De evolutie van cybersecurity van de afgelopen 20 jaar
De cloud zoals wij die nu kennen, bestond twintig jaar geleden nog niet. Ook waren er geen Internet of Things (IoT)-sensoren en zelfs niemand wist wat Gmail was. De cyberdreigingen en tactieken van cybercriminelen ontwikkelden zich de afgelopen twee decennia sterk. Maar dat geldt ook voor de oplossingen. Welke ontwikkelingen maakte cybersecurity de afgelopen twintig jaar? En waar beweegt het naartoe?
De automatiseringsrace
Twintig jaar geleden waren forensische onderzoeken nog niet geautomatiseerd. In die tijd vonden deze onderzoeken ter plekke en vaak handmatig plaats. Veel kwetsbaarheden werden gescand via grote schermen en er was weinig tot geen technologie voor werken op afstand. Voor het maandelijks beoordelen van de prestaties van een organisatie, was een fysieke verbinding met het netwerk noodzakelijk. Pas bij een fysieke verbinding was het analyseren van de data van de organisatie mogelijk. Hierbij werden de gegevens handmatig ingevoerd in spreadsheets. Voordat je aan dat proces begon, moest je fysiek aanwezig zijn op de locatie. Je zette een team in en begon de volgende dag met het verzamelen van data, wat een week of twee kon duren. Daarna nam je de gegevens mee naar het lab voor de diagnostiek. Dit proces nam nog eens twee weken in beslag. Alles bij elkaar kon het analyseren van de componenten van een hack maanden duren.
Tegenwoordig kun je binnen vijftien minuten op afstand toegang krijgen tot de omgeving en beginnen met triageactiviteiten. Aan het einde van de eerste dag heb je misschien zelfs al een indicatie over wat er plaatsvond. In plaats van een maandenlang proces is het hierdoor mogelijk om het incident binnen een aantal dage op te lossen.
Nu draait alles om snelheid. Ook cybercriminelen zijn veel sneller dan twintig jaar geleden, maar de cyberverdedigers zijn dat gelukkig ook. Een opmerkelijke bevinding uit het Data Breach Investigations report (DBIR) 2023 is dat de meeste aanvallen heel erg geautomatiseerd zijn, dus een soort wapenwedloop tussen cybercriminelen en -verdedigers. En meestal wint de snelste partij. Dit benadrukt het belang van oplossingen voor dreigings- en responsdetectie.
Revolutie van bandbreedte
Forensisch onderzoek op afstand was twintig jaar geleden niet haalbaar, omdat er niet genoeg bandbreedte was om het te ondersteunen. Dankzij de beschikbaarheid van hoge bandbreedte is alles nu anders. Mid-band spectrum, zoals C-band en edge computing, veranderden het landschap en zorgden voor een groot aantal innovaties binnen de sector. Maar innovaties zorgen ook voor nieuwe risico’s en dreigingen.
De mogelijkheid om de supply chain te verbinden met IoT-apparaten bood granulaire zichtbaarheid. Tegelijkertijd creëerde het nieuwe potentiële toegangspunten voor cybercriminelen. Hackers hadden plots een groot aantal nieuwe aanvalsvectoren ter beschikking, terwijl ze eerder een fysieke verbinding moesten maken met een faciliteit. Voordat fysieke objecten met elkaar werden verbonden, investeerden faciliteiten in fysieke security. Cybercriminelen kregen namelijk alleen toegang als zij zich in het gebouw bevonden. Deze dynamiek is tegenwoordig heel anders.
Het andere stukje van deze puzzel is de ontwikkeling van cloudtechnologie. Cloud computing bestond natuurlijk al, maar (meestal alleen) lokaal. Pas toen er genoeg bandbreedte beschikbaar was, werd de cloud een krachtige facilitator van connectiviteit en automatisering.
Bandbreedte, in combinatie met cloudtechnologie, maakte veel scenario’s mogelijk, waaronder het gebruik van IoT-apparaten om fysieke apparaten en systemen aan te sluiten op netwerken en het op afstand uitvoeren van forensisch onderzoek.
Van het wilde westen naar een volwassen markt
Twintig jaar geleden waren er minder wetten en regels rondom cybersecurity dan nu. Wanneer een cybercrimineel met succes een netwerk binnendrong, waren er weinig juridische opties. En als je de hacker vond, moest je creatief zijn.
Cybercriminelen gebruikten in die tijd prepaidkaarten, postwissels en andere multinationale financiële diensten om geld rond te sluizen, waardoor ze zichzelf blootstelden. Hierdoor konden ze worden betrapt op een technische fout die niets te maken had met datalekken waardoor ze bestraft konden worden.
Nu, twintig jaar later, is er een reeks wetten over dataprivacy en –soevereiniteit. Ook zijn er veel manieren voor het vervolgen van cybercriminelen. Het traject van cybercriminelen en -verdedigers weerspiegelt elkaar. Twee decennia geleden was het moeilijker om de online criminelen te vervolgen, maar ze hadden de uitdaging om fysiek aanwezig te zijn voor het binnendringen van een netwerk. Forensisch onderzoek was arbeidsintensiever voor cyberverdedigers, maar het aantal cybercriminelen viel in het niet vergeleken met het legioen aan dreigingsactoren van vandaag de dag. Hackers beschikken tegenwoordig over meer automatiseringstools, maar de cyberverdedigers ook.
Dus welke richting gaat cybersecurity nu op? Is AI het volgende keerpunt, zoals cloudtechnologie en bandbreedte dat twintig jaar geleden waren? Het is mogelijk, maar het is lastig te zeggen hoe AI cybercriminelen van dienst kan zijn. De verbeteringsmogelijkheden voor automatisering zijn marginaal en het potentieel om social engineering te hervormen is nog in opkomst. Wel kunnen er andere onvoorziene toepassingen zijn.
Het is belangrijk om cybercriminelen een stap voor te blijven in de automatiseringswedloop. Of dat lukt met AI of een andere, nog te ontdekken technologie, valt nog te bezien. Ondertussen blijft de branche waakzaam, ongeacht de nieuwste innovatie.
Chris Novak is Managing Director Cybersecurity Consulting bij Verizon Business