Niet luchtig over cloud | What the hell is threat intel?

De smartphone is af, lijkt het. Elf jaar geleden werd de eerste iPhone gepresenteerd, maar vandaag de dag voelen ook Apple-adepten niet meer de noodzaak om bij elke nieuwe generatie te upgraden.

Tim Cook mag dan zeggen dat hij dat prima vindt, maar de afvlakkende verkoop van het sterrenproduct maakt wel dat de beurswaarde van aandeel $AAPL met zo'n dertig procent inzakte sinds november. Overigens speelt de handelsoorlog tussen de VS en China hierin zeker ook een rol.

Een van de dingen die Apple waarschijnlijk niet zal doen, is de data vermarkten die het van zijn gebruikers heeft. Het bedrijf probeert zich juist te onderscheiden van concurrenten als Google en in mindere mate Amazon.

‘Bij ons betaal je voor het product’, zegt Apple altijd, daarmee suggererend: bij concurrent Google betaal je met je privacy. Hoe dan ook: betaald moet er worden voor de diensten die je gebruikt, linksom of rechtsom. De cloud is ongrijpbaar maar niet minder fysiek: bedenk dat elke website ergens op een ronkende lawaaiige server staat te draaien.

Misschien zijn datacentra niet zoveel anders dan de bio-industrie, en lijken we niet na te willen denken over welke kosten er afgewenteld worden als de productie maar ver genoeg van ons afstaat.

De vraag is of kopers van een iPhone of MacBook hun product kozen vanwege de principiële privacy-stellingname van het bedrijf. Het is waarschijnlijker dat ze kiezen voor Apple-producten vanwege de kwaliteit van de producten, het feit dat ze invested zijn in het Apple-ecosysteem of simpelweg vanwege het imago dat gepaard gaat met het Apple-logo.

Full disclosure: 50% van de Cybernieuwtjes-redactie gebruikt Apple-producten, naar eigen zeggen ‘vanwege de kwaliteit’. Uhu.

Maar het precedent dat Apple zet, is wel interessant. Moeten privacybewuste apparaten (en diensten) inderdaad een meerprijs met zich meebrengen? 'Privacy’ is immers een mensenrecht: zie artikel 12 van de Verklaring van de Rechten van de Mens. Moet niet ieder mens kunnen kiezen tussen een apparaat of clouddienst die je gegevens ongemoeid laat, of een waarbij je gedrag wordt geanalyseerd om advertenties te tonen?

Een interessante principiële discussie, maar feit blijft: die servers waar we het net over hadden, moeten worden gekoeld, onderhouden en af en toe vervangen. Bovendien moeten de bijbehorende diensten worden ontwikkeld, en dat gebeurt niet door het goedkoopste personeel.

Een mogelijke oplossing is dat het normaler wordt om te betalen voor clouddiensten. Hoe kleiner de groep die dat doet, hoe meer privacy een privilege wordt waar alleen de happy few voor kunnen kiezen. Andersom: als je bereid bent om te betalen voor goede clouddiensten, dan helpt dat uiteindelijk om de prijs omlaag te drijven. De markt wordt dan immers groter, wat meer spelers en dus meer concurrentie aantrekt.

Natuurlijk moet je helemaal zelf weten of je ervoor kiest om te betalen of niet. Cybernieuwtjes gebruikt een aantal diensten als alternatief voor gratis varianten:

Email, agenda, contactpersonen: Fastmail

Offsite-backups: Backblaze, Rsync.net

VPN: AirVPN, Privateinternetaccess

Navigatie: Flitsmeister, TomTom Go

Voor welke diensten leg jij met plezier wat neer omdat het privacyvriendelijker is dan het alternatief? Laat het ons weten met een reply op deze mail.

Om aanvallers op een computernetwerk te kunnen detecteren heb je informatie nodig om hun gedrag te onderscheiden van dat van normale gebruikers. Die informatie wordt threat intelligence genoemd. De virusdefinities die jouw antivirussoftware gebruikt zijn een voorbeeld hiervan.

Organisaties kunnen met threat intelligence hun detectiesystemen voor hun interne netwerken voeden of het onderzoek van hun threat hunting teams informeren. ‘Ken uw tegenstander en ken uzelf’, zoiets heeft Sun Tzu ongetwijfeld een keer gezegd.

Simpele malware is misschien te herkennen aan een bestandsnaam of uitgaand IP-adres, maar het woord intelligence impliceert al dat het bij voorkeur gaat om een hogere orde aan informatie.

Securitybedrijven zijn de onbetwiste heersers van de threat intelligence. In forensische rapporten nemen ze minutieuze bevindingen op wanneer er een grote hack heeft plaatsgevonden. Ze proberen de operatie dan toe te schrijven aan groeperingen waarover soms nog weinig bekend is, en geven die dan exotische codenamen mee zoals crouching yeti of goblin panda – deze voorbeelden verzinnen we niet.

Er is een andere manier om de pakkans te verhogen en dat is door samen te werken, bijvoorbeeld door threat intelligence uit te wisselen in een gestandaardiseerd formaat. Als organisatie A een spearphishing-aanval afslaat, dan kan organisatie B met die informatie preventieve stappen nemen. Vergelijk het met uitsmijters van kroegen in een dorp die vaak gezamenlijk een zwarte lijst van overlastgevers bijhouden: “Sorry heren, cozy bears komen er bij ons niet in.”

Sommige Nederlandse organisaties zoals banken zijn hiermee al een heel eind. Om het gebruik en uitwisselen van threat intelligence in de andere vitale sectoren aan te moedigen, zet het Ministerie van Justitie en Veiligheid nu het Nationaal Detectie Netwerk op. Het afstudeeronderzoek van een van uw Cybernieuwtjes-auteurs laat zien dat de uitdaging voor het ministerie zal zijn om tussen heel diverse organisaties – van internetprovider tot drinkwaterbedrijf – genoeg vertrouwen te laten ontstaan om gevoelige threat intelligence met elkaar te gaan delen.

Of threat intelligence altijd belangrijk zal blijven voor intrusiedetectie is nog onduidelijk: machine learning-methoden worden steeds effectiever in het herkennen van aanvallers en vormen dus een goede aanvulling op het cyberrepertoire van een verdediger. Bovendien is het voor die methoden niet nodig dat hetzelfde soort aanval al een keer eerder is waargenomen.

Dit dronebedrijfje was zo succesvol in het weren van paparazzi bij de opnames van Game of Thrones dat het nu zaken doet met politiekorpsen om grote evenementen te beveiligen.