• Gehacked worden

Waarom gehackt worden ook positief kan zijn

14 februari 2019|

Weet jij wie de belangrijkste spelers in de BAS-markt zijn? Nee? Dat is niet zo gek, want de opmars van Breach and Attack Simulation (BAS) binnen de cybersecurity is pas net begonnen. SafeBreach is een van de weinige bedrijven die met recht kan beweren dat ze een pioniersrol hebben vervuld in dit nieuwe marktsegment. De Nederlandse cybersecurityspecialist ON2IT was twee jaar geleden de eerste Europese partner van SafeBreach, en biedt de toonaangevende BAS-oplossing aan als onderdeel van haar virtuele SOC-app.

Het perspectief van de hacker

Hacker's PlaybookSinds de oprichting in 2014 heeft SafeBreach gewerkt aan een platform dat de beveiliging van een organisatie bekijkt vanuit het perspectief van een hacker, om zo proactief aanvallen te voorspellen, securitymaatregelen te beoordelen en de reacties vanuit het SOC te verbeteren. SafeBreach voert automatisch duizenden inbreukprocedures uit die zijn vastgelegd in een uitgebreid Hacker’s Playbook dat is gebaseerd op echte data.

Kan dit hier ook gebeuren?

Voordat hij startte met SafeBreach was medeoprichter Guy Bejerano verantwoordelijk voor cybersecurity bij het Amerikaanse LivePerson. Rond 2013 werd de Raad van Bestuur van deze organisatie gealarmeerd door hacks en datadiefstal bij andere internetbedrijven. “Kan dit hier ook gebeuren?”, was de eenvoudige vraag van de CEO. Bejerano huurde een team van hackers in om eventuele zwakheden in het systeem aan het licht te brengen. Maar maakten deze hackers wel gebruik van de meest actuele en gevaarlijkste aanvalstechnieken?

Om kwaadwillende hackers te imiteren, moet je de manier waarop zij werken op een realistische manier nabootsen.

Het begin van een bedrijf

Dat was het moment dat Bejerano samen met Izik Kotler besloot om een bedrijf, SafeBreach, te starten dat antwoord zou geven op de legitieme vragen van CEO’s. Het concept kan als volgt worden samengevat: “Laten we doen alsof we hackers zijn”. De visie ging veel verder dan alleen het inhuren van hackers op uurbasis. Om kwaadwillende hackers te imiteren, moet je de manier waarop zij werken op een realistische manier nabootsen. In de eerste plaats moet je 24/7 worden blootgesteld aan aanvallen, en niet alleen tijdens een PEN-test. Daarnaast zijn hackers enorm creatief en werken ze intensief samen.

Simulaties op een gecontroleerde manier

De SafeBreach oplossing bestaat uit een geautomatiseerd platform dat dag en nacht hackaanvallen simuleert op een gecontroleerde manier. De belangrijkste innovatie van SafeBreach is het gebruik van sensoren en simulatoren die op verschillende locaties in het bedrijfsnetwerk worden geplaatst en met elkaar kunnen communiceren. Zo kan sensor A bijvoorbeeld in een virtuele machine met klantgegevens worden geplaatst en sensor B in een apart segment van het bedrijfsnetwerk of in een clouddatacenter.

Potentiële risico’s

Als kan worden aangetoond dat creditcardgegevens of patiëntgegevens tussen deze twee sensoren kunnen worden uitgewisseld, is dit een mogelijk veiligheidsrisico. Als vervolgens ook kan worden aangetoond dat er een verbinding mogelijk is tussen een derde simulator buiten het bedrijfsnetwerk en sensor B, dan is er sprake van een mogelijk pad voor data-exfiltratie. De simulatoren kunnen op alle mogelijke locaties worden ingezet: in virtuele machines, endpoints en publieke clouddiensten.

Een permanente security-audit

“SafeBreach kan worden gezien als een permanente security-audit”, aldus Marcel van Eemeren, CEO van ON2IT, de eerste Europese Managed Security Service Provider waarmee SafeBreach twee jaar geleden een partnerschap is aangegaan. De filosofie van SafeBreach sluit volgens Van Eemeren perfect aan bij de visie van ON2IT dat cybersecurity een continu proces is.

“SafeBreach is een veilige manier om echte aanvallen te simuleren. Omdat deze simulaties 24 uur per dag en 7 dagen per week actief zijn, ontvang je direct een melding wanneer er na een update of een nieuwe configuratie in je datacenter of cloudservice nieuwe kwetsbaarheden zijn ontstaan.”

Inmiddels kan SafeBreach al ruim 3600 aanvalsmethoden simuleren…

Geïntegreerd in de ON2IT SOC-app

ON2IT biedt de integratie met SafeBreach als onderdeel van de virtuele SOC-app die is ontwikkeld voor het Palo Alto Networks Application Framework. “Via de beschikbare API’s in het framework kunnen we onze klanten een veel hoger integratieniveau bieden, en de SafeBreach alerts weergeven in ons SOC-dashboard.”

Simulaties van meer dan 3600 aanvalsmethoden

Nog niet zo lang geleden kondigde SafeBreach een belangrijke upgrade van het platform aan met nieuwe simulaties om securitymaatregelen te beoordelen, extra statistieken om prioriteiten te stellen en nieuwe integraties om herstelprocessen te versnellen. Inmiddels kan SafeBreach al ruim 3600 aanvalsmethoden simuleren en met de nieuwe mogelijkheden wordt dit aantal alleen maar groter.

Uiteindelijk draait het om bruikbare resultaten

“Klanten kiezen voor SafeBreach omdat we de meest accurate en uitgebreide set aanvalssimulaties bieden voor de hele ‘kill chain’, van e-mail tot endpoint,” aldus CEO Bejerano. “Hoewel het continu simuleren van aanvallen een cruciaal onderdeel is van elke BAS-oplossing, is het leveren van bruikbare resultaten altijd het échte doel – denk bijvoorbeeld aan nog betere managementinformatie en risicobeoordelingen.”

Aanbevelingen voor een betere security

SafeBreach analyseert de resultaten van elk inbreukscenario, biedt visualisaties en gedetailleerde ‘kill-chain’ analyses en doet aanbevelingen voor proactieve herstelstappen om de security te verbeteren. SafeBreach biedt uitgebreide simulatieklassen voor e-mailaanvallen zodat organisaties eenvoudig misconfiguraties of hiaten in de beveiligingscontroles voor e-mail kunnen identificeren.

Verder heeft SafeBreach de ransomware-simulaties uitgebreid met bestandsversleuteling om de effectiviteit van securitymaatregelen voor de endpoints beter te kunnen beoordelen.

Directe risicobeoordeling

De nieuwe data-analyselaag breidt bestaande security-inzichten uit met overzichten op directieniveau. Deze maken o.a. een onmiddellijke beoordeling mogelijk van de risico’s van bekende aanvallen. Een nieuw integratiepartnerschap met Demisto zorgt voor een verdere verbetering van automatische securitymaatregelen. Dit partnerschap sluit perfect aan op bestaande samenwerkingen met partijen als Phantom, ServiceNow en Jira.

Duidelijke marktleider

“SafeBreach heeft zich ontwikkeld tot marktleider binnen hun segment,” aldus Van Eemeren van ON2IT, “En met deze nieuwe update leggen ze de lat nog hoger. Het is tegenwoordig bijna onmogelijk om een succesvolle cybersecurity-aanpak voor te stellen zonder de waarborg van het simuleren van inbreukmethoden.”