Maarten Goet

Security: Artificial Intelligence is hét nieuwe normaal

De afgelopen dagen had ik de eer om deel te mogen nemen aan het door Microsoft georganiseerde BlueHat evenement in Tel Aviv, Israël. In de security industrie zijn evenementen zoals Blackhat, Defcon en HITB de norm, maar recent zie je nieuwe namen zoals Schmoocon en dus ook BlueHat. Blue omdat Microsoft vaak geassocieerd wordt met de kleur blauw; Microsoft medewerkers noemen het intern ook wel Blue Badges.

Naast dat Israël de hotspot is voor alles security gerelateerd, is Microsoft zelf hard op weg om een stevige rol te pakken op het gebied van security. Microsoft heeft de meeste security ontwikkelafdelingen dan ook in Israël zitten; onder andere voor Office 365 ATP, Azure Security Center en Windows Defender ATP. Door BlueHat in Tel Aviv te organiseren kunnen ze gemakkelijk eigen experts laten spreken, maar ook die uit de industrie. Zo was er een sessie van bijvoorbeeld John Lambert, Microsoft’s hoofd van het Threat Intelligence Center die diensten zoals ATP en Defender runt, maar ook van hackers van Cellebrite – de organisatie die FBI en Mossad helpt bij het unlocken van telefoons van terroristen.

De afgelopen jaren is mede door de toenemende uitbraken van malware en de schade die het toebrengt aan het bedrijfsleven de focus gekomen op security. Sterker nog, het is een enorme industrie op zichzelf geworden, en de komende jaren zal dat verder toenemen. Waar dit voorheen voornamelijk een software feestje was, is er nu aandacht op alle niveau’s. Zowel van hackers als van beveiligers.

Chips: reverse-engineered

Zo werd in de sessie van Gunter Ollman, CTO Security bij Microsoft, pijnlijk duidelijk dat ook chips worden reverse-engineered. Met gespecialiseerde apparatuur wordt deze laag voor laag uit elkaar gehaald; tot op 70 micrometer dun. Het voorbeeld dat werd aangehaald: een Aziatische partij die de HoloLens AR chip uit elkaar had gehaald en de schema’s voor veel geld verkocht op een illegale handel website. Of een voorbeeld dichter bij huis; het kopiëren van chips in toners om de namaak versie te laten werken in een printer.

Een bijzonder interessante sessie was van Marion Marschalek van Intel die demonstreerde hoe de Secure Enclave van Intel chips werkt, ook wel SGX genoemd. Deze wordt ook in Azure Confidential Computing gebruikt en is een hele krachtige manier om ‘secrets’ veilig in op te slaan. Het vereist een aparte blog om daar alle details van te geven, maar wat vooral bijbleef; het is bijna niet te kraken. Het voorbeeld om privacy gevoelige data op te slaan in de Secure Enclave, maar daardoor de rest van de applicatie en data wel in Azure te kunnen draaien is een scenario waar veel overheden of andere instanties die gevoelige data beheren blij van zullen worden.

Edge versus Chrome

Jordan Rabet, security researcher van Microsoft, liet verschillen tussen Microsoft Edge en Google Chrome zien. Waar Chrome focust op een zo veilig mogelijke “sandbox” te maken, focust Edge juist op het voorkomen van Remote Code Execution (RCE). Daar helpt Windows Defender Application Guard bij; de browser als totaal runt dan feitelijk in een VM; afgescheiden van alle andere processen.

Patronen in malware

Costin Raiu, hoofd research bij Kaspersky, toonde hoe je tegenwoordig met de rekenkracht van Azure en cloud computing ‘patronen’ kunt herkennen in malware. En dan specifiek met het doel om te achterhalen welke groepering of staat er achter de aanval zit. Tools zoals Yara berekenen hashes van code, en vergelijken met eerdere code en malware. Dit kan tevens helpen bij het treffen van een oplossing.

Lekken: Spectre en Meltdown

Op de tweede dag was er een mystery keynote. Security researchers Daniel Gruss, Moritz Lipp en Michael Schwarz van TU Graz uit Oostenrijk presenteerde hoe zij recent de lekken Spectre en Meltdown hebben gevonden. Hier ging jaren aan research aan vooraf.

Dat security geen bijzaak meer is, maar vanaf het begin belangrijk is bij het ontwerpen en lanceren van nieuwe oplossingen bewees Lee Holmes, program manager bij Microsoft, in zijn sessie over Azure Stack. Deze is sinds een half jaar beschikbaar, maar vanaf de grond opgebouwd. Of het nu nieuwe technieken zijn zoals Just Enough Admin (JEA) of het uitgangspunt van Least Privilige, ze zijn allemaal toegepast bij de bouw. En dus is Azure Stack ‘secure by default’.

The Intelligent Edge

De rode draad door alle sessies was de opkomst van Artificial Intelligence. Dit zal veel veranderen. Bijvoorbeeld als ‘response’ op incidenten. John Lambert toonde hoe Windows Defender ATP combineert met Artificial Intelligence van Microsoft in de cloud, en dat ze daarmee in 14 minuten na het vinden van ‘unknown malware’ op de eerste PC, het konden identificeren als malware #BadRabbit en daarna een hash naar alle Windows 10 PC’s stuurde wereldwijd waarna ze niet meer vatbaar waren voor de malware.

Een interessant detail is dat er zowel in de cloud Artifical Intelligence wordt toegepast, maar ook lokaal. In Windows Defender draait ook processen die al eerste ‘intelligentie’ toepast op die processen en bestanden die het ziet en bewaakt. Dat doet terugdenken aan de keynote van Satya Nadella op Ignite vorig jaar en dat Microsoft in veel producten intelligentie wil toepassing, en noemde dit: the Intelligent Edge.

In de sessie van Matt Tait van de University of Texas werd Artificial Intelligence ook getoond in de context van een andere vorm van cybercrime: misinformatie verspreiden (bijvoorbeeld om een beurskoers te beïnvloeden). Een realtime video werd getoond van een bijna niet van echt te onderscheiden nieuwsprogramma en nieuwslezer die “nieuws” oplas. In werkelijkheid was dit een render van de persoon en studio, en een text-to-voice engine.

Ook werd er door Matt een toekomst geschetst waar hackers andere manier gaan gebruiken om mensen te laten betalen. Nu versleutelt ransomware vaak je bestanden, waarna je geld moet betalen om het terug te krijgen. Bedrijven werken hier over het algemeen omheen door een restore van de data te doen. Maar wat als een zero-day gat in soft- of hardware wordt gebruikt om juist de data te stelen. En dat vervolgens Artificial Intelligence in die hele berg data ontdekt welke bestanden of foto’s belangrijk zijn. En dat die dan dag-na-dag online worden gezet en publiek worden gemaakt. Denk aan geheimen die bedrijven liever niet met concurrenten delen (bijvoorbeeld: het recept van coca cola). Hackers zullen dan geld gaan vragen om ze te laten stoppen met het delen van die data. Een hele andere wending; en iets waar bedrijven mogelijkerwijs wel de portemonnee voor trekken. Een extra reden om veiligheid van je systemen te verhogen.

Artifical Intelligence

Kortom, Artifical Intelligence is het nieuwe normaal. Ook in de security wereld. Met de kracht van cloud computing is het ook voor hackers beschikbaar tegen minimale kosten. Gelukkig is Artificial Intelligence er ook voor de beveiliger. Microsoft investeert er enorm in, en voegt in rap tempo Artificial Intelligence aan haar producten toe (ATP, Windows Defender, etc).

SHARE
Maarten Goet

Director

Benieuwd welke maatregelen je als organisatie kan nemen?
InSpark helpt! We komen graag vrijblijvend langs om het hier met je over te hebben.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Ontvang als eerste uitnodigingen voor webinars en events. Schrijf je nu in!