Het opsporen van cybercriminelen vergt evenveel vindingrijkheid als het vangen van hun slachtoffers. Op dit gebied lijken er nieuwe ontwikkelingen te zijn, met de opkomst van nieuwe netwerken van dynamische lokazen die de cyberkennis verbeteren om aanvallen op web-scale beter te kunnen dwarsbomen. Toch is er nog steeds behoefte aan betere samenwerking tussen spelers op het gebied van cybersecurity om hun impact te maximaliseren.
Dit is een ingezonden blog van Frédéric Metten, IT Manager bij TEHTRIS.
Nieuwe nomadische honeypots
Een honeypot, of te wel een honingpot, is een nepapparaat of -applicatie die wordt ingezet om cybercriminelen aan te trekken en informatie over hun activiteiten te verzamelen. Het gebruik van honeypots stelt organisaties in staat om cybercriminele activiteiten te detecteren voordat deze zich over hun infrastructuur verspreiden.
Hoewel honeypots al vele jaren bestaan en regelmatig worden gebruikt door cybersecurityprofessionals of ethische hackers om frauduleuze activiteiten op het web op te sporen, verloren ze hun waarde door hun vroegere statische opzet. Een cybercriminele groep die interactie heeft gehad met een statische honeypot, zal steeds minder tijd besteden aan zijn aanvallen of zich er zelfs van afkeren, omdat de werking ervan begrepen is en de interesse is verdwenen.
Om dit fenomeen tegen te gaan, worden honeypots nu nomadisch. Na het verzamelen van informatie wordt het doelwit verwijderd en opnieuw geprogrammeerd in een ander deel van het netwerk, meerdere keren per week of zelfs meerdere keren per dag, waardoor het spoor voor cybercriminelen vervaagt.
Door de levensduur en daarmee de waarde van het surveillanceapparaat te maximaliseren, maakt deze nieuwe generatie honeypots het mogelijk om meer informatie vast te leggen over de ontwikkeling van criminele activiteiten en cyberaanvalcampagnes sneller te detecteren. Hierdoor kunnen ze op tijd geneutraliseerd worden.
Een militaire strategie toegepast op cybersecurity
De nomadische honeypot is in feite een van de eerste toepassingen van het opkomende concept van Automated Moving Target Defense (AMTD), afgeleid van de militaire strategie Moving Target Defense. Deze strategie stelt dat een bewegend doel moeilijker te raken is dan een statisch doel.
AMTD-technologie markeert een duidelijke overgang van een passieve naar een proactieve aanpak, door nieuwe dynamische afleidingsmechanismen en automatiseringsmogelijkheden in te zetten om zo sneller in te grijpen op het aanvalsterrein.
Volgens Gartner is dit een technologie die cyberverdedigingstechnieken ingrijpend zal verbeteren. Tegen 2025 wordt verwacht dat 25% van de wereldwijde cloudapplicaties AMTD-mogelijkheden zal gebruiken. Tegen 2030 zou het concept ook voor hardware en software moeten opkomen.
De kracht van samenwerking: collectieve kennis benutten
Met de inzet van netwerken van nomadische honeypots kunnen organisaties in realtime ongekende cyberintelligentie verzamelen over de ontwikkeling van het wereldwijde cyberdreigingslandschap. Toch kan het zo nauwkeurig mogelijk in kaart brengen van bedreigingen alleen haalbaar door echte samenwerking tussen alle spelers die betrokken zijn bij cybersecurity.
Het hele ecosysteem moet een gezamenlijke aanpak omarmen die verder gaat dan hun individuele beveiligingsmaatregelen, vooral gezien de geavanceerdheid en motivatie van moderne cybercriminelen. Met een krachtige inlichtingencyclus komt natuurlijk een grote verantwoordelijkheid. Dat begint met het delen van analyses met toonaangevende cyberinstellingen zoals ANSSI en de Cyber Threat Alliance.
Het delen van informatie over bedreigingen moet een voor de hand liggende strategie zijn om de verdediging tegen cybercriminaliteit te versterken door gebruik te maken van de collectieve kennis en inzichten van de cyberbeveiligingsgemeenschap. Door informatie te delen over opkomende bedreigingen, aanvalstechnieken en compromitteringsindicatoren, kunnen organisaties een breder perspectief krijgen en voortdurende cyberbedreigingen een stap voor blijven. Alleen dan kunnen organisaties hun stand op cyberbeveiliging echt versterken en een verenigd front vormen tegen cyberbedreigingen.