Ian Pratt: HP neemt gebruiker in bescherming
Endpoints zijn in toenemende mate de toegangspoort voor kwaadwillenden. HP’s Endpoint Security Controller, ingebouw in de zakelijke PC’s, is een voorbeeld hoe HP voortdurend de computer zodanig ontwerpt om security bedreigingen het hoofd te bieden. “Er gebeurt veel bij dit bedrijf; uitermate interessant. Daarom blijf ik ook hier”, zegt de oud-academicus Ian Pratt (foto).
Pratt was professor aan de Universiteit van Cambridge. Hij werkt nu vijf jaar bij de computerfabrikant en is verantwoordelijk voor de beveiligingsmogelijkheden die het bedrijf in zijn pc's inbouwt, maar ook voor de software en diensten.
Tijdens zijn academische carrière heeft hij vier start-ups opgericht, waarvan er drie zijn verkocht aan grote Amerikaanse bedrijven. Hij is, laten we zeggen, niet onbemiddeld. “Ik denk dat veel mensen verwachten dat ik wegga. Maar ik heb veel plezier bij HP. Het is een interessante plek om nu te zijn.”
Wij spreken hem tijdens HP Imagine 2024 op het hoofdkantoor in Palo Alto, Californië.
Moeilijk om endpoints te beveiligen
Hij stelt dat er eigenlijk in de afgelopen twintig jaar nauwelijks iets is veranderd: toen probeerden hackers via endpoints binnen te komen en dat is nog steeds het geval. Gek genoeg is de aandacht, zo vindt hij, van de beveiligingsindustrie vooral gericht op servers, en in mindere mate op endpoints.
“Zeventig procent van alle inbraken begint op een endpoint en dat cijfer groeit elk jaar omdat het een industrie is. Het is steeds moeilijker om endpoints te beveiligen, omdat steeds meer plug-ins en meer dingen in de browser draaien; dat geeft meer complexiteit en meer mogelijkheden voor social engineers om gebruikers te laten klikken op de verkeerde linkjes. Het wordt steeds makkelijker voor aanvallers om dat te doen en dat is een van de gebieden waar generatieve AI ze echt heeft geholpen.”
Moerstaal
Pratt zegt dat mensen gewend zijn om emails die opgesteld zijn in een voor hen vreemde taal te wantrouwen. “Maar als het in jouw moerstaal is opgesteld, zijn velen geneigd het te vertrouwen en erop te klikken. Maar nu zien we dat aanvallers generatieve AI gebruiken om perfect grammaticaal correcte, goed geschreven phishing e-mails te maken in hun eigen taal. En dat veroorzaakt dat gebruikers in veel landen veel vaker op malafide links klikken dan voorheen. Mensen kunnen niet meer zaken in hun moerstaal vertrouwen.”
Een andere trend is volgens hem dat criminelen op internet heel veel persoonlijke informatie kunnen vinden en zo perfecte, geautomatiseerde phishing lokroepen kunnen creëren.”
Als derde trend noemt hij het trickle down effect, verwijzend naar ‘statelijke’ aanvallers die heel veel mogelijkheden hebben om geavanceerde aanvallen te maken. Die raken openbaar en worden gebruikt door de geavanceerde criminele organisaties en vervolgens soor de minder geavanceerde; en dan komt het in hacktoolkits”.
Hij ziet dat veel aanvallers via het endpoint binnen willen komen. “Dat gebruiken ze als bruggenhoofd om zich door het bedrijf te verplaatsen en toegang te krijgen tot systemen met een hogere waarde en hun doel is om zoiets als de domeincontroller of de AWS-webconsole te bemachtigen en dan kunnen ze het bedrijf losgeld laten betalen en miljoenen dollars eisen om betaald te worden om dingen te ontgrendelen.”
Hoe bescherm je het endpoint
Wat kan HP doen? “Wij hebben geinvesteerd om voorop te lopen op security. Een van de zaken is het inbouwen van een hypervisor in de onze PC’s. We hebben jarenlang samengewerkt met Intel, AMD en ARM om mogelijkheden in de hardware te krijgen. Dat betekent dat wanneer je klikt op een email bijlage iets download van het internet of iets opent van een USB-stick, we een virtuele machine op je laptop maken die deze taak isoleert. De aanval wordt dan alleen in die ‘sandbox’ gepareerd, en heeft dus geen enkele invloed op de rest van het systeem. Er zal niets zijn voor de aanvaller om te stelen. En als je klaar bent met het lezen van dat document en op Sluiten klikt, verwijderen we die virtuele machine.”
“Onze klanten hebben meer dan 45 miljard risicovolle documenten geopend, ener nog nooit een ontsnapping geweest van een van deze virtuele machines. Dat doen we al tien jaar.”
De Endpoint Security Controller valideert of de PC firmware met malware is besmet voordat de CPU weer kan opstarten. Als de firmware is aangetast, zet de chip in het geisoleerde flash geheugen een nieuwe schone kopie neer. Daarmee bescherm je de integriteit van de PC firmware en zorg je voor weerbaarheid tegen aanvallen.
“We hebben in de loop der jaren heel veel van die machines verscheept met die chip erin. We zijn nu bezig met onze vijfde chipgeneratie. En in al die tijd hebben we nog nooit een machine gezien waarvan de firmware permanent was gecompromitteerd.”
Designing hardware for AI en security
HP gebruikt Neural Processing Units (NPU’s) om AI-rekentaken af te handelen. Hiermee is de CPU vrij om iets anders te doen; bovendien zijn ze energiezuiniger. “Hiermee kunnen we meer doen op het gebied van detectie en misschien wel naar 98% gaan. En dat helpt allemaal. We zijn zeker early adopters in die technologie en dat heeft voordelen vanuit het oogpunt van gebruikerservaring. En we geloven dat het ook voordelen heeft qua effectieve detectie capaciteiten. Doeltreffendheid van de detectiemogelijkheden. We hebben technologie nodig die ons kan verdedigen.
Quantum computers kunnen bijvoorbeeld worden ingezet om de cryptografie die wordt gebruikt te doorbreken. “We hebben er iets aan gedaan. Onze endpoint Security Controller, waarvan we een nieuwe versie hebben gemaakt en die in maart van dit jaar is uitgebracht, implementeert feitelijk Quantum resistente cryptografie. Dus kunnen ze de signatures op onze firmware niet breken. Dat hebben we gedaan met het oog op de toekomst waarin criminelen quantum computers gaan inzetten. Misschien gebeurt dat over vijf, tien jaar. Wij zijn al voorbereid.”
HP Wolf Security is een uitgebreide set maatregelen (zowel in hardware als software) om apparaten en gegevens te beschermen tegen aanvallen zonder hun productiviteit te benadelen. Het legt ook gedetailleerde sporen van infectiepogingen vast. Deze technologie beperkt bedreigingen die langs andere security tools glippen en biedt unieke inzichten inbraaktechnieken en het gedrag van de bedreigers.
Ook is er de mogelijkheid om een verloren of gestolen pc op afstand te lokaliseren, vergrendelen en wissen.