Beveiligingsconferentie Black Hat werpt niet alleen een licht op beveiligingsissues die organisaties parten spelen, maar de opkomende issues die een impact zullen hebben op mensen en bedrijven. Deze maand werd het congres gehouden in Las Vegas en beveiligingsexperts gaven daar een beeld van hoe aanvallers evolueren en hoe informatiebeveiligers deze aanvallen kunnen pareren. Los van alle spannende hackverhalen, konden we vier overkoepelende lessen destilleren uit de verhalen en dit waren de thema's die steeds terugkwamen:
1. Beveiligingsontwikkeling is softwareontwikkeling
In een keynote van het evenement vertelde Dino Dai Zovi, mobiele beveiligingsspecialist van Sqaure, hoe beveiligingsontwikkeling softwatreontwikkeling is geworden. Volgens Dai Zov zijn er drie principes om de impact hebben op de beveiliging binnen een organisatie:
- Kijk naar de taak die verricht moet worden en werk vanuit het eindresultaat terug.
- Software-automatisering kan de hefboom zijn om met beperkte middelen te werken.
- Weet dat strategie en tactiek altijd ondergeschikt zijn aan de bedrijfscultuur.
"Beveiliging is nog steeds een kleine community en de problemen die we aanpakken kunnen enorm zijn", zei hij in zijn presentatie. "We moeten slimmer werken, niet alleen harder, met betere software en betere automatisering." En: "We moeten services bouwen die gericht zijn op de zichtbaarheid, zodat je kunt inzien of de middelen werken en je ook afwijkende dingen kunt detecteren. We moeten aanvallers kunnen identificeren op het moment dat ze leren, aftasten, aanvallen en slagen."
Hij vertelt aan de hand van de aanpak van zijn eigen bedrijf hoe je security kunt verbeteren. Primair hierin is dat beveiligingsteams moeten bepalen welke taak verricht moet worden. Praat met interne teams, probeer hun problemen te begrijpen, wat ze proberen te bereiken, wat frictie veroorzaakt en wat dingen juist makkelijker maakt. Wanneer en waarom krijgen ze te maken met beveiliging? Door te weten wat hun 'wervingscriteria' (en de 'ontslagcriteria') zijn voor beveiligingsoplossingen zijn, kun je flexibel bouwen om in de behoefte te voorzien, in plaats van dat je overkoepelende beveiligingsprincipes gebruikt die wel of niet nuttig, omarmd of praktisch zijn.
"Dit zorgde voor een cultuuromslag. Er is nu veel meer samenwerking en begrip over hoe mensen te werk gaan", zei de specialist. "Eem softwareontwikkelingsteam zou beveiligingsfeatures schrijven en dan actief naar het securityteam stappen om erover te praten en om advies te krijgen. We willen de cultuur terugwinnen, waarin risico wordt gedeeld. Het is de zorg van iedereen. Als je verantwoordelijkheid voor beveiliging in elk team inbouwt, kun je veel krachtiger schalen dan wanneer beveiliging enkel de zorg is van de informatiebeveiligers."
2. Biometrische authenticatie is niet onfeilbaar
Op een populaire en veelbesproken sessie lieten Chinese wetenschappers van Tencent Security Xuanwu Lab zien dat ze biometrische authenticatie om de tuin geleid kan worden met een simpele bril die gewoon in de winkel gekocht is. Biometrische authenticatie is een van de snelst groeiende gebieden in de beveiligingsindustrie, met gezichtsherkenning, vingerafdrukscanners, handschriftveriifcatie, iriscanners, handaderpatronen en meer voor de identificatie van gebruikers. Het wordt gezien als een verbetering te opzichte van tweefactor-authnticatie.
In deze context hebben we het vaak over liveness detection, waar ook de paper van deze specialisten over gaat (PDF). Dat is in feite het bepalen dat een gebruiker een levend persoon is en geen afbeelding. Zulke algoritmes gebruiken verschillende biologische facoteren om te bepalen of deze persoon er daadwerkelijk is, of dat een aanvaller het biometrische systeem probeert te foppen. "Eerder onderzoeken jejen vooral naar hoe nepaudio if -video kon worden geproduceerd", zei HC Ma van het lab, "maar het omzeilen van het liveness detection-algoritme is een noodzakelijke stap voor een aanvaller."
In zijn Black Hat-presentatie liet Ma aan een gebiologeerd publiek zien hoe hij en zijn team een simpele bril konden aanpassen om de gezichtsherkenningssoftware op een smartphone werd misleid om te denken dat een gebruiker zijn ogen open heeft. Ma en zijn team gebruikten een bril waar ze met witte en zwarte tape een blok op de lenzen aanbrachten die door het systeem worden herkend als geopende ogen. Vervolgens kan de bril op een slapende gebruiker worden gezet om de liveness detection van FaceID te pareren. Zulke low-tech workarounds voor high-tech security zullen blijven opduiken, voorspelt Ma.
3. Social media als informatie- en malwareplatform
Of het nu gaat om Facebook, Instagram, Twitter of LinkedIn, social media bieden een kijkje in het werk en dagelijks leven van mensen. Met die wetenschap gebruiken criminelen social media-platforms steeds meer als een methode om informatie te verzamelen van high profile slachtoffers (bijvoorbeeld CEO's) om te gebruiken voor gerichte phishingacties of andere gepersonaliseerde aanvallen en fraude.
Er werden verschillende sessies gewijd aan het gebruik van social media om informatie te verzamelen, om gebruikers te manipuleren en het platform in te zetten om malware te verspreiden. Volgens beveiligingsbedrijf Bromium genereren social media platforms voor criminelen zo'n 2,9 miljard euro per jaar aan omzet. Politieke actoren en naties zijn al meester geworden in het sturen van gesprekken via sociale netwerken.
Invloed en malware via social media heeft niet alleen een impact op politiek en verkiezingen, maar ook op bedrijfsidentiteiten en reputaties. Mike McGuire, criminologielector aan de universiteit van Surrey, deed zes maanden lang onderzoek naar dit fenomeen. Het Social Media Platforms en de Cybercrime Economy-rapport van Bromium dat zich daarop baseerde meldt dat social media een ideaal 'wereldwijd distributiecentrum voor malware met 20 procent van organisaties die besmet raken via social media.
Het probleem is dat het vrijwel onmogelijk is om te verbieden dat personeel social media gebruiken - inloggen via social media bijvoorbeeld of inchecken om te zien wat de kinderen uitspoken - vooral als ze hun eigen mobiele apparaat op kantoor gebruiken. Daarbij kan social media een nuttig en waardevol zakelijke platform zijn, vooral voor sales, marketing en P&O. Een algeheel verbod op social media-gebruik gaat dan ook niet werken.
4. Steeds meer goedaardige maar ook criminele hackers
Hacken is een vaardigheid en hoe je deze gebruikt, bepaalt of het goedaardig of malafide actie oplevert. Er zijn niet alleen criminele hackers, maar ook veel goede hackers (white-hats) die ervoor zorgen dat de digitale wereld beter wordt beveiligd tegen klaadwillenden. Bruce Schneier, beveiligingsgoeroe, consultant en auteur, benadrukte het idee van "hacken voor een betere wereld" op de Black Hat-conferentie.
Schneier was onderdeel van een paneldiscussie met de titel Hacking for the Greater Good: Empowering Technologists to Strengthen Digital Society. Hij was daar met Eva Galperin, directeur Cybersecurity van de Electronic Frontier Foundation (EFF) en Camille Francois onderzoekschef van Graphika. De drie gaven inzicht in hoe hun organisaties en andere in het beveiligingsecosysteem positieve effecten van hacking benadrukken en beveiligingsprofessionals stimuleren om hun talenten in te zetten voor het algemene belang.
"De EFF heeft zich kunnen ontwikkelen door zijn activisme", zei Galperin. "We hebben nu een genuanceerdere blik gekregen." De EFF is momenteel leider in het werk aan stalkerware en de impact van online activiteiten bij huiselijk geweld, alsmede hoe overheden en bedrijven het internet gebruiken om informatie te verzamelen en marketing te sturen. "We zijn bekend met het idee van onderzoek naar de tegenpartij", zegt Schneier. "Handelen in het algemene belang is diep verwerkt on onze cultuur. We willen dat verder verspreiden naar de hele technologiegemeenschap."
Bedrijfscultuur is alles bepalend. Geen security in mind, dan is het vechten tegen de bierkaai.
Reageer
Preview