Het menselijk immuunsysteem: wapen in de strijd tegen cyberaanvallen
Kunnen we de kennis van het afweermechanisme van het menselijk lichaam tegen virussen en bacteriën toepassen binnen een ICT-infrastructuur en zo cyberaanvallen buiten de deur houden? Het op zelfherstel gebaseerde beveiligingsproject laat verrassende resultaten zien.
Kunnen we cybersecurity verbeteren door lessen te leren uit hoe het menselijk lichaam zich verdedigt tegen aanvallen van virussen en bacteriën? De partners die betrokken zijn bij het self-healing projectteam hebben positief gereageerd op deze vraag in het Shared Research Programme (SRP) Cybersecurity. In het nieuwe Partnership for Cyber Security Innovation (PCSI) zoeken de experts nog effectievere oplossingen die tot de verbeelding spreken.
De verdediging tegen cyberaanvallen staat bij grote organisaties zoals banken, energiebedrijven, telecombedrijven, overheidsinstellingen en vervoerders hoog op de agenda. Het probleem is dat ze de ratrace dreigen te verliezen. Steeds als de aanvaller iets nieuws bedenkt, moet het slachtoffer een verdedigingsmechanisme vinden. En zodra nieuwe bescherming is gevonden, komt de aanvaller met een manier om die te kraken.
“Die ratrace wilden we doorbreken”, kijkt Bart Gijsen van TNO terug. “Daarvoor lieten we ons inspireren door een mechanisme uit de natuur: de strijd van het menselijk lichaam tegen virussen en bacteriën. In het SRP Cybersecurity besloten we de parallellen te bestuderen tussen de verdedigingsmechanismen van het menselijk immuunsysteem en de ICT-kant van cybersecurity.”
Eens in de zoveel tijd vervangt het menselijk lichaam zijn eigen biologische cellen
Vernieuwingsproces
Een fundamenteel verschil tussen ICT-systemen en het menselijk lichaam is disposability. Afhankelijk van het orgaan gebeurt het sneller of trager, maar eens in de zoveel tijd vervangt het menselijk lichaam zijn eigen biologische cellen. Ook het immuunsysteem gebruikt dat principe. Als het verwacht dat cellen zijn besmet met een virus, start al snel een vernieuwingsproces.
“In de ICT kennen we dat niet”, stelt Gijsen. “Daar is het adagium: het werkt, vooral van afblijven en zo lang mogelijk laten draaien. Vandaar dat we het mechanisme van disposability als een van de eerste vraagstukken hebben onderzocht: hoe zou je moderne ICT-technologie kunnen gebruiken om ook in ICT-infrastructuur ten behoeve van cybersecurity tot een automatisch vernieuwingsproces te komen?
Disposability en decentralisatie als belangrijkste verschillen
Een van de deelnemers aan het SRP Cybersecurity is Rogier Reemer van Achmea. Reemer werkt als enterprise-architect, maar omdat hij oorspronkelijk afstudeerde als immunoloog, weet hij specialistische kennis in te brengen. “Disposability is inderdaad het belangrijkste verschil. Maar wat ook een essentiële rol speelt, is dat het menselijk lichaam gedecentraliseerd werkt.” Reemer legt uit: “Op een computernetwerk draait centrale beveiligingssoftware. Zodra de aanvaller een laptop hackt, wordt die buitengesloten en is de rest van de laptops veilig. Maar in het menselijk lichaam draait iedere cel zijn eigen scans. Als een cel is geïnfecteerd zet hij zichzelf uit en geeft hij een waarschuwingssignaal aan alle andere cellen, dus zonder aansturing van bovenaf.
Bij abnormaal gedrag wordt een container per direct getermineerd
De uitdaging is dus om een systeem te bouwen dat gedecentraliseerd is en tegelijkertijd zichzelf repareert. Gijsen: “In een proof-of-concept bouwden we een zelf regenererende ICT-omgeving waarin de containers, een soort virtuele computerservers, zichzelf met enige regelmaat vernieuwen. Dat deden we door functionaliteit toe te voegen aan het bestaande softwareplatform Kubernetes.”
In de volgende stap gaat het erom het moment te detecteren waarop een container abnormaal gedrag begint te vertonen. Ook daar slagen de onderzoekers in. In plaats van te wachten tot de timer voor een specifieke container afloopt, wordt die container bij abnormaal gedrag per direct getermineerd. Deze toevoeging van anomaliedetectie maakt het zelf regenererende systeem ook nog eens adaptief.
“We hebben laten zien dat self-healing geen loze term is”, aldus Gijsen. “Je kunt er daadwerkelijk een architectuur mee opzetten die cyberverdediging in veel hogere mate automatiseert dan nu het geval is. In het hele arsenaal is dit een fundamenteel mechanisme om aanvallers te kunnen verslaan en verdedigers steun te bieden om hun werk goed te doen.”
“De afgelopen 50 jaar hebben we een razendsnelle technologische ontwikkeling meegemaakt”, vult Reemer aan. “Dat is fantastisch. Ik geniet van die vooruitgang. Maar het is zonde om niet meer te kijken naar de miljarden jaren aan leven en systemen die om ons heen zijn ontwikkeld. Die kunnen we niet allemaal overnemen, maar er valt wel veel van te leren.”
Hoe groter het fundament, hoe veiliger we de maatschappij kunnen maken
Pijlen op nieuwe kortcyclische innovaties
Hoe nu verder? Reinder Wolthuis is programmamanager bij TNO voor zowel het afgeronde SRP Cybersecurity als voor het nieuwe PCSI. “Samen met ABN AMRO, Achmea, ING en de Volksbank richten we onze pijlen op volgende innovaties in cybersecurity. Om de innovaties beter te laten aansluiten bij actuele ontwikkelingen kiezen we voor kortcyclische innovatie en een agile manier van werken.
Elk kwartaal selecteren de partners relevante thema’s en aan de hand daarvan start het PCSI innovatieprojecten. Wolthuis: “Denk bijvoorbeeld aan geautomatiseerde honeypots, waarmee je aanvallers lokt om meer te leren over hun gedrag. We gaan een geavanceerde honeypot ontwikkelen die alle kenmerken vertoont van een echte organisatie, zodat de aanvaller op een verfijnde manier wordt misleid.”
Wolthuis komt graag in contact met organisaties die zich bij het PCSI willen aansluiten. Het gaat om grote organisaties uit alle sectoren met een volwassen securityafdeling die, net als de banken, core-partner willen zijn. Maar ook om kleinere partijen die willen meedoen aan het PCSI-ecosysteem om specifieke kennis in te brengen of resultaten te exploiteren.
“Hoe groter het fundament, hoe veiliger we de maatschappij kunnen maken. Als core-partner investeer je tijd en geld. Maar daartegenover staat een groot volume aan onderzoek naar de problemen die op ons afkomen, inspraak over de onderwerpen en onmiddellijke toegang tot de resultaten.”
Deel deze pagina