Actieve deceptietechnologie als aanvulling op statische security

Actieve deceptietechnologie als aanvulling op de statische security

Door •

Statische en ‘denial based’ beveiligingsmaatregelen zijn bedoeld om aanvallen of inbreuken te voorkomen door bekende bedreigingen te blokkeren of te filteren of door toegang te weigeren aan onbevoegde gebruikers of apparaten. Dit soort beveiliging wordt vaak gebruikt als eerste verdedigingslinie tegen cyberdreigingen, en kan een doeltreffende bescherming bieden tegen veel voorkomende soorten aanvallen of onbevoegde toegang.

Statische security is een pakket van beveiligingsmaatregelen die zijn ontworpen om aanvallen of inbreuken te voorkomen door bekende bedreigingen of verdachte activiteiten te blokkeren of te filteren. Deze verdedigingen zijn doorgaans gebaseerd op vooraf bepaalde regels of lijsten van bekende bedreigingen, en worden vaak gebruikt ter bescherming tegen veel voorkomende soorten aanvallen, zoals malware of spam. Denk bij statische security bijvoorbeeld aan firewalls, antivirussoftware en spamfilters.

Denial-gebaseerde security maakt gebruik van beveiligingsmaatregelen die zijn ontworpen om aanvallen of inbreuken te voorkomen door de toegang tot onbevoegde gebruikers of apparaten te ontzeggen. Deze verdediging hangt samen met authenticatie en toegangscontrole, en wordt gebruikt ter bescherming tegen ongeoorloofde toegang tot systemen of gegevens. Voorbeelden van deze ‘Denial’ gebaseerde verdedigingen zijn gebruikerswachtwoorden, authenticatie met twee factoren en toegangscontroles.

Zowel statische als ‘denial’ gebaseerde verdedigingen kunnen effectief zijn als onderdeel van een alomvattende cyberbeveiligingsstrategie, maar zij moeten worden gebruikt in combinatie met andere proactieve en reactieve beveiligingsmaatregelen om de meest uitgebreide bescherming te bieden. Dit soort type verdediging is namelijk overal in de onderneming en zelfs tussen ondernemingen onderling relatief gelijk. Als een aanvaller erin slaagt een specifieke verdediging te omzeilen, helpt deze monocultuur de aanvaller dezelfde strategie te gebruiken om diezelfde verdediging ook elders te omzeilen.

Deception

Misleidingstechnologie in de cybersecurity verwijst naar een reeks technieken en instrumenten die worden gebruikt om aanvallers te misleiden of om de impact van cyberaanvallen op te sporen, af te buigen of te beperken. Deze technieken maken gebruik van loksystemen, nepdata of referenties die zijn ontworpen om te lijken op echte, waardevolle doelen, maar in feite geïsoleerde en bewaakte omgevingen zijn die worden gebruikt om pogingen tot inbreuken op te sporen en te volgen.

Het doel van misleidingstechnologie is het moeilijker maken voor een aanvaller om succesvol een systeem te compromitteren door een extra beveiligingslaag toe te voegen die pogingen tot inbraak kan detecteren en waarschuwen. Dit kan een effectieve manier zijn om aanvallen af te schrikken en te beperken, met name in gevallen waarin een aanvaller met geavanceerde tactieken en technieken probeert de traditionele beveiligingsmaatregelen te omzeilen

Deze loksystemen kunnen zo worden geconfigureerd dat het voor een aanvaller lijkt alsof het echte, waardevolle systemen zijn, maar in werkelijkheid zijn het geïsoleerde en bewaakte omgevingen die zijn ontworpen om pogingen tot inbraak op te sporen en te volgen.

Enkele voorbeelden

Er zijn verschillende soorten misleidingstechnologieën die in de cybersecurity worden gebruikt:

  • Honeypots: Dit zijn loksystemen die zijn ontworpen om aanvallers aan te trekken en af te leiden door zich voor te doen als waardevolle doelen met hoge prioriteit. Honeypots kunnen worden geconfigureerd om verschillende soorten systemen en omgevingen na te bootsen, en worden vaak gebruikt om informatie te verzamelen over tactieken en technieken van aanvallers.
  • Honeytokens: Dit zijn valse gegevens of referenties die zijn ontworpen om door een aanvaller te worden ontdekt, maar die geen werkelijke waarde of toegang tot echte systemen of gegevens hebben. Honeytokens kunnen worden gebruikt om pogingen tot ongeoorloofde toegang of exfiltratie van gegevens op te sporen.
  • Misleidingsnetwerken: Dit zijn netwerken van loksystemen en gegevens die zijn ontworpen om een echte netwerkomgeving na te bootsen, en worden gebruikt om pogingen tot inbraak te detecteren en te traceren.
  • Deception-based endpoint protection: Dit is een type beveiligingssoftware dat gebruikmaakt van misleidingstechnieken om aanvallen op endpointapparaten, zoals laptops en smartphones, te detecteren en te voorkomen.
  •  Injectie van valse gegevens: Bij deze techniek worden valse gegevens in de gegevensstroom van een aanvaller geïnjecteerd om deze te misleiden en zijn aandacht af te leiden van waardevolle activa.
  • Fake applicatiebescherming: Dit is een type beveiligingssoftware dat gebruikmaakt van misleidingstechnieken om aanvallen op toepassingen en servers, zoals SQL-injectieaanvallen, op te sporen en te voorkomen.

Dit zijn slechts enkele voorbeelden van de soorten misleidingstechnologieën die bij cyberbeveiliging worden gebruikt. Deze actieve vorm van beveiliging werkt bijzonder goed voor de bescherming van IT en OT- / ICS-netwerken, omdat het een oplossing met een laag risico is, waarvoor geen agents nodig zijn en die geen enkele invloed heeft op de bedrijfsmiddelen.

Voordelen van misleiden

Het gebruik van misleidingstechnologie als onderdeel van de cybersecuritystrategie van een organisatie heeft verschillende voordelen. Een van de belangrijkste voordelen is vroegtijdige detectie. Door lokmiddelen op te zetten, kan een organisatie een aanval vroeg in het proces detecteren, voordat de aanvaller de kans heeft gehad aanzienlijke schade aan te richten. Deze vroegtijdige waarschuwing kan de organisatie de tijd geven om actie te ondernemen om te voorkomen dat de aanval slaagt.

Een ander voordeel van misleidingstechnologie is dat zij verwarring en afleiding kan scheppen voor aanvallers. Door het opzetten van valse doelen en lokmiddelen kan een organisatie het voor de aanvaller moeilijker maken om de waardevolle middelen van de organisatie te lokaliseren en aan te vallen. Dit maakt het moeilijker voor de aanvaller om zijn doel te bereiken en kan helpen de bedrijfsmiddelen van de organisatie te beschermen tegen schade.

Misleidingstechnologie kan ook helpen de schade van een cyberaanval te beperken. Omdat de aanvaller werkt met lokmiddelen en niet met de echte middelen van de organisatie, is de schade van de aanval waarschijnlijk beperkt. Dit kan de impact van de aanval op de activiteiten en het resultaat van de organisatie minimaliseren.

Naast deze voordelen kan misleidingstechnologie ook de reactiecapaciteit van een organisatie bij incidenten verbeteren. Door vroegtijdig te waarschuwen voor een aanval en gegevens te verzamelen over de door de aanvaller gebruikte tactieken en technieken, kan misleidingstechnologie organisaties helpen effectiever te reageren op incidenten. Dit kan helpen de impact van een aanval te minimaliseren en het risico op toekomstige aanvallen te verkleinen.

Al met al is misleidingstechnologie een waardevol hulpmiddel in de strijd tegen cyberaanvallen. Door vroegtijdige detectie, verwarring en afleiding van aanvallers, beperking van de schade door aanvallen en verbetering van de mogelijkheden om op incidenten te reageren, kan misleidingstechnologie organisaties helpen hun bedrijfsmiddelen te beschermen en het risico op succesvolle cyberaanvallen te verkleinen.

Misleiding als onderdeel van een groter geheel

Al met al kan deceptietechnologie dus een waardevolle aanvulling zijn op de cyberbeveiligingsstrategie van een organisatie, omdat zij helpt de detectie te verbeteren, aanvallen af te schrikken, informatie te vergaren, de impact te beperken en de efficiency te verbeteren.

De Security Fabric van Fortinet is een platform dat verschillende beveiligingstechnologieën en -diensten integreert om een uitgebreide beveiligingsoplossing te bieden. Enkele van de belangrijkste onderdelen van het security fabric platform zijn:

FortiEDR (Endpoint Detection and Response): FortiEDR is een beveiligingsoplossing die machine learning en gedragsanalyse gebruikt om bedreigingen op endpoint-apparaten, zoals laptops en servers, te detecteren en erop te reageren.

FortiNDR (Network Detection and Response): FortiNDR is een beveiligingsoplossing die machine learning en gedragsanalyse gebruikt om bedreigingen op netwerken, waaronder cloud- en hybride omgevingen, te detecteren en erop te reageren.

FortiSIEM (Security Information and Event Management): FortiSIEM is een beveiligingsoplossing die beveiligingsgegevens uit verschillende bronnen verzamelt, analyseert en correleert om bedreigingen te identificeren en erop te reageren.

FortiSOAR (Security Operations and Response): FortiSOAR is een security orchestration, automation en response platform dat organisaties helpt hun security operations te stroomlijnen en te automatiseren.

FortiDeceptor: FortiDeceptor is een op misleiding gebaseerde beschermingsoplossing die gebruik maakt van lokvogels en valstrikken om aanvallers te lokken en op te sporen, waardoor vroegtijdig wordt gewaarschuwd voor pogingen tot inbraak.

Deze componenten werken samen als onderdeel van het security fabric platform om een uitgebreide en effectieve beveiligingsoplossing te bieden waarmee organisaties cyberaanvallen kunnen detecteren, afschrikken en beperken. Met de integratie van deceptietechnologie in zijn security fabric platform wil Fortinet een uitgebreide en effectieve beveiligingsoplossing bieden waarmee organisaties cyberaanvallen kunnen detecteren, afschrikken en beperken.

In het kort

Zowel statische als actieve cyberbeveiligingsmaatregelen zijn belangrijk voor de bescherming van de systemen en activa van een organisatie. Statische maatregelen bieden een basisniveau van bescherming en kunnen veel voorkomende bedreigingen helpen voorkomen, terwijl actieve maatregelen een extra beschermingslaag bieden en kunnen helpen bij het opsporen van en reageren op meer geavanceerde of gerichte aanvallen.

Hoewel statische en op ontkenning gebaseerde beveiligingsmaatregelen effectief kunnen zijn bij de bescherming tegen bekende bedreigingen of onbevoegde toegang, zijn zij wellicht minder effectief tegen gerichte of geraffineerde aanvallen. Op misleiding gebaseerde beveiligingsmaatregelen kunnen een nuttige aanvulling vormen op statische en op ontkenning gebaseerde verdedigingsmaatregelen, omdat zij aanvallen helpen detecteren en afschrikken die de traditionele verdedigingsmaatregelen kunnen omzeilen.

Het is echter belangrijk op te merken dat geen enkele beveiligingsoplossing waterdicht is en dat bescherming tegen inbreuken op basis van misleiding moet worden geïmplementeerd als onderdeel van een bredere, veelzijdige beveiligingsstrategie die andere proactieve en reactieve maatregelen omvat.

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Cybersecurity, Deceptie, Security Fabric ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: Cybersecurity, Deceptie, Security Fabric
Lees meer

Ook interessant

Scroll naar boven