt nog nader onderzocht. De toepassing kan 250.000 gebruikers per eindpunt aan en als Kindsight er acht installeert, is er zelfs ondersteuning voor een miljoen gebruikers.

"We controleren verkeer en dynamische ip-toewijzingen en kunnen zo de abonnee achterhalen", zegt Kevin McNamee van Kindsight Security Labs. De provider kan dan contact opnemen met de abonnee over mogelijke besmettingen van zijn systeem. Dankzij dit netwerksysteem kan de provider sneller reageren en stappen ondernemen om een dreiging de kop in te drukken.

Het controleren van verdachte activiteiten leidt er meestal toe dat de schuldige wordt gevonden op het clientapparaat. "Deze technologie kan de uitgaande communicatie in de gaten houden en zien of een client is besmet. Vervolgens kun je uitzoeken wat er aan de hand is", aldus Gartner-analist Firstbrook.

Volgens Firstbrook is er echter wel een probleem voor grotere organisaties. Dikwijls zijn het netwerkteam en de desktop-afdeling daar gescheiden. Het ene team is verantwoordelijk voor het netwerkverkeer en de andere controleert clientapparaten op malware, maar deze afzonderlijke teams werken niet nauw samen.

Volgens Enderle zal het scannen van uitgaand verkeer steeds noodzakelijker worden voor grotere ondernemingen, vanwege de opkomst van Android-apparaten, die kwetsbaarder zouden zijn voor aanvallen.