Waarom “traditionele” anti-virus niet meer werkt

Tot enkele jaren geleden waren de anti-virus- en anti-malware oplossingen voor endpoint devices zoals laptops en mobiele telefoons nog uitsluitend “traditioneel”. Dat wil zeggen dat ze werken op basis van “signatures” die aan malware-bestanden worden toegekend. Om de beveiliging op punt te houden, moeten die signatures van nieuwe malware-bestanden via updates naar de endpoints gestuurd worden.

In het hedendaagse IT-landschap en door de toenemende complexiteit van cyber-aanvallen (bijvoorbeeld Zero Day exploits, Malware-as-a-Service, ...) is dit type endpoint-beveiliging echter niet meer afdoende om de gebruiker te beschermen. 

Inmiddels zijn er een heel aantal producten beschikbaar die werken op basis van artificiële intelligentie. Die zijn beter bestand tegen onbekende of nieuwe gevaren (zoals file-less malware) dan signature-based oplossingen. Dat is omdat artificiële intelligente ervoor zorgt dat de technologie zichzelf voortdurend bijstuurt en malware kan identificeren nog voor die schade aanricht. Concreet leunen deze next-generation endpoint-oplossingen op de mathematische analyse van bestandseigenschappen om te bepalen of een bestand legitiem of malafide is en daardoor kunnen ze ook zonder Internet-connectie en bijgevolg zonder signature updates veel beter hun werk doen.

Kan uw firewall geëncrypteerd verkeer aan?

In een hedendaagse en degelijk beveiligde IT-omgeving passeert een groot deel van de gebruikerstraffiek door een firewall. In het beste geval kan er op die manier inzage verkregen worden in het verkeer en kan malware worden gestopt.
De laatste jaren zien we echter een enorme toename aan versleuteld verkeer (encryptie). Versleuteling is een goede zaak: het belet dat derden de mogelijkheid hebben om de netwerktransacties in te kijken. Omdat versleuteling echter ook zeer rekenintensief is, wordt het steeds moeilijker of zelfs onmogelijk om op de firewall nog inspectie (en dus preventie) in te regelen. Goed geëncrypteerde connecties  kunnen namelijk niet ingekeken worden door een firewall. 
Om hieraan tegemoet te komen, dien je preventiemaatregelen te nemen op het endpoint zelf, waar de geëncrypteerde sessie opengebroken wordt. Bovendien gebruikt een groot deel van de kleinere organisaties hun firewall als perimeter-firewall maar nog niet voor interne netwerksegmentatie. Wanneer de firewall enkel over de perimeter en niet over het hele netwerk “waakt” en er dus geen sprake is van netwerksegmentatie, zal malware die toch binnenraakt zich ongehinderd lateraal door de organisatie kunnen verspreiden. Alleen een degelijke next-generation endpoint security-oplossing kan zulke malware tegenhouden. 

Toegevoegde waarde van security frameworks

De meest recente ontwikkeling bij veel fabrikanten van cybersecurity-oplossingen bestaat erin om niet langer op zichzelf staande oplossingen aan te bieden, maar een volledig raamwerk dat over de hele lijn bescherming kan bieden en waarbinnen de componenten (zoals firewalls, endpoint security-oplossingen, remote access-oplossingen, etc.) ook naadloos met elkaar integreren en communiceren.
Zo’n security framework brengt twee grote voordelen met zich. 
Enerzijds zorgt een dergelijk raamwerk ervoor dat het makkelijker is geworden om op een naadloze en consistente manier security policies af te dwingen. De informatie rond gevonden malware kan eveneens makkelijker verspreid worden tussen de raamwerkcomponenten, wat een betere bescherming biedt.
Daarnaast faciliteert dit het verzamelen van logs van de verschillende componenten uit het raamwerk op één centrale plaats (lokaal of in de cloud). Dat kan bijvoorbeeld in een security dashboard. 
Los van elkaar zijn deze logs weinigzeggend. De kracht zit hem echter in het toepassen van machine learning op deze geconsolideerde logs met als doel anomaliëen te vinden in gebruikersgedrag en dit desgewenst te kunnen rapporteren of blokkeren.  
Het analyseren van log-informatie en gedragspatronen (UEBA - User and Entity Behaviour Analytics) wordt hierdoor een stuk toegankelijker gemaakt, ook voor kleinere organisaties, en wordt door veel bedrijven gezien als de volgende stap naar het opwaarderen van hun cybersecurity anno 2020.

(Bovenstaande bijdrage kwam tot stand in samenwerking met SecureLink nv.(Wommelgem))

Meer info: 03/641.95.95 of http://www.securelink.be.