De ontwikkelingen op het gebied van cyberbeveiliging zijn de afgelopen jaren snel en furieus geweest. Maar ondanks alle winst is er nog nooit zo veel pijn geweest. Hack-, cracking- en aanvalstechnieken zijn geavanceerder dan ooit en steeds meer organisaties bezwijken voor inbreuken en storingen.
Wereldwijde cybercriminaliteit heeft bereikt US $ 1 biljoen, een stijging van 50% in de afgelopen twee jaar. Elke dag verkondigen de krantenkoppen een nieuwe ransomware-aanval of andere gebeurtenis. "Traditionele benaderingen van cyberbeveiliging, die afhankelijk zijn van handtekeningen, zijn steeds minder effectief", zegt Steven Hofmeyr, een computationeel onderzoeker bij het Lawrence Berkeley National Laboratory.
Als gevolg hiervan is er een hernieuwde belangstelling voor het aanpassen van biologische modellen aan gegevens- en systeembescherming. Het concept, dat dateert uit ten minste het begin van de jaren 2000, leent concepten uit de natuurlijke wereld - inclusief menselijke immuunresponsen en vaccinmodellen - om de bescherming op te krikken.
Door gebruik te maken van algoritmen en technieken voor eindpuntbewaking om aanvallers te identificeren en te dwarsbomen, ontwikkelt een handvol leveranciers producten in de ruimte. "Deterministische bescherming is geen wondermiddel, maar het kan helpen om blootgestelde aanvalsoppervlakken te verkleinen zonder afhankelijk te zijn van handtekeningen, afstemming of leren", zegt Tony Palmer, lab senior engineer bij consultingservice ESG.
Bescherming heroverwegen
Biogebaseerde beveiligingstools verwisselen witte lijsten, zwarte lijsten en andere conventionele detectiemethoden voor een raamwerk dat anomalieën in realtime detecteert. Net zoals een menselijk lichaam reageert op een vreemd agens met behulp van antilichamen, T-cellen en andere mechanismen, probeert een computernetwerk een invasie af te sluiten voordat het zich kan verspreiden en schade kan aanrichten.
Hofmeyr, die hielp pionier het concept met een bedrijf genaamd Sana Security (nu onderdeel van AVG) bijna twee decennia geleden, zegt dat de ijsberg begint te kantelen - en er is een groeiende belangstelling voor het idee. Vooruitgang in machine learning en kunstmatige intelligentie (AI) hebben het concept ook levensvatbaarder gemaakt. “Toen we een product introduceerden dat afhankelijk was van biologische elementen, waren mensen er niet in geïnteresseerd. Tegenwoordig is er een erkenning dat een meer geavanceerd raamwerk nodig is.”
Het idee om biologische componenten te introduceren via AI en machinaal leren is aantrekkelijk - en elementen van het concept duiken op in een klasse van eindpuntsoftware die uitgebreide detectie en respons (EDR) wordt genoemd, zegt Eric Ahlm, onderzoeksdirecteur bij Gartner. “Signaal-ruisverhoudingen in cybersecurity zijn ongelooflijk hoog. De mogelijkheid om AI en ML te gebruiken om onduidelijke signalen te identificeren is enorm waardevol.”
Biobased beveiliging is geen vervanging voor andere beveiligingstools; het vult ze aan en versterkt ze door aanvallen te spotten die vaak onder de radar vliegen, merkt Palmer op. "Het afdwingen van wat goed en toelaatbaar is op basis van diepgaande kennis van een applicatie en zijn workloads, is veel logischer dan te proberen elke potentiële bedreiging op de zwarte lijst te zetten en/of te focussen op systeemgedrag op een hoger niveau dat in de loop van de tijd kan veranderen en evolueren", zegt hij.
Er komt een nieuw model naar voren
Een groeiend aantal bedrijven introduceert biologische modellen om de bescherming op te krikken. Cyberbeveiligingsbedrijf Virsec streeft er bijvoorbeeld naar om softwareworkloads te beschermen over een volledige runtime-stack - web, host en geheugen - ongeacht het toepassingstype of de omgeving. Dit omvat bare metal, virtuele machines (VM's) en cloudcontainers. Virsec staat alleen betrouwbare uitvoering toe en verijdelt zowel bekende als onbekende bedreigingen voordat ze kunnen worden gelanceerd - meestal binnen milliseconden.
Het raamwerk is ontworpen om een gebruiker te inoculeren tegen ransomware, uitvoering van externe code, vergiftiging van de toeleveringsketen en op geheugen gebaseerde aanvallen. "Als we de manier waarop we activa beschermen willen veranderen, moeten we een heel andere aanpak kiezen", zegt Dave Furneaux, CEO van Virsec. “Bedrijven geven steeds meer geld uit aan oplossingen en zien geen verbetering.”
Furneaux vergelijkt de aanpak met de mRNA-technologie die vaccinmakers Moderna en Pfizer hebben gebruikt. "Als je eenmaal hebt bepaald hoe je een cel moet aanpassen en hoe deze zich zou kunnen gedragen als reactie op een bedreiging, kun je het organisme beter beschermen", zegt Furneaux.
In de biologie is de benadering gebaseerd op een inside-out benadering. Bij cyberbeveiliging gaat de methode naar de laagste bouwstenen van software - die zijn als de cellen in een lichaam - om het hele systeem te beschermen. "Door het RNA en DNA te begrijpen, kunnen we het equivalent van een vaccin creëren", voegt Furneaux toe.
Andere leveranciers van cyberbeveiliging, waaronder Darktrace, Vectra AI en BlackBerry Cybersecurity, hebben ook producten ontwikkeld die tot op zekere hoogte afhankelijk zijn van biologische modellen. Zo gebruikt Darktrace een algoritme om netwerken constant op granulair niveau te monitoren en te analyseren. Het bouwt een model van normale activiteit op. Zodra het de mogelijkheid krijgt om ruis van bedreigingen te scheiden, signaleert het programma problemen en kan het ook automatisch de toegang tot gevoelige informatie afsluiten als het verdacht gedrag detecteert.
Biologie krijgt vorm
Voorlopig blijven biologische beschermingsmodellen nog in de kinderschoenen en heeft deze groep beveiligingsproducten beperkingen. Virsec zit bijvoorbeeld aan de serverzijde en ondersteunt geen microsegmentatie of breidt de bescherming uit tot het Internet of Things (IoT). Bovendien blijft "elk product dat zich richt op eindpuntgegevens - hoe goed de analyse ook is - een beetje blind voor bepaalde soorten aanvallen", zegt Ahlm.
Er is ook geen garantie dat cybercriminelen hun methoden niet zullen aanpassen en manieren zullen vinden om deze systemen binnen te vallen, voegt hij eraan toe.
Toch begint het veld vorm te krijgen. Peters zegt dat hij de mogelijkheid kan voorzien dat deterministische benaderingen verder gaan dan de serverworkloads om de code te beschermen die wordt uitgevoerd in apparaten op en neer in de stapel. Een dergelijk raamwerk zou niet alleen waarschuwingen en valse positieven aanzienlijk kunnen verminderen, "het zou uiteindelijk meerdere, diverse tools kunnen vervangen, waardoor de beveiligingsarchitectuur en implementatiemodellen worden vereenvoudigd", legt hij uit.
Uiteindelijk is misschien maar één ding zeker: net als biologie is cyberbeveiliging een complexe en rommelige ruimte. “Menselijke immuunsystemen zijn niet rigide ontworpen. Ze moeten zich constant aanpassen”, merkt Hofmeyr op. “Het idee om deze benadering toe te passen op beveiliging zal waarschijnlijk verbeteringen opleveren. Conventionele op handtekeningen gebaseerde beveiliging is niet langer voldoende. Door polymorfe malware en meer geavanceerde aanvallen is de behoefte ontstaan aan een dynamischer en geavanceerder framework.”
