Candid Wüest is verantwoordelijk voor het onderzoek bij Acronis. We praten met de Zwitser over de ontwikkelingen op het gebied van cyberprotection.
Wat voor ontwikkelingen zie je op het gebied van de dreigingen? Wüest steekt van wal:“We zien dat het tegenwoordig niet alleen meer gaat om data te versleutelen bij een ransomware-aanval, maar dat de criminelen een andere manier hebben gevonden om geld te verdienen. Het gaat nu meer om het toegang krijgen tot de data en deze op allerlei manieren ten gelde te maken. Dat kan zijn door je af te persen en deze aan bijvoorbeeld een privacy-waakhond ter beschikking te stellen of door data te verkopen aan je concurrenten. Ook kan de data gebruikt worden om je klanten af te persen.
Candid Wüest van Acronis
Daarnaast is meer en meer de infrastructuur van providers en hosters een doelwit. Door daar binnen te komen krijgen de criminelen toegang tot allerlei tools waarmee ze vervolgens toegang kunnen krijgen tot de klanten van deze partijen. Een andere risico zijn de organisaties waaraan ge-outsourced wordt zoals helpdesks en andere derde partijen. Zo konden aanvallers bij Microsoft binnenkomen door binnen te dringen bij Okta.”
Hoe kijk je naar de menselijke factor? “Je zou op het eerste oog zeggen dat de mens de zwakste schakel is, dat is niet waar. De mens kan namelijk ook de sterkste zijn. De combinatie mens en technologie is zeer sterk. Training is van groot belang en ook bij de mensen en organisatie passende procedures. Zo moeten mensen weten waar ze bij vreemde zaken terecht kunnen. Waar moet bijvoorbeeld dat vreemde mailtje van de loterij of iets anders heen. Mensen proberen goed te doen, maar zoeken ook uitwegen voor beperkingen die niet werken. Sluit je de usb-aansluitingen af om informatie-uitwisseling te voorkomen, dan zul je zien dat ze dat omzeilen door een account bij bijvoorbeeld Dropbox af te sluiten.
Als medewerkers in het weekend geen toegang hebben tot de zakelijke mail, dan gaan ze mail naar hun privé-mail sturen om door te kunnen werken. Dat alles kan zich aan het blik van de mensen die zich binnen de organisatie met it-beveiliging bezighouden onttrekken. We hebben ook gezien dat mensen een hotspot gebruiken bij een bedrijf met een strenge proxy, dat toegang tot onder andere YouTube, LinkedIN en Facebook voorkwam. Die mensen hadden deze diensten namelijk nodig voor het werk.
We onderzoeken ook menselijke patronen. Ja, dat is een beetje psychologisch. Zo kun je het gezicht van mensen in de gaten houden. Het gelaat verraadt heel veel. Je kunt zien of iemand boos is, vermoeid is of juist stress heeft. Dat geldt ook voor het typepatroon. Daar kun je ook een persoon aan herkennen en ook het humeur. Deze zaken kunnen relevant zijn of we dan de mens moeten helpen waakzamer te zijn. Daarnaast kijken we of mensen meer kunnen helpen door de grote hoeveelheid data terug te brengen tot nuttige informatie. In Windows kun je bijvoorbeeld een melding krijgen dat een Powershell-script iets vreemds doet. Zelfs een expert als ik vind het dan lastig om te kunnen bepalen of dit echt een gevaar is. We zijn meer en meer bezig om met behulp van machine learning een expert in een box te creëren om bij dat soort problemen te helpen.”
Hoe passen jullie machine learning toe? “We zien dat systemen niet eenvoudiger, maar juist veel complexer worden. Veel organisaties hebben soms wel tien applicaties in gebruik om de cyberprotectie te regelen. Dat zorgt er vaak voor dat het onoverzichtelijk wordt. Bij onderzoek blijkt dat vaak de menselijke factor een probleem was. De mensen hebben niet altijd voldoende overzicht. Uit ons onderzoek bleek dat de mens in 42 procent van de gevallen een fout maakte.
Voor onze slimme oplossingen maken we gebruik van gelabelde data die we in een boomstructuur verwerken. Dat is de supervised methode. Daarnaast zetten we ook deep learning met neural data toe, oftewel unsupervised. Het probleem daarvan is dat je veelal antwoorden krijgt op vragen die je nog niet gesteld hebt en dat deze neurale netwerken werken als een zwarte doos en ook de tussenlagen zijn vaak onduidelijk. Daarom laten wij bij ons ook altijd nog naar deze netwerken en de opgeleverde resultaten kijken. Een bekend voorbeeld is dat machine learning bij het detecteren van een hond en een kat naar de lucht kijkt. Een hond is immers vaak buiten. Maar dat is geen goede manier om het verschil tussen deze twee dieren te bepalen. “
