De volgende stap in cyberbeveiliging

Beveiliging van computersystemen is vandaag de dag gebaseerd op ofwel het blokkeren van bekende problemen, ofwel het tegenhouden van alles wat niet tot het standaard gedrag behoort. In de toekomst gaan we het daar echter niet mee redden, beoogt TUE- en UT-hoogleraar Sandro Etalle. We moeten daarom toe naar systemen die zich door een derde partij laten monitoren. En dat vereist een andere manier van denken.

Pieter Edelman
11 mei 2016

Of het nu gaat om pc’s of slimme fabrieken, er zijn op hoofdlijnen twee manieren om deze systemen te beschermen tegen kwaadwillenden. De eerste is blacklisting, waarvan de virusscanner het klassieke voorbeeld is. Een deelsysteem heeft hierbij een lijst met patronen van bekende dreigingen, en vergelijkt het gedrag van het systeem voortdurend met deze lijst. Is er een overeenkomst, dan wordt dat proces geblokkeerd.

Blacklists kunnen effectief op allerlei manieren worden toegepast. Naast de virusscanner zijn er ook blokkeringsmechanismen voor ip-adressen, e-mailafzenders of bestandstypen. Ze hebben echter het nadeel dat ze altijd achterlopen met de werkelijkheid. Er ontstaan continu nieuwe dreigingen, en het duurt altijd enige tijd voordat die worden ontdekt – in die periode worden ze aangeduid als zero-day. En is een dreiging eenmaal ontdekt, dan moet die ook nog eens zijn weg vinden naar de lijsten op alle deelsystemen.

Op den duur is bescherming met alleen witte en zwarte lijsten niet meer toereikend.

De tekortkomingen werden afgelopen februari pijnlijk duidelijk toen de Amerikaanse toezichthouder op overheidsuitgaven een rapport publiceerde over het in aanbouw zijn Einstein-beveiligingssysteem van het Department of Homeland Security. De ontwikkelkosten hiervan worden geraamd op 5,7 miljard dollar. Maar in een tussentijdse test liet het systeem maar liefst 94 procent door van alle recente bekende dreigingen.

Daar komt nog eens bij dat een aanvaller meestal relatief makkelijk aanpassingen in zijn malware of methode kan aanbrengen, zodat deze er net wat anders uitziet en weer niet wordt opgemerkt door de blacklist – geavanceerde malware doet dat zelfs op eigen houtje. Dergelijke methoden hebben verder het nadeel dat ze nogal een wissel kunnen trekken op het systeem, omdat ze soms diepgaande analyses moeten uitvoeren voordat een specifiek patroon wordt herkend.

Aanvalsruimte

De tweede manier om systemen te beschermen, whitelisting, kampt niet met deze problemen. Deze manier is precies tegenovergesteld aan de eerste: in plaats van alle bekende dreigingen blokkeren, wordt alleen het bekende gedrag toegestaan. Zero-days maken zo weinig kans en de handhaving is in de regel veel lichter. Het schoolvoorbeeld van deze aanpak is de firewall, die alleen netwerkverbindingen naar specifieke poorten toestaat en de rest blokkeert.

 advertorial 
Daan Meijsen

Ingredients enabling carbon neutrality of warehouse systems

5 oktober 2023 vindt de INCOSE-NL workshop 2023 plaats, met spreker Daan Meijsen van Vanderlande. Tijdens de workshop krijg je inzicht in de verschillende cross-cutting duurzaamheidsperspectieven voor hightech systemen. Bekijk het volledige programma online en registreer nu!

Ook whitelists zijn natuurlijk niet vrij van problemen. Het voornaamste bezwaar is dat ze moeten weten wat het normale gedrag is, voordat het vreemde gedrag kan worden geblokkeerd. En dat betekent dat er aanzienlijke tijd en moeite gestoken moet worden in het configureren van de lijst.

Bovendien werkt de aanpak alleen als het systeem voorspelbaar is. Voor strikte embedded systemen en industriële installaties kunnen whitelists bijvoorbeeld erg vruchtbaar zijn, maar een bedrijfsnetwerk is te veelzijdig om rücksichtslos al het netwerkverkeer te blokkeren wat zich buiten de gebaande paden begeeft. Het slechte nieuws: industriële installaties worden steeds veelzijdiger en complexer en krijgen meer en meer een koppeling naar een backoffice. Whitelisting-systemen moeten die functionaliteiten doorlaten en daar ontstaat ruimte voor de aanvaller om binnen te dringen.

Juiste signalen

Op den duur is ook de whitelist dus een verliezende strategie, concludeert hoogleraar Sandro Etalle. Hij werkt al een goed decennium aan netwerkbeveiliging van industriële systemen. Aan de TU Eindhoven leidt hij de Security-onderzoeksgroep en hij is daarnaast verbonden als hoogleraar aan de UT. Hij is bovendien betrokken bij UT-spin-off Securitymatters, waar veel van het geleerde in de praktijk wordt toegepast – en waar kennis uit de praktijk wordt opgedaan voor zijn onderzoek.

Etalle is ervan overtuigd dat we op de lange termijn anders moeten omgaan met onze computersystemen. ‘Er zullen altijd dingen blijven misgaan in je beveiliging. Veilige software vrij van bugs zul je nooit krijgen, en zelfs als je dat wel zou hebben, zouden er altijd nog problemen zijn in de aansluitingen tussen deelsystemen’, zegt de hoogleraar. ‘Daar moet je dus steeds op kunnen reageren door te patchen, te herconfigureren of te herinstalleren.’

Maar aan de mogelijkheden daarvoor schort vandaag het een en ander. Voor zo’n proactieve aanpak moet de gebruiker een vinger aan de pols van het systeem kunnen houden. Daar zijn de systemen vaak helemaal niet op gebouwd. ‘Een voorbeeldje: als ik naar mijn eigen situatie kijk, ben ik best bang voor dat iemand in mijn draadloze router inbreekt, dat is niet zo moeilijk. Dat is terug te vinden in de logs van de router, maar daar kijk ik eigenlijk nooit naar. Laat staan de logs van een slimme deurbel, waar je nu in het iot mee te maken krijgt’, legt Etalle het probleem uit.

Met andere woorden, systemen worden over het algemeen niet ontworpen om goed gemonitord te kunnen worden. Willen we de cybercrimineel in de toekomst voorblijven, dan zal dat volgens Etalle echt moeten veranderen. ‘Toekomstige systemen zullen anders moeten worden gebouwd zodat ze de juiste signalen gaan afgeven. Ze moeten ons vertellen wat ze doen en waarom, als ik mijn computer aanzet, wil ik een scherm hebben dat vertelt dat er iets geks aan de hand is.’

Het idee ligt in het verlengde, maar verschilt subtiel, van de whitelist-aanpak waar Etalle en Securitymatters al geruime tijd mee werken. Aan de basis van hun aanpak ligt een ‘lerende’ whitelist, die over verloop van tijd in de gaten krijgt wat tot het normale gedrag van het netwerk behoort. ‘We leren niet alleen welke spelers er zijn in het netwerk, maar ook welke functies ze aanroepen en welke parameters ze gebruiken en dergelijke’, vertelt Etalle. ‘We weten ook welk deel van een netwerkpakket relevant is om te monitoren. Daar ging veel onderzoek in om dit tot een optimum te brengen.’

‘Met die aanpak hebben we hele interessante successen geboekt in de beveiliging van industriële controle- en scada-systemen. We kunnen dit bijvoorbeeld goed toepassen in een stroomdistributiesysteem met honderden endpoints. Als er een functie wordt aangeroepen die we nog niet eerder hebben gezien, gaat er een melding naar een menselijke operator.’

Verboden commando’s

Er mogen dan honderden eindpunten in het spel zijn, toch is deze aanpak moeilijk toepasbaar op andere gebieden. ‘De endpoints gedragen zich hier voorspelbaar’, legt Etalle uit. ‘Als je dit zou willen doortrekken naar een verbinding met het backoffice, of op een thuisautomatiseringssysteem met allerlei eindpunten die zich niet zo voorspelbaar gedragen, zou de operator volledig overspoeld raken met meldingen.’

Om systemen voor te bereiden op monitorbaarheid door een derde partij, moeten er verschillende zaken gebeuren. ‘Dat heeft te maken met gereedschappen en standaarden, maar vooral met de mindset waarmee we systemen bouwen. We moeten er al tijdens het ontwerp rekening mee houden dat iemand die systemen wil monitoren’, bepleit Etalle. ‘En dat moet bovendien op een manier gebeuren dat er rekening wordt gehouden met de privacy, want ik weet wel welk antwoord Google hierop zal verzinnen: geef me gewoon al je data en ik zoek wel uit hoe het zit. Maar veel van die data wil je niet delen. Dat geldt net zo goed voor je thuisnetwerk als voor een industrieel of medisch systeem.’

Complexe systemen zullen hiervoor voorspelbaarder moeten worden. ‘Zowel de functionaliteit als het netwerkverkeer moeten transparanter worden. Als een backoffice- of iot-systeem wat minder chaotisch is opgezet, wordt het mogelijk om er een beeld van te vormen. En dan kan je begrijpen wat er gebeurt’, legt Etalle uit. ‘Het moet bovendien doorzichtig zijn, dat wil zeggen dat je moet begrijpen wat de spelers doen. Als een basisstation in een thuisautomatiseringssysteem bijvoorbeeld probeert een lamp aan te zetten, moet een monitoringssysteem dat kunnen begrijpen. Dan kan die het zien als er verboden commando’s worden uitgevoerd.’

Etalle denkt ook aan een mechanisme waarbij dit soort informatie automatisch wordt geregeld wanneer nieuwe apparaten zich melden op het netwerk. ‘Embedded systemen in vaak veranderde netwerken zoals in ziekenhuizen of thuisautomatiseringssystemen zouden op voorhand moeten aangeven wat ze kunnen, hoe ze dat doen en hoe ze eruit zien in het netwerk’, licht Etalle toe. ‘Als zo’n lamp bijvoorbeeld aangeeft dat hij alleen met het basisstation wil communiceren en alleen specifieke berichttypen verzendt, dan kan dat worden gemonitord. Op het moment dat die lamp met de camera begint te praten, kun je concluderen dat er iets aan de hand is.’

Maar dat zijn ideeën voor de lange termijn, waar eerst allerlei internationale standaarden voor zullen moeten worden ontwikkeld. ‘Het zal allemaal niet in vijf jaar gebeuren, maar het kan gewoon niet anders’, denkt Etalle. ‘De eerste stap is voorspelbaarheid en transparantie. Daar kunnen we nu al mee beginnen.’