Achtergrondartikel


Securityvoorspellingen voor 2016: Akamai Technologies

‘Beveiliging verbetert niet noemenswaardig’

In 2015 is meer aandacht geweest voor computerbeveiliging dan in alle jaren daarvoor. Hoe zet deze ontwikkeling zich door in 2016, en hoe gaan de belangrijkste actuele trends zich het komende jaar verder ontwikkelen?

Door Martin McKeay

Ik heb altijd een hekel gehad aan ‘voorspellingen’ over beveiliging; ze variëren van wetenschappelijke veronderstellingen tot marketingpraatjes die enkel het eigenbelang dienen. Waarbij het meestal trouwens om laatstgenoemde gaat. Maar ze kunnen, mits goed uitgevoerd, wel degelijk nut hebben. Voorspellingen vestigen de aandacht op trends die op dat moment actueel zijn, en hoe deze in de toekomst kunnen uitpakken.

Het is geen voorspelling, maar eerder een feitelijke vaststelling dat computerbeveiliging het komende jaar alleen nog maar belangrijker gaat worden, en nog meer publieke aandacht zal krijgen. We staan aan het begin van een golf van veranderingen, die niemand nauwkeurig kan voorspellen. Wereldwijd klagen beveiligingsprofessionals al jaren over het feit dat leiders uit het bedrijfsleven onvoldoende aandacht hebben besteed aan hun adviezen, maar dat verandert in hoog tempo en heeft veel mensen voor verrassingen geplaatst. Een van de zaken die we horen te doen, is enkele van de huidige trends begrijpen en waar deze morgen toe zouden kunnen leiden. Daarom kunnen voorspellingen daadwerkelijk waardevol zijn, mits genomen met een korreltje (of misschien een blok) zout.

Bij deze dus mijn extrapolatie van een aantal van de top-5 beveiligingstrends van 2015 naar 2016.

DDoS-afpersing zal steeds gebruikelijker worden
In 2014 zagen we een nieuwe dreiging ontstaan, DD4BC. In 2015 verdween deze groep, maar werd onmiddellijk vervangen door het Armada Collective. Beide groepen verzonden bedreigende e-mails waarin de betaling van een klein aantal bitcoins werd geëist, omdat anders de site van het bedrijf offline zou worden gebracht. Het succes van deze groepen heeft ertoe geleid dat het Armada Collective steeds agressiever werd. Bovendien resulteerde het in de opkomst van een aantal na-apers. Ik twijfel er geen seconde aan dat dit zich voort zal zetten in 2016 en nog veel erger wordt, als criminelen de potentiële winsten van DDoS-afpersingen zien.

Het Internet of Things zal worden aangetast
Het Internet of Things (IoT) is niet één enkele technologie of product, maar eerder een hele klasse van technologieën en producten. Bij het ontwerpen en ontwikkelen van de meeste hiervan werd slechts terloops aandacht besteed aan de beveiliging. Nu Kerstmis nadert, zijn de beste voorbeelden van het IoT-gevaar Hello Barbie en een reeks producten van speelgoedfabrikant VTech. IoT-apparaten verzamelen meer informatie over hun eigenaren dan de meeste mensen beseffen, en zelfs als de apparaten perfect veilig zijn, laten de diensten achter deze apparaten vaak veel te wensen over wat betreft beveiliging. Deze gegevens zijn waardevol en we zullen meer inbreuken zien op de instrumenten en speeltjes van het IoT, evenals op de bedrijven die onze persoonlijke gegevens verzamelen.

De beveiliging zal niet noemenswaardig verbeteren
Dit is een trend waarvan ik hoop dat ik me vergis voor 2016, maar bijna twee decennia ervaring in beveiliging zeggen me dat dit niet het geval zal zijn. Ondanks de vele claims van beveiligingsleveranciers dat zij die ene technologie hebben die al uw beveiligingsellende kan oplossen, bestaat een dergelijk product niet. In plaats daarvan moeten we beseffen dat we te maken hebben met een lange reeks van kleine verbeteringen aan de beveiliging, gemeten in decennia in plaats van jaren. Bedrijven zullen nieuwe, betere manieren vinden om hun systemen te beveiligen, en aanvallers zullen nieuwe, betere manieren vinden om ze in gevaar te brengen. Langzamerhand zullen we manieren ontdekken om betere software en systemen te bouwen die vanaf de basis veilig zijn. In feite is het waarschijnlijker dat de beveiliging in 2016 zal lijken te verslechteren. Dat zal echter een symptoom zijn voor het feit dat organisaties beter worden in het herkennen van inbreuken, in plaats van dat de beveiliging daadwerkelijk slechter wordt.

De overheid zal een grote invloed hebben op de beveiliging
China heeft altijd toegang geëist tot al het verkeer op hun internet, en Rusland nam in 2014 een wet aan waarin verplicht werd gesteld dat het verkeer in het land blijft en beschikbaar zal zijn voor ambtenaren. Zowel de VS als het VK zijn aan het lobbyen bij Silicon Valley-bedrijven om hen toegang te verschaffen tot versleutelde communicatie, en in de nasleep van de aanslagen van Parijs, overweegt Frankrijk een verbod op Tor en openbare wifi-toegang. Afgezien van de politiek, is het duidelijk dat regeringen over de hele wereld de noodzaak zien om sterk betrokken te zijn bij de wetgeving van het internet. Dit zal een enorme impact hebben op de beveiliging van individuele bedrijven, maar ook van het internet als geheel. Wie geen aandacht besteedt aan dit veranderende landschap, zal volledig verrast worden door de nieuwe wetgeving. En dat is een positie waarin geen enkele beveiligingsprofessional zich mag bevinden.

Het ondenkbare onbekende
De meeste van onze uitdagingen betreffen zaken die zijn te voorspellen, bekende zorgen waarvan we weten dat ze zullen gebeuren en waar we voor kunnen plannen. Elke organisatie zal in 2016 ten minste één incident hebben dat niet kon hebben voorspeld door extrapolatie van de huidige trends naar de toekomst. Het geheim dat we als beveiligingsprofessionals moeten doorgronden is het identificeren van zoveel mogelijk bekende bedreigingen, om vervolgens een programma te bouwen dat ons waar mogelijk zal helpen te reageren op deze incidenten. Hebt u een plan voor de wederopbouw van uw webservers als deze worden aangetast? Nog een stap verder: wat gebeurt er als uw AD-servers worden getroffen? Houd rekening met het slechtste scenario en zorg ervoor een plan te hebben voor het geval dat uw volledige netwerk in de verkeerde handen valt. Het klinkt misschien overdreven, maar het is Sony overkomen, de OPM (Office of Personnel Management) in de VS en waarschijnlijk nog meer organisaties die het niet naar buiten hebben gebracht. Controleer uw processen en procedures met het oog op het waarborgen dat zij uw doelstelling ondersteunen om uw organisatie veilig te houden, zelfs als zich iets volledig onvoorspelbaars voordoet. Wat is uw plan voor de zombie apocalyps? Het zal waarschijnlijk erg veel weg hebben van uw plan voor de uitbraak van een besmettelijke ziekte.

Ik ken persoonlijk niemand met een glazen bol die de toekomst kan voorspellen. Het beste wat we kunnen doen, is wat sciencefictionschrijvers en futuristen al jaren doen, namelijk het extrapoleren van huidige trends naar de toekomst, en ons voorstellen waartoe ze kunnen leiden. De bovenstaande punten zijn weliswaar slechts inschattingen over waar de huidige trends ons naar zullen leiden, maar ik heb er redelijk veel vertrouwen in dat ze alle vijf zullen plaatsvinden.

 


Lees meer over