Tijdens de Trend Micro World Tour te Rotterdam bleek hoe divers het aanbod van de securitypartij is. Echter wilden we eens weten hoe de verschillende disciplines binnen Trend Micro samenkwamen. Met actuele incident response en toekomstgerichte threat research dekt het bedrijf twee zeer uiteenlopende takken van sport. Wat levert de optelsom op voor Trend Micro en voor organisaties?
Bij Trend Micro bestaat er een nauwe samenwerking tussen het incident response (IR) team en het forward looking threat team. Rense Buijen, Head of Global Incident Response, Red Team & Dedicated Intelligence Research, benadrukt het belang om te weten welke cyberdreigingen eraan komen. Voor het IR-team levert dit waardevolle context bij actuele dreigingen. Omgekeerd zorgt de informatiestroom ervoor dat het team van Feike Hacquebord, Principal Threat Researcher, gerichter kan onderzoeken.
Ondanks de raakvlakken bestaat er een duidelijke taakverdeling. Buijen legt uit: “Feike en zijn team zijn bezig met de dreigingen van morgen.” Het team van Hacquebord houdt zich echter niet enkel bezig met de verre toekomst; vijf jaar vooruit kijken is op securitygebied een eeuwigheid. Het komende halfjaar is beter in te schatten, bijvoorbeeld. Hacquebord verduidelijkt: “Soms vinden aanvallen al plaats in bepaalde sectoren, maar nog niet elders.” Door vroegtijdig te ontdekken dat bepaalde aanvalsmethoden of -tactieken prominenter worden in specifieke industrieën of regio’s, kan Trend Micro organisaties in andere sectoren of gebieden preventief beschermen.
Vooruitziende blik op cyberdreigingen
Rusland fungeert als een van deze ‘kanaries in de kolenmijn’ en staat bekend als innovatief op het gebied van cyberaanvallen, “als je het zo mag noemen,” zoals Hacquebord het omschrijft. Dit heeft tevens betrekking op het businessmodel van cybercriminelen, dat voortdurend evolueert en veel leert van legitieme industrieën. Denk aan darkweb-marktplaatsen, specialisaties en Bring-Your-Own-Malware. Dit fenomeen van Russische vooruitziendheid was al zichtbaar bij de aanvankelijke opkomst van ransomware jaren terug, aldus Hacquebord.
Om inzicht te krijgen in toekomstige dreigingen bestudeert Trend Micro zorgvuldig criminele circuits. Hierbij hanteert het bedrijf strikte grenzen: “Het beleid is dat we nooit [criminelen] betalen. We hacken ook niet.” Hacken in het publieke belang is voorbehouden aan politiediensten, en ook alleen in specifieke gevallen. Wel werkt Trend Micro samen met legitieme organisaties die nuttige data verzamelen uit de digitale onderwereld. Hoewel zij eveneens zich aan de wet moeten houden, duiken zij mogelijk dieper in het darkweb dan Trend Micro. Het bedrijf vertrouwt verder op lekken uit criminele groepen, wat vaak waardevolle informatie oplevert. Deze collectieven hebben er gelukkig een gewoonte van gemaakt om onderling te ruziën. Zo ontdekte men bijvoorbeeld dat de beruchte Black Basta-bende Trend Micro als een lastige tegenstander beschouwt: “Dat is leuk om te lezen. Wel wisten we het pas nadat iemand dat had gelekt.”
Naast ondergrondse communicatie analyseert Trend Micro intensief internetverkeer voor indicatoren van dreigingen. Deze diepgaande monitoring vergt aanzienlijke investeringen. Hacquebord merkt op dat verzamelde informatie soms pas jaren later relevant blijkt. Een illustratief voorbeeld dateert uit 2015, toen Trend Micro waarschuwde voor de grote hoeveelheden data die auto’s verzamelden. Pas jaren later publiceerde Mozilla een scorekaart die verschillende autofabrikanten bekritiseerde vanwege het ongevraagd verzamelen van persoonlijke gegevens. Dit roept de vraag op: loopt Trend Micro zo ver vooruit of reageert de rest van de wereld gewoon traag?
Unieke informatiepositie
Het is strategisch verstandig om de voorspellingen van Trend Micro’s onderzoekers over toekomstige gevaren in de gaten te houden. Weinig organisaties bieden vergelijkbare inzichten. Door substantiële investeringen en wereldwijde aanwezigheid beschikt het bedrijf over wat Buijen een “riante informatiepositie” noemt. Dit resulteert in diepgaande kennis over staatsactoren, cybercriminelen en nieuwe ontwikkelingen in het gehele cyberlandschap. Deze expertise vormt de basis voor Trend Micro’s producten en diensten, maar ook voor hun overkoepelende deskundigheid.
Buijen constateert dat ransomware nog steeds dominant blijft, maar anno 2025 nieuwe ontwikkelingen vertoont. Er is een toename van intimidatietactieken om de druk voor losgeldbetalingen op te voeren. Aanvallers bellen medewerkers, versturen dreigmails en lekken persoonlijke gegevens (doxxing). Hierdoor krijgt een ransomware-incident een persoonlijke dimensie, in plaats van slechts een zakelijk probleem te zijn. Deze nieuwe tactieken veroorzaken aanzienlijke mentale druk bij slachtoffers, bovenop de financiële schade die gemiddeld circa 5 miljoen euro per getroffen organisatie bedraagt.
Ook DDoS-aanvallen blijven populair. Hoewel deze als relatief eenvoudig bekend staan, wat volgens Buijen terecht is ondanks dat sommige getroffen organisaties spreken over “geavanceerde DDoS”-methodes. Uiteindelijk draait het simpelweg om het genereren van zoveel mogelijk verkeer om systemen plat te leggen. Deze aanvalsvorm wordt regelmatig ingezet als extra drukmiddel naast ransomware.
Betalingen en preventie
Veel slachtoffers kiezen er uiteindelijk voor om losgeld te betalen. Hoewel de legaliteit van zulke betalingen soms onduidelijk is, kan het in bepaalde gevallen wel toegestaan zijn, bijvoorbeeld na overleg met overheidsinstanties. Trend Micro onthoudt zich van onderhandelingen met aanvallers: “Wij geven geen advies,” verklaart Buijen. Hij erkent dat de afweging om wel of niet te betalen per situatie verschilt, aangezien Trend Micro niet volledig inzicht heeft in de financiële overwegingen van klanten. Sommige organisaties gaan zelfs failliet door de gevolgen van ransomware.
Trend Micro richt zich primair op het beperken van schade en het minimaliseren van downtime. Forensische informatie over gestolen data is waardevol, niet alleen vanuit compliance-perspectief, maar ook om de ernst van een aanval te bepalen. Op basis hiervan kan een organisatie zelf beslissen over een eventuele betaling. Buijen stelt: “Dat is echt een business-afweging. Dat is niet iets waar wij een bepaalde mening over hebben.” De grootste successen van Trend Micro zijn moeilijk te kwantificeren, omdat in die gevallen aanvallen volledig worden voorkomen of afgeweerd.
Preventieve aanpak
De focus van Trend Micro ligt op het vroege stadium van cyberdreigingen. Door de technische aard van huidige aanvallen te analyseren, worden inzichten ontwikkeld om toekomstige gevaren af te wenden. Toch blijft het volledig voorkomen van compromissen een uitdaging. Phishing zal uiteindelijk altijd wel een medewerker vangen – een realiteit waar organisaties rekening mee moeten houden. “Bewustwording is cruciaal,” benadrukt Buijen.
Trend Micro streeft ernaar organisaties te voorzien van handvatten en tools om risico’s te minimaliseren. Dit gebeurt in het besef dat cybercrime draait om opportunisme, waarbij de minst beschermde organisaties als eerste doelwit dienen. Met elke basale verdedigingsmaatregel wordt een organisatie een minder aantrekkelijk doelwit voor cybercriminelen.
Onderscheiden
Het is een understatement om te stellen dat er veel securityvendoren zijn. Een paar jaar geleden zouden er zo’n 3.500 zijn geweest; vermoedelijk is dit aantal niet of nauwelijks geslonken. Trend Micro moet zich hierbij kunnen onderscheiden van de concurrentie. Dat doet het onder meer door het gedegen onderzoek, dat volgens Buijen toonaangevend is binnen de industrie. Overigens moeten we die concurrentiestrijd niet zien als een reden tot ruzie. Securityonderzoekers zijn, zo stelt men bij Trend Micro, onderling vriendelijk naar elkaar. Ze hebben uiteindelijk hetzelfde doel voor ogen, in tegenstelling tot de cyberdreigingen die ze moeten trotseren.