In de laatste maanden van het jaar en met de feestdagen in het verschiet is dit een goed moment om de inventaris op te maken en alvast vooruit te blikken op de toekomst van beveiliging, technologie en Digital Trust (digitaal vertrouwen).

In 2022 nam het aantal aanvallen toe en werden software supply chains een gewild doelwit voor criminelen. In een recent onderzoek onder 1000 CIO's zegt 82% van hen dat hun bedrijf kwetsbaar is voor aanvallen die gericht zijn op de software supply chains. Kortom, security-professionals kunnen niet bepaald op hun lauweren rusten. Dus wat heeft 2023 voor ons in petto? Ons team van cybersecurity-experts, dat bestaat uit Avesta Hojjati, Dean Coclin, Mike Nelson, Srinivas Kumar, Stephen Davidson, Steve Job en Tim Hollebeek, vertelt wat zij verwachten voor het komende jaar.

Quantumcomputers gaan cryptografische flexibiliteit afdwingen

Met de huidige technologie kost het nog heel veel tijd om 2048-bits encryptie te kraken. Een flinke quantumcomputer zou dit echter in enkele maanden kunnen doen. Vorig jaar voorspelden we belangrijke ontwikkelingen op het gebied van post-quantumcomputers, omdat het NIST (het Amerikaanse National Institute of Standards and Technology) bezig was met het evalueren van cryptografische algoritmen die mogelijk niet zouden kunnen worden gekraakt door zowel traditionele als quantumcomputers.

NIST heeft nu een selectie gemaakt van een eerste groep encryptietools die zijn ontwikkeld met het oog op een aanval door een toekomstige quantumcomputer. De vier geselecteerde algoritmen gaan deel uitmaken van hun norm voor post-quantumcryptografie. Nu deze norm in ontwikkeling is, voorspellen wij dat er steeds meer aandacht komt voor cryptografische flexibiliteit, omdat quantumcomputers een aanzienlijke, toekomstige bedreiging vormen voor de veiligheid van online interacties. Hoewel het enige jaren zal duren voordat NIST de betreffende algoritmen heeft verwerkt in de diverse normen, moeten bedrijven zich nu al gaan voorbereiden; als het post-quantumtijdperk eenmaal is aangebroken, is het maken van een inhaalslag kansloos.

De bedrijfstak moet zich voorbereiden op post-quantumcryptografie door het verbeteren van de cryptografische flexibiliteit. Dat is de mogelijkheid van een beveiligingssysteem om snel te schakelen tussen encryptiemechanismen, waarbij met name de zichtbaarheid en dynamische bewegingsvrijheid van de cryptografische assets van een organisatie meetellen. Quantumcomputers lijken misschien nog toekomstmuziek, maar het is een feit dat de hedendaagse communicatie al in gevaar is, dus niet alleen de toekomstige. Cryptografische flexibiliteit betekent dat organisaties weten hoe cryptografie wordt gebruikt, ze beschikken over de tools voor het opsporen en oplossen van problemen, en ze een helder beleid hebben voor cryptografische best practices. Ook de mogelijkheid om nieuwe cryptografische algoritmen te testen maakt hiervan deel uit. Wij voorspellen dat cryptografische flexibiliteit een concurrentievoordeel wordt in de nabije toekomst.

Matter wordt een begrip

Matter is een norm voor smarthomes en een middel waarmee verschillende smarthome-apparaten met elkaar kunnen communiceren. Deze wereldwijde norm zorgt voor eenduidigheid in de bedrijfstak voor verbonden apparaten. Het doel van Matter is om de markt te vereenvoudigen en te faciliteren dat smarthome-apparaten met elkaar kunnen samenwerken, ongeacht het platform. Een aantal grote namen op het gebied van smarthome-technologie, zoals Google, Apple, Amazon en Samsung, doen allemaal mee aan Matter, dat naar verwachting een succes gaat worden voor zowel consumenten als fabrikanten.

Wij voorspellen dat consumenten actief op zoek gaan naar het Matter-logo voor hun smarthome-technologie. Consumenten die een smarthome-apparaat willen kopen, zullen zoeken naar het Matter-logo. In 2023 zal in elk slim huis wel een Matter-apparaat aanwezig zijn. Matter wordt net zo'n bekende norm als Bluetooth. De ondersteuning van Matter in iOS 16 van Apple is een goed voorbeeld van de snelle ingebruikname ervan.

Die snelheid betekent ook dat de fabrikanten van verbonden apparaten niet moeten treuzelen. Als ze hun compatibele apparatuur voorzien van het Matter-logo, kunnen klanten erop vertrouwen dat ze die apparaten naadloos en veilig kunnen verbinden met de producten van andere merken. Matter wordt ongetwijfeld de norm waar consumenten naar gaan zoeken bij het aanschaffen van smarthome-apparaten; daarom is het essentieel om er nu al voor te zorgen dat uw apparatuur reeds aan die norm voldoet.

Code-signing ontketent een race naar de cloud

Code-signing certificaten worden gebruikt door softwareontwikkelaars om applicaties, stuurprogramma's, uitvoerbare bestanden en software te ondertekenen. Daarmee kunnen eindgebruikers verifiëren dat de code die ze ontvangen niet is gewijzigd of gehackt door een derde partij. Code-signing certificaten bevatten uw handtekening, uw bedrijfsnaam en indien nodig een tijdstempel. OV-code-signing certificaten (Organization Validation) zijn vereist voor het aantonen van legitimiteit.

OV-code-signing certificaten veranderen. Binnenkort worden ze op fysieke hardware uitgegeven, net zoals dat nu al gebeurt met EV-code-signing certificaten. Vanaf juni 2023 moeten volgens het CA/B Forum, de toezichthouder op de SSL-branche, persoonlijke sleutels voor OV-code-signing certificaten worden opgeslagen op apparaten die voldoen aan FIPS 140 Level 2, Common Criteria EAL 4+ of een vergelijkbare beveiligingsnorm. Dit betekent dat certificaten op een USB-stick worden verzonden naar de klant of rechtstreeks op de Hardware Security Module moeten worden gezet.

Wij voorspellen dat deze veranderingen gaan leiden tot een massale overstap naar de cloud, zodat klanten niet zelf hun hardware-tokens hoeven te vervangen. Ook verwachten we dat code-signing in de toekomst in de cloud zal gebeuren, omdat klanten de cloud prefereren boven het onderhouden van een hardwaresleutel.

Aanvallen op de software supply chain maken 2023 het jaar van de SBOM

Geruchtmakende aanvallen op de supply chains van software, zoals de incidenten bij SolarWinds en Kaseya, hebben maar al te duidelijk aangetoond hoe belangrijk het is om te weten wat de afhankelijkheden zijn binnen je softwareketen. In 2021 vaardigde de Amerikaanse president Joe Biden een besluit uit voor het verbeteren van de nationale cybersecurity. Daarbij werden softwareverkopers verplicht om federale instanties die hun software kopen te voorzien van een Software Bill of Materials (SBOM) voor elke applicatie. Een SBOM is een lijst waarin wordt beschreven uit welke onderdelen de software bestaat, welke bibliotheken er aanwezig zijn in de applicatiecode en welke services, afhankelijkheden, samenstellingen en uitbreidingen de applicatie omvat.

Bedrijven in de particuliere sector zijn steeds vaker verplicht een SBOM aan te leveren, omdat grote ondernemingen dat als eis stellen in hun raamovereenkomsten met softwareleveranciers. Beveiligingsanalisten denken dat het hebben van een SBOM snel een standaardvereiste wordt binnen het inkoopproces.

Onlangs ging het Amerikaanse Office of Management and Budget nog een stapje verder door een lijst met nieuwe beveiligingsvereisten op te stellen waaraan overheidsinstanties moeten voldoen met betrekking tot de beveiliging binnen de softwareaanvoerketen. Volgens de nieuwe vereisten moeten softwareproducenten hun compliance met NIST aantonen. Dus moeten ze, als ze hun software aan de overheid willen verkopen, die software evalueren en certificeren dat die voldoet aan de richtlijnen van NIST.

Dit leidt ertoe dat softwareproducenten zich meer bezig moeten houden met de veiligheid van hun software – en zichtbaarheid speelt daarbij een essentiële rol. Wij voorspellen dat dankzij de informatie over en zichtbaarheid van de software suppy chains die de SBOM gaat verschaffen, deze op grote schaal gebruikt gaat worden in 2023. Hoewel de meeste vereisten nu alleen nog gelden voor overheidsinstanties, verwachten we dat de SBOM ook in de commerciële markten belangrijk gaat worden.

Fysieke simkaarten worden vervangen door eSIM- en iSIM-technologie

Vrijwel iedereen zal bekend zijn met de Subscriber Identity Module, oftewel simkaart: het kaartje in een mobiele telefoon dat fysiek moet worden verwisseld wanneer het apparaat waarin het zich bevindt van netwerk verandert. Een nieuwe technologie is Embedded SIM (eSIM), geïntroduceerd als alternatief voor de traditionele SIM-technologie. Een eSIM is ook een fysieke kaartje, maar het verschil is dat dit kaartje permanent aanwezig is in een apparaat. Het updaten van de gegevens op een eSIM kan worden gedaan door middel van een oplossing voor 'remote SIM provisioning' (RSP).

De volgende stap is dan de Integrated SIM (iSIM), die veel kleiner en veiliger is dan fysieke simkaarten. Een iSIM vereist geen aparte processor en is aanzienlijk kleiner waardoor hij dus nauwelijks ruimte inneemt in de hardware. De iSIM bevindt zich in een veilige en vertrouwde omgeving binnen de SOC-architectuur (system-on-a-chip) van een apparaat. Hiermee wordt de functionaliteit van een simkaart geïntegreerd in de hoofdprocessor van het apparaat.

Sommige toonaangevende bedrijven zoals Qualcomm en Vodafone hebben met een proof of concept aangetoond dat een iSIM het einde van de simkaartsleuf kan betekenen. Wij voorspellen dat de volgende generatie smartphones geen simkaart meer nodig heeft en gebruik gaat maken van eSIM en iSIM als vertrouwensbasis.

De Europese digitale identiteit en digitale portemonnee (EU Wallet) worden een voorbeeld voor de rest van de wereld

De Europese digitale identiteit is een initiatief van de Europese Commissie binnen de eIDAS-verordening, voor het opzetten van een eenduidig digitaal identificatiesysteem binnen Europa. Met de Europese digitale portemonnee kunnen Europese burgers een eID-versie van hun officiële identificatiebewijs bij zich dragen in een beveiligde applicatie op hun mobiel, en zich daarmee online authentiseren en digitale handtekeningen zetten. Daarnaast bevat de portemonnee persoonlijke elektronische 'attributen' (bepaalde aanvullende identiteitsdocumenten, zoals een professionele kwalificatie), die tegelijk met of afzonderlijk van de persoonlijke identiteit kunnen worden getoond. De EU heeft belangrijke grensoverschrijdende projecten gepland op het gebied van financiële dienstverlening, onderwijs en gezondheidszorg.

Wij voorspellen dat net zoals Apple Pay en Google Pay op grote schaal worden gebruikt voor digitale betalingen, de Europese digitale portemonnee (EU Wallet) een model wordt voor digitale identiteit dat in de rest van de wereld navolging zal krijgen. Wanneer het juridische kader en de beleidsregels in Europa zijn ingevoerd, zullen gebruikers er geen problemen mee hebben hun digitale portemonnee te gebruiken voor het opslaan van hun gegevens en het delen daarvan indien nodig. Natuurlijk betekent een overstap naar het grootschalige gebruik van een digitale portemonnee dat ook digitaal vertrouwen wijdverspreid moet zijn.

Het belang van DNS blijft toenemen

Het belang van DNS wordt steeds groter naarmate het gebruik van DevOps-automatisering en Infrastructure-as-code blijft toenemen.

Omdat ontwikkelteams zich blijven uitbreiden en zich wereldwijd verspreiden, zijn Continuous Integration en Continuous Development belangrijker dan ooit voor het op peil houden van de productiviteit. Aangezien ontwikkelaars verbinding moeten maken met systemen over de hele wereld, is het cruciaal dat DNS-wijzigingen kunnen worden geautomatiseerd.

Infrastructure-as-code zal blijven groeien als best practice voor organisaties van elke omvang. Omvangrijkere serverimplementaties worden uitgerold en geautomatiseerd om automatisering en voorspelbaarheid te bieden.

DNS-services hebben een hoge uptime en hoge snelheid, en het snel kunnen bijwerken van DNS-gegevens wordt onmisbaar voor bedrijven. Goed gedefinieerde APIs, SDKs en integraties zullen van vitaal belang zijn voor de productiviteit en betrouwbaarheid van organisaties.

Criminelen maken misbruik van zero trust

Nu zero trust bezig is de standaardbenadering van beveiliging van IT-systemen te worden, voorspellen wij dat criminelen hun aanvalsmethoden zullen veranderen om zero trust-frameworks te omzeilen.

Criminelen gaan ook nieuwe technologieën gebruiken om hun aanvallen vaker te laten slagen. Technologieën zoals kunstmatige intelligentie en adversarial machine learning zouden kunnen worden gebruikt door een kundige aanvaller om kwetsbaarheden te vinden in een zero trust-omgeving die niet goed is geïmplementeerd. Dit geeft wel aan dat het implementeren van een nieuw framework geen definitieve eindoplossing is. De zoektocht naar goede beveiligingsframeworks kan nooit stoppen, omdat de aanvalsmethoden veranderen zodra we nieuwe hindernissen ontwerpen en opwerpen.

We hebben al gezien hoe tegenstanders gebruik kunnen maken van AI en ML om standaardbeveiligingsoplossingen te omzeilen en zogeheten 'fuzzy attacks' met behulp van AI uit te voeren. De toekomst zal uitwijzen hoe een dynamische benadering van zero trust ons kan beschermen tegen een doorgewinterde tegenstander.