Zo tegen het eind van het jaar plegen vooral analisten even in de glazen bol te kijken om te zien welke trends mainstream gaan volgend jaar. Analisten houden de markt in de gaten en zien trends iets sneller ontwikkelen dan de gemiddelde IT'er (hoewel ze er natuurlijk net zo goed regelmatig naast zitten), maar beveiligingsbedrijven zien wat er in de back-ends gebeurt en welke nieuwe trucs malware ontwikkelen voor wij het zelf zien. Daarom zijn hun voorspellingen volgens mij in de regel veel interessanter en haak ik daar in dit artikel meer op aan.
Daarbij moet wel worden gezegd dat beveiligers ook regelmatig open deuren intrappen. We kunnen de persberichten met koppen als "kosten cybercrime stijgen in 2018", "ransomware groeit verder", "IoT-gadgets zijn zwak beveiligd" en meer van dat soort dooddoeners dezer dagen terugvinden in onze redactiebus. Dit zijn volgens ons vier trends waar we allemaal mee te maken krijgen komend jaar:
1. Je moet *iets* met blockchain doen
Het zat er al een tijdje aan te komen, maar nu zal menig IT-afdeling vragen van bovenaf verzoeken krijgen op basis van een half onthouden verhaal uit de krant over de revolutie die blockchain belooft. De bitcoinhype die we vier jaar geleden in dit artikel beschreven bleek nog maar een klein voorproefje en samen met de op de bitcoin-blockchain gebouwde cryptovaluta is er ook een groeiende interesse in de achterliggende technologie.
Nieuwe datastructuur
Blockchain is in zijn basis een datastructuur die lijkt op een gelinkte lijst, maar in plaats van reguliere verwijzingen naar het vorige data-element is de pointer voor elk element een hash van de vorige (plus diens gehashte pointer). Dat zorgt ervoor dat de keten eenvoudig verifieerbaar is; knooppunten hoeven alleen maar de keten van hashes te verifiëren, niet de database-inhoud.
Een malafide aanpassing in een block zorgt ervoor dat diens hash verandert. De hashpointers in volgende blocks verwijzen dan naar een block dat opeens afwijkt en omdat de hele keten van opvolgende blocks door die propagerende hashwijziging niet meer klopt, wordt de wijziging verworpen. Een effect daarvan is dat je blockchain zonder centrale autoriteit kan inzetten op verschillende, disparate knooppunten die elkaars informatie kunnen vertrouwen.
Niet altijd geschikt
Valuta zijn één van de applicaties daarvan, maar er is veel enthousiasme over wat zo'n moderne interpretatie van een kasboek kan betekenen voor een toepassing als vastgoedbeheer. Een blockchain-toepassing zou bijvoorbeeld een hypotheek kunnen verstrekken, die wordt overeengekomen tussen twee partijen zonder dat er een third party aan te pas komt.
Er zijn meerdere uitdagingen die vooral IT'ers moeten oplossen - los van de toepassingen die aan de businesskant worden ontwikkeld - voordat deze revolutie zich goed en wel voltrekt. Niet iedere blockchain is even geschikt voor alle toepassingen. Bitcoin heeft last van de wet van de remmende voorsprong en worstelt met schaalbaarheid, Ethereum met complexe library's en daardoor blijkbaar lastig te implementeren API's, en Ripple heeft afgezien van een smart contract-platform, waardoor het een puur financieel instrument blijft.
Faalmomenten voor de hand
Je hebt misschien al gehoord dat je "iets met blockchain" zult moeten gaan doen. Dat is als "iets met een app" zo'n tien jaar geleden en "iets met internet" tien jaar daar weer voor. Ervaren IT'ers nemen daarom ook graag een afwachtende houding af zodra de woorden "iets met [trend]" vallen. Het wordt pas een probleem als iemand die gehinderd wordt door onvolledige kennis blockchain-projecten opstart in je bedrijf.
De valkuilen voor informatiebeveiliging zijn divers met zo'n project. Bedrijven die een eigen algoritme ontwikkelen om data cryptografisch te verwerken, organisaties die een eigen hashfunctie bedenken, en ondernemingen die een lekkende implementatie ontwikkelen voor zo'n project zijn voor de hand liggende faalmomenten. Maar ook verkeerde toepassingen dreigen; het afgelopen jaar hebben we al diverse voorbeelden gehoord over sterke blockchain-databases, waarbij mensen uit het oog verliezen dat de toepassing vooral geschikt is voor informatieverwerking waarbij latency geen rol speelt.
Als RDBMS voldoet: gebruik RDBMS
Het klinkt zo mooi: data-integriteit met blockchain, firmware-controle met blockchain, zelfs IDS met blockchain, maar dit zijn toepassingen waar de sterke maar relatief trage database zich juist minder goed voor leent. Als er geen dringende reden is om over te stappen op een nieuwe datastructuur en een 'ouderwetse' relationele database voldoet, is het beter om die in te zetten. Laat de nieuwe toepassingen bij gebrek aan goede API's en documentatie vooral over aan innovatieve kartrekkers en start-ups: de meeste organisaties kunnen voorlopig beter bij beproefde tools en middelen blijven.
2. Groei pseudo-ransomware
Dit is een voorspelling die beveiligingsbedrijf McAfee eerder deze maand deed. Pseudo-ransomware is McAfee's term voor ransomware die lijkt op 'klassieke' gijzelsoftware om geld te verdienen, maar eigenlijk een ander doel heeft, bijvoorbeeld om schade aan te richten of af te leiden van andere malafide acties. Zoiets als een Dark DDoS dus, maar dan met ransomware.
Geld verdienen
Ransomware bestaat al heel lang, sinds je jaren 80 zelfs, maar pas de laatste jaren zien we de malware fors groeien. "Dat heeft ook te maken met de groei van cryptovaluta", vertelt CEO Chris Young van het beveiligingsbedrijf. In het verleden moesten slachtoffers betalen via schimmige betaaldiensten - er is immers geen iDeal voor malware. Met het mainstreamen van cryptovaluta is het geld niet alleen anoniem te verwerken, maar kunnen 'klanten' ook makkelijker betaalmiddelen aanschaffen om van de ransomware af te komen.
Dat betekende ook dat het doel van de ransomware vrij duidelijk was: geld verdienen. Maar de vraag die optrad bij WannaCrypt was of dat nou wel het doel was. De ransomware was wat betaling betrof slecht ontworpen: er was geen uniek adres gekoppeld aan slachtoffers, zodat er bij betaling van een 'klant' aan een centraal bitcoinadres niet duidelijk was wie er nou had betaald. Je kon dus sowieso naar de sleutel fluiten.
Afleidingsmanoeuvre?
Maar was het een ontwerpfout, of was betaling secundair voor de makers? Het verhaal ging dat de makers van WannaCrypt prutsers waren, maar dat blijkt eigenlijk nergens uit. Sterker nog, het lijkt erop dat de malware-auteurs goed op de hoogte waren van technieken: ze benutten het door Microsoft gepatchte SMBv1-gat zeer snel nadat de NSA-tool die daar gebruik van maakte verscheen.
Dat roept interessante vragen op. Want wat was het doel van WannaCrypt? Geld verdienen lijkt niet de primaire taak te zijn. Verstoring dan? Maar zo groot was de schade nou ook weer niet. Was het een test van infrastructuur? NotPetya dook kort na WannaCrypt op hetzelfde gat en toen bleek - zoals iedereen eigenlijk allang weet - dat bedrijven fors achterliepen met patchen. Of was het net als Dark DDoS een afleidingsmanoeuvre en werd er terwijl we links keken rechts een geniepigere actie uitgevoerd?
3. Je apparaat wil je data
Mocht je het Computerworld Weekjournaal volgen op vrijdag, dan heb je 'de voorbeelden op een rijtje gezien: hardwarefabrikanten experimenteren steeds meer met het gebruiken van persoonlijke gegevens in ruil voor werking. Ga je niet akkoord met nieuwe voorwaarden, dan vervalt de dienstverlening en in sommige gevallen zelfs de werking van het apparaat. We zagen het bijvoorbeeld met Sonos en Logitech en hoewel - na ophef over dit gedrag - het uiteindelijk meeviel met de verwachtte sabotage, tekent zich een duidelijke en verontrustende trend af.
Betaal twee keer
Data is waardevol, beseffen techbedrijven al heel lang, maar nadat online diensten en webgiganten al jaren jouw gegevens gebruiken, stappen nu ook producenten van apparatuur over op het graaien naar data. Dat terwijl er een soort impliciete overeenkomst is tussen gebruikers en webdiensten dat je 'betaalt' voor gratis diensten. Los of je het daar nou mee eens bent of niet, of dat dit überhaupt duidelijk is voor de meeste consumenten, met deze zet van apparaatfabrikanten betaal je dus twee keer: één keer de aanschafprijs en nog een keer met data.
"Dat is logisch, want de marge op de apparaten zelf is klein", zegt McAfee-CTO Raj Samani op conferentie Mpower in Amsterdam waar het bedrijf dit ook noemt als een groter wordend security-issue komend jaar. "Je gaat het komende jaar meer zien dat fabrikanten voorwaarden introduceren die uitgaan van dataverzameling. Persoonlijk vind ik dit niet acceptabel", vindt Samani die zelf Sonos-producten gebruikt en niet te spreken was over de brute keus tussen een werkend product en het weigeren van datadeling.
Koppeling clouddiensten aan hardware
Het lijkt haast wel of fabrikanten The Circle hebben gelezen en dachten dat "secrets are lies, privacy is theft" een inspirerend mantra was in plaats van een negatieve kijk op technologische ontwikkeling. Met de groei van apparaten de komende jaren, onder meer tezamen met domotica (of IoT, zoals we dat tegenwoordig plegen te noemen) en de nieuwe gewoonte om clouddiensten te koppelen aan deze hardware, is dit een voorspelling die we bij Computerworld ook al een tijdje zien opkomen. McAfee's voorspelling kunnen we dus zeker onderschrijven.
4. Machine learning voor aanvallen
Beveiligers zetten machine learning in om te kijken naar gedragingen van gebruikers en afwijkend gedrag tijdig op te merken. Als reactie zijn criminelen dezelfde methodologieën gaan onderzoeken om te zien hoe een exploit onopgemerkt kan blijven. Elke innovatie die je toevoegt aan beveiligingssoftware zal worden gepareerd door aanvallers, meent McAfee-CTO Steve Grobman. Zo ook machine learning-strategieën die zaken opmerken waar bijna niet tegen te verdedigen valt.
False positives
Ben je te kritisch op nieuwe elementen, dan verhoog je het aantal false positives. Niet kritisch genoeg en er wordt te veel door de muur gelaten. Dat is al jaren een delicate balans en door het gebruik van machine learning van tegenstanders, slaat die balans om in het voordeel van de vijand. Die kan met heel kleine wijzigingen op exact de juiste plekken een hele hoop uithalen.
Ter illustratie haalt de CTO het gebruik van PowerShell aan. Het is bijna niet te doen om zonder een vloedgolf aan false positives te genereren deze scripts te analyseren. "Wat is het verschil tussen een PowerShell-script dat je legitiem gebruikt en een malafide variant?" vraagt Grobman zich hardop af. "Dat is één bitje. Het verschil tussen een script om een feature die wordt misbruikt uit te schakelen of juist weer in te schakelen, is vaak een kwestie van True of False, een één of een nul."
Wapenwedloop
Het beveiligingsbedrijf voorziet dan ook dat er een wapenwedloop ontstaat het komende jaar, onder meer omdat criminelen tools bouwen om bijvoorbeeld spearphising te automatiseren. Nu wordt zulk gericht phishen gedaan door te kijken naar interesses van potentiële slachtoffers en de e-mail hierop te richten. Met verregaande automatisering kan het verzamelen van gegevens snel en volautomatisch en kunnen in rap tempo nieuwe e-mails worden geproduceerd die nog niet zijn aangemerkt als potentieel malafide.
De machine learning-tactieken van beveiligingsbedrijven zullen - voor zover dat nog niet is gebeurd - gevolg krijgen bij criminelen en vervolgens zullen beveiligers nieuwe modellen bouwen om daarmee om te gaan, waar criminelen weer op proberen te anticiperen, enzovoorts, enzovoorts. De moeilijkheid in dit nieuwe tijdperk van malafide machine learning zit 'm erin op deze trend in te spelen, zonder de nuance te verliezen die ervoor zorgt dat er geen onwerkbare hoeveelheid false positives ontstaan.
Wat we vooral hebben gezien in de digital wereld van automatiseren is dat men massaal achter hypes aan gaat, vooral commercieel heel hard roept ... 'Dit is de nieuwe realiteit, dat is wat er beslist staat aan te komen, daar kunnen we dalijk niet meer om heen..... dus .... Join. We hebben ook gezien dat:
Cloud
Helemaal niet goedkoper blijkt te worden voor de klant sterker, de klant raakte meer en meer regie kwijt en enorme kostenposten aan onnodige udates, upgrades en opleidingen van haar mensen voor zaken die daarvoor tegen aanzienlijk minder kosten konden worden opgezet en onderhouden...
Individuele professionele expertise
Dat heel veel 'young upcoming talent', welke volgens recruiter en HR management vrijwel niet meer te vinden is, tenminste, voor zover dat deze professionals weten en begrijpen wat talent is, dus men daarin tal van redenen ziet onbezonnen stappen te zetten waaruit extremere kostenposten voort vloeiden...
Senior level professionals
Vooral geen 'aansluitende/relevante/up-to-date' kennis bezit en die dus niet meer moet worden ingeschakeld want waarom zou men dat doen als men kan beschikken over een contingent aan flexwerkers en zzp-ers? Die zijn natuurlijk veel goedkoper, schaalbaar en flexibel. Uiteraard kijken we dan niet naar de kosten in de IT keten zoals documentatie, borging en continuering van 'business'.
Byod, Big Data, Block chain
Niemand spreekt graag over een enorm hiaat dat de commercie heeft gepresenteerd als de 'nieuwe realiteit', onder een niets ter zake doende uitroep dat vooral de werknemer verlangde naar byod. De kosten die dit met zich mee brengen security wise, of de aanzienlijke kosten en schade door enorme toename van IT incidenten met steeds grotere impact. Niemand die u hoort over het feitelijke gegeven dat Big Data vooral voor minstens 45% vervuilde en onbruikbare data bestaat en niemand u kan vertellen welke van die 45% dit zou betreffen.
Blockchain allerminst nieuws is daar hashtags al meer dan tien jaar worden gebruikt in programering en IT waar data aan is gekoppeld en allerminst kan worden gezien als iets revolutionairs of veilig. Sterker, u krijgt een enorme onkosten post, security wise en opleidings wise, erbij en een gigantisch security risk.
Neemt u al deze elementen bij elkaar hoeft u maar naar twee zaken te kijken.
1. Waar was digitaal automatiseren toch ook alweer voor bedoeld?
2. Wie is de grote winnaar van al die hypes?
In beide gevallen niet de corporate winst en financiën.
Bitcoin is niets meer dan de volgende hype en windhandel. Uiteraad zullen we een paar winnaars zien maar bovenal, zeer veel (financiele) verliezers. Kwestie van tijd.
RC
IT Chain & Crisis Consultant
Hashtags? Echt?
Sorry maar sowieso, crypto's gaan massive criminal komend jaar. Geen betere manier nu om je miljoenen wit te wassen. Iets doen omdat de concurrentie het doet .... zucht!. Ransomware: people are stupid and will anything for free porn (women rising!(yes)). Artificial intelligence, we zijn er nog lang niet ... dat iets kan 'leren', wat in feite neerkomt in dit geval tot het vastleggen van complexe algoritmes (en nee niets meer dan dat), wil nog niets zeggen over daadwerkelijk intelligent gedrag.
Cheers.
Reageer
Preview