Waarom onvoorspelbaarheid de beste verdediging is tegen insiderrisico’s

De uitdaging van detectie

Deze ontwikkeling maakt detectie aanzienlijk complexer. Daarnaast zijn cybercriminelen zeer bedreven geworden in het exploiteren van dit veranderde landschap. En zodra ze erin slagen een identiteit of apparaat te compromitteren, of dit nu via phishing, malware of het verkrijgen van gestolen inloggegevens is, nemen ze in feite ook de rechten en privileges van een legitieme gebruiker over. Vanaf dat moment zijn hun acties, bewegingen en toegangspatronen vrijwel niet te onderscheiden van die van vertrouwde medewerkers. Hoe dichter de aanvaller bij kritieke systemen en gevoelige data komt, hoe kleiner het verschil wordt tussen aanvaller en legitieme gebruiker. Tegen de tijd dat aanvallers diep in systemen zijn doorgedrongen, zijn ze daarnaast vrijwel niet meer te onderscheiden van mensen die verantwoordelijk zijn voor het beheren en beveiligen van die systemen: ze worden in feite systeembeheerders.

Dit sluit aan bij de zogenaamde ‘living off the land’-techniek (LOTL). Daarbij maken aanvallers gebruik van bestaande, vertrouwde tools, inloggegevens en processen die al in de omgeving aanwezig zijn, in plaats van verdachte software of onbekend gedrag te introduceren. Door geen afwijkende software te introduceren en legitieme handelingen te imiteren, blijven ze vaak langdurig onder de radar. Dit vermogen om op te gaan in de menigte vormt een aanzienlijke uitdaging voor detectietools.

Een effectieve verdediging is onvoorspelbaar

Om deze ‘insider’ aanvallers te detecteren, volstaat het niet langer om alleen identiteit en toegangsrechten te controleren. Organisaties moeten zich richten op gedrag. Afwijkende patronen - zoals ongebruikelijke toegang tot data of systemen - vormen vaak het eerste signaal van misbruik. Of het nu gaat om een kwaadwillende insider of een gecompromitteerd account, het onderliggende gedrag vertoont in veel gevallen dezelfde kenmerken.

Een cruciaal onderdeel van de aanpak van deze insiderrisico’s is zero trust, waarbij toegang continu wordt gevalideerd en gebruikers nooit impliciet worden vertrouwd. Sterke authenticatie, beveiligde apparaten en continue monitoring verkleinen het risico op misbruik. Hoewel deze aanpak de meeste gaten dicht, is dit in de praktijk niet altijd voldoende.

Een aanvullende benadering die veel terrein wint is ‘negative trust’. Deze strategie introduceert gecontroleerde misleiding en onvoorspelbaarheid in systemen, met als doel aanvallers te verstoren en afwijkend gedrag sneller zichtbaar te maken. Voorspelbaarheid vormt namelijk een vaak onderschat risico. Gestandaardiseerde omgevingen en processen maken het voor aanvallers eenvoudiger om aanvalspaden te herkennen en zich onopgemerkt te verplaatsen. Door variatie en ruis toe te voegen wordt het voor aanvallers lastiger om hun weg te vinden, terwijl afwijkingen juist duidelijker worden voor verdedigers.

Een vergelijkbare logica geldt bij databeveiliging. Versleutelde data kent een hoge mate van willekeur en is daardoor moeilijk te analyseren. Onversleutelde, voorspelbare data is dat niet. Binnen IT-omgevingen werkt voorspelbaarheid hetzelfde: hoe consistenter en transparanter systemen zijn, hoe eenvoudiger misbruik wordt.

Vooruitblik

Nu tegenstanders steeds vaker misbruik maken van de lokale infrastructuur en vertrouwde websites gebruiken om zich te verschuilen, gaan externe aanvallen steeds meer op interne aanvallen lijken. In dat licht is het zinvol om iedere aanval te benaderen alsof deze van binnenuit komt.

Organisaties die de voorspelbaarheid van aanvalspaden willen verkleinen, zullen daarom verder moeten kijken dan alleen toegangscontrole. In een tijdperk waarin toegang de nieuwe perimeter vormt, wordt gedrag het belangrijkste signaal om vertrouwen te beoordelen. Onvoorspelbaarheid kan daarbij een cruciale rol spelen in het eerder herkennen en beperken van insiderrisico’s.

Door: Tony Fergusson (foto), CISO in Residence, Zscaler