Het Dark Net, een kans op informatie over bedreigingen

apr 9, 2019 | Cyber Security | 0 Reacties

De inlichtingen over bedreigingen gaan via het Dark Net. Bijna een dozijn onderzoekers van Trend Micro houden voortdurend in de gaten wat er zich daar afspeelt. Uitleg door Olivier Bertrand. 

° Er is veel belangstelling voor het Dark Net, dat vaak wordt voorgesteld als het rijk van het kwaad. Wat is de oorzaak van het probleem?

Olivier Bertrand (*): “De term Dark Net werd voor het eerst gebruikt door vier Microsoft-ingenieurs in een artikel uit 2003. Destijds verwees het naar illegale downloadnetwerken; tegenwoordig verwijst het naar elk parallel netwerk dat versleuteld is of een zeer specifiek protocol vereist om er verbinding mee te maken.

“Soms verwarren we Deep Web en Dark Net. De eerste vormen een set internetpagina’s die niet geïndexeerd worden door traditionele zoekmachines; ongekende pagina’s kunnen voorkomen bij bepaalde formaten die moeilijk te integreren zijn in zoekmachinefuncties of opzettelijk verborgen sites, maar die niet noodzakelijk illegaal zijn. Het tweede, Dark Net, is het deel van het Deep Web waar illegale activiteiten plaatsvinden.”

° Hoe werkt het Dark Net?

“Het Dark Net fungeert als een ontmoetingsplaats tussen leveranciers en klanten, met andere woorden, degenen die illegale goederen of diensten willen kopen, met als belangrijkste valuta de Bitcoin … De organisatie van cybercriminaliteit is vergelijkbaar met die van een traditioneel bedrijf, verschillende beroepen zijn noodzakelijk en complementair: ontwikkelaars ontwerpen malware, maar zij zijn niet degenen die deze zullen exploiteren. In de underground is voor toegang tot fora, markten en andere clubs vaak een lidmaatschap nodig, met als voorwaarde een zekere reputatie. Net als in een maffiabende is het noodzakelijk om zich te bewijzen met een actie die door de groep van het betreffende forum wordt erkend. Eenmaal toegelaten, worden de leden gerangschikt op basis van hun prestaties en bekendheid.  

“De hoofdtool voor toegang tot het Dark Net is Tor. Dit over elkaar heen liggende en gedecentraliseerde computernetwerk, ontwikkeld met marinefondsen in de jaren negentig, was aanvankelijk bedoeld als een versleuteld communicatieplatform voor Amerikaanse agenten. Tor is vandaag de dag niet langer eigendom van de marine; de ontwikkeling ervan wordt beheerd door een NGO en het publiek dat het bezoekt is zeer divers, waarschijnlijk met inbegrip van vele vertegenwoordigers van veiligheids- en inlichtingendiensten uit verschillende landen”.

° Het Dark Net: de woonplaats van het kwade?

“Ja en nee. Het Dark Net biedt onderdak aan volstrekt illegale activiteiten, van drugshandel tot wapenhandel, illegale pornografie en kinderpornografie, maar het lijkt ook een plaats van vrijheid voor klokkenluiders en andere dissidenten. Kortom, de anonimiteit en toegangsprotocollen van het Dark Net zijn niet te verwaarlozen.

“Voor ons is het Dark Net belangrijk. Bijna een dozijn medewerkers van Trend Micro scannen het voortdurend. Hun missie is te begrijpen wat er daar gebeurt, om beter te begrijpen welke methoden worden gebruikt om onopgemerkt te blijven. Het is een manier om te anticiperen op de cybercriminaliteit van morgen, om bijvoorbeeld voor te stellen hoe een massale Zero-Day-aanval kan worden gelanceerd om de financiële markten op de knieën te krijgen …”.

° De inlichtingen over de dreiging gaan volgens u over het Dark Net? Kennis van het ergste om op te anticiperen?

“Inderdaad. Effectieve verdediging vereist een goed begrip van de werking van gerichte aanvallen, de verschillende stadia ervan en de gebruikte instrumenten en technieken. Deze kennis is het uitgangspunt voor een effectieve bescherming tegen cybercriminelen. Hoe kan een organisatie de veiligheid van haar meest kritische informatie en bedrijfsmiddelen immers garanderen als ze niet weet tegen welk type inbraak ze specifiek moet worden beschermd?

 “Dit is waar informatie over bedreigingen een rol speelt, waardoor de meest recente bedreigingen van de informatiebeveiliging en de beste manieren om zich tegen deze aanvalsbenaderingen te beschermen kunnen worden geïdentificeerd en onder de aandacht kunnen worden gebracht. Gartner definieert het als ‘evidence-based kennis over een bestaande of opkomende dreiging, of een gevaar voor activa, die kan worden gebruikt om beslissingen te nemen over de reactie van het onderwerp op die dreiging of dat gevaar’. De meest effectieve reactie op opkomende bedreigingen is het bestuderen van deze elementen in hun oorspronkelijke omgeving.”

° Hoe gaat dit concreet in zijn werk?

“De basis voor inlichtingen over bedreigingen begint met het verzamelen van unieke malwaremonsters en identificatoren, inclusief die met betrekking tot dezelfde malwarefamilie. Deze voorbeelden worden vervolgens gebruikt om robuuste inlichtingendatabanken op te zetten, die kunnen worden gebruikt om activiteiten en processen in verband met specifieke aanvallen te identificeren en om de beste beschermingsstrategieën te documenteren.”

 “Dagelijks worden enkele honderdduizenden nieuwe malware-monsters ontdekt. Daardoor actualiseren en verbeteren de hackers constant hun aanvalsbenaderingen en inbraakstijlen, die op succesvolle schendingen uit het verleden voortbouwen en van niet succesvolle pogingen leren.”

 “Dit maakt bedreigingsinformatie belangrijker dan ooit: een robuuste database kan bekende monsters identificeren en helpen parallellen te trekken tussen geïdentificeerde aanvalsstijlen en opkomende bedreigingen. Daarnaast betekent de snelheid waarmee nieuwe dreigingen worden gecreëerd, dat deelname aan dreigingsinformatie op alle niveaus een belangrijke activiteit is. Hoe meer bedrijven en individuele gebruikers zich bewust zijn van de huidige bedreigingen, des te beter zijn ze voorbereid om zich ertegen te beschermen”.

(*) Olivier Bertrand, Presales Engineer bij Trend Micro België-Luxemburg

 

 

Deze artiken spreken over "Cybersecurity"

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Follow this topic