DMC Group wil cybercriminaliteit bij de bron aanpakken
‘Verhullingstechnieken
zijn cybercrime-enablers'
Mick Deben is cybersecurity consultant bij DMC Group en werkt daarnaast aan een PhD over cybersecurity. Dit gesprek gaat niet over een commercieel product of dienst, maar over een oproep: deel meer kennis over verhullingstechnieken.
TEKST: Rashid Niamat BEELD: DMC Group
Wie cybercrime wil bestrijden, kijkt doorgaans naar de aanval zelf: methode, malware, herkomst. Mick wil de aandacht verleggen naar de laag eronder. “Verhullingstechnieken worden steeds vaker en steeds verfijnder ingezet, terwijl we er in de praktijk nauwelijks aandacht aan besteden. De focus ligt vrijwel altijd op hóé een aanval precies is uitgevoerd of hoe de malware werkt.”
Een te beperkte focus
Na detectie en analyse volgt doorgaans reverse engineering, waarna publiekelijk kan worden bekendgemaakt welke methode is gebruikt, door welke criminele organisatie en vanuit welk land. "Die werkwijze is al jaren de norm en ze werkt voor wat je te weten wil komen”, zegt Mick. “Maar het is een te beperkte focus. We moeten ons veel meer afvragen: hoe komen cybercriminelen überhaupt in de positie dat ze vrijuit kunnen opereren en ermee wegkomen? Als we dát kunnen doorbreken, maken we het voor deze groepen structureel een stuk moeilijker."
CLOAK als kennisbank
Die redenering leidt direct naar de kern van zijn betoog. "Verhullingstechnieken zijn de facilitator van cyberaanvallen en cybercriminaliteit. Zonder deze technieken is het identificeren, opsporen en attribueren van dreigingsactoren aanzienlijk eenvoudiger. We moeten ze dus kennen én herkennen."
Daarom ontwikkelde Mick het framework CLOAK: Concealment Layers for Online Anonymity and Knowledge. Het is een kennisbank die de verhullingstechnieken van dreigingsactoren catalogiseert en bruikbaar is naast of als aanvulling op het MITRE ATT&CK-framework. "Op dit moment is de input voornamelijk afkomstig uit bekende openbare bronnen en wat op het darkweb is gevonden. Wat nog ontbreekt, is de vergelijking met real-life cases van marktpartijen. Die zijn een waardevolle en noodzakelijke toevoeging, omdat ze het mogelijk maken om profielen van dreigingsactoren nauwkeuriger te beschrijven."
“
Wij zijn niet geïnteresseerd in wie er achter een aanval zit. Geanonimiseerde of geaggregeerde data volstaat volledig
De oproep: deel wat je kunt
De meest waardevolle input komt van bedrijven gespecialiseerd in DFIR (Digital Forensics & Incident Response). Mick: “Zij hebben daadwerkelijk bewijs: actor A heeft handelingen B, C en D uitgevoerd om zichzelf te verhullen. Dat zijn keihard onderbouwde bevindingen van specialisten die sporen hebben onderzocht. Voor ons is dat het meest waardevol, omdat de bron betrouwbaar is.”
Mick erkent tegelijk de gevoeligheid van dergelijke informatie. “We begrijpen volkomen dat dit soort data vaak vertrouwelijk is en niet gedeeld kan (en mag) worden. Dat is geen bezwaar en zeker geen showstopper. Wij zijn niet geïnteresseerd in wie er achter een aanval zit. Geanonimiseerde of geaggregeerde data volstaat volledig.”
Ook voor red teamers
Een belangrijk detail: CLOAK is nadrukkelijk niet uitsluitend gericht op het analyseren van kwaadwillenden. Mick: “Red teamers binnen securityorganisaties moeten in staat zijn toegang te verkrijgen en te behouden zonder zelf op te vallen. Ze gedragen zich als echte bad guys die onder de radar moeten blijven; alleen zo kunnen ze kwetsbaarheden in kaart brengen en als tegenspeler van het blue team opereren. Ook voor hen is CLOAK een relevant instrument.”
Van reactief naar proactief
DMC Group is een organisatie van bescheiden omvang en voert geen actief marketingbeleid. “Voor onze reguliere werkzaamheden is dat niet nodig, maar met CLOAK betreden we nieuw gebied”, zegt Mick. Na de lancering van de website opsectechniques.com, verspreiding via sociale media en een presentatie op de SANS DFIR-conferentie is het tijd voor een volgende stap, waaronder dit artikel.
De boodschap is helder: “Cybersecurityprofessionals kennen het belang van informatiedeling als basis voor samenwerking. Met CLOAK willen we de strijd eerder aangaan door de volledige keten inzichtelijk te maken die verhulling mogelijk maakt. De keten begrijpen is de eerste stap om de afzonderlijke schakels te kunnen aanpakken. En het is een voorwaarde om sneller en beter zicht te krijgen op potentiële kwetsbaarheden in die keten en onze eigen IT-omgevingen.” Daarmee wil Mick de fundamentele achterstand ombuigen die ontstaat doordat de sector overwegend reactief opereert.
dmcgroup.nl
Neem contact op met Mick Deben via mick.deben@dmcgroup.nl of via LinkedIn om de mogelijkheden voor informatiedeling te bespreken. Meer informatie over DMC Group vind je op hun website.
