Hoewel de grens van 75.000.000 (best veel als je het zo ziet…) malware samples is doorbroken, laat 2011 een minder harde groei van de hoeveelheid malware zien dan het jaar daarvoor. Het aantal nieuwe malware samples dat maandelijks is uitgekomen vertoont een daling over 2011. Dit geldt voor rootkits, Fake AV, Autorun en Password Stealers samples. Het aantal samples wat specifiek gericht is op mobiele devices en Mac OS is nog steeds vrij klein, maar dat zegt niet dat gebruikers van deze twee groepen veilig zitten.

Spam en Botnets
Ook de hoeveelheid Spam vertoont een lichte daling. Relaxt achterover zitten is er echter niet bij want eind 2011 kwam het totaal nog steeds op meer dan 1 biljoen (=10¹²) Spam berichten per dag. Tegenover de daling van de hoeveelheid Spam staat echter een verfijning van het soort Spam. Spammers worden steeds slimmer in het opstellen van mails en weten steeds meer accurate gegevens te bemachtigen, wat hun pogingen om onbeschermde ontvangers te misleiden succesvoller maakt.

Opmerkelijk is dat het aantal Botnets in Q4 juist weer is toegenomen. Botnets zijn vaak verantwoordelijk voor het verspreiden van grote hoeveelheden Spam. Waarom de hoeveelheid Spam afneemt bij een toenemend aantal Botnets is niet duidelijk.

Kwaadaardige websites
Het aantal kwaadaardige website dat er per dag in Q4 van 2011 bij is gekomen komt uit op 9.300! Natuurlijk waren de feestdagen in december voor cybercriminelen een mooie gelegenheid om mensen in de val te lokken. Dat is vermoedelijk ook de reden dat dit aantal iets hoger ligt dan in het kwartaal ervoor. Saillant detail over waar deze kwaadaardige websites worden gehost is dat Nederland op een ‘bedenkelijke’ tweede plek staat, achter de VS.

Het volledige McAfee rapport is te downloaden van de McAfee Website. In het rapport is ook nog interessante informatie te lezen over Cybercrime, Hacktivisme en de toename van het aantal datalekken.

Voor de bedreigingen die hierboven beschreven staan, zijn natuurlijk gedegen oplossingen beschikbaar. Denk hierbij aan Antivirus (voor Windows/MAC/Android) en Email of Web filtering. Voor meer informatie hierover kunt u natuurlijk contact met ons opnemen.

Informatietechnologie valt niet meer weg te denken uit het zakelijke en sociale verkeer. Met de toegenomen kracht, complexiteit en openheid van datastromen en middelen gaat echter ook kwetsbaarheid gepaard. Openheid houdt risico’s en bedreigingen in. Daarom luidt de centrale vraag in informatiebeveiliging: hoe kunnen wij zorgen voor werkbare veiligheid, met een perfecte balans tussen functionaliteit en veiligheid?

Dit boek wordt u aangeboden door Medusoft, adviseur in Werkbare Veiligheid. Al 10 jaar helpen wij als All-Round Security Specialist onze relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis maar juist met praktische oplossingen voor bedrijven en organisaties.

De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van Medusoft. De tekeningen zijn van Nicoline Heemskerk.

Hoe past informatiebeveiliging binnen uw doelstellingen en hoe krijgt u IT-security onder controle? Wij geven u met dit boek een helder beeld van hoe informatiebeveiliging volgens alle bekende normeringen zoals ISO procesmatig moet worden ingericht. Om het begrijpelijk te houden, wordt daarbij de parallel getrokken met de beveiliging van een bedrijfspand. Zo biedt dit boek u momenten van herkenning en hopelijk veel leesplezier.

McAfee heeft nu versie 10.0 van EMM uitgebracht. Nieuwe features in deze release:

• Bulk provisioning
  Bulk provisioning allows you to authorize many users at once. You can do so based on LDAP groups or by importing a list in comma-separated value (CSV) format.

• Blacklisting of mobile apps
  Security policies now allow you to blacklist specific mobile applications. Blacklisted apps prevent users from syncing their device if installed. The iOS Agent that supports this feature can be found in the Apple App Store. The Android Agent version 2.2 is available in the Android Market.

• Restrictions for iOS5
  New policy restrictions for iOS5 allow you to sandbox corporate email accounts, block untrusted SSL certificates, and control the following: iCloud sync, Siri (voice assistance), voice and data roaming, iTunes password caching, and checkout flags.

Naast deze nieuwe features heeft McAfee de performance van de oplossing verbeterd en zijn er een aanzienlijk aantal issues uit vorige releases verholpen.

Als u al beschikt over een geldige McAfee EMM licentie kunt u versie 10.0 downloaden van de McAfee website. Voor vragen of hulp bij de installatie kunt u natuurlijk contact met ons opnemen.

McAfee heeft Medusoft officieel geselecteerd als McAfee Authorized Support Provider. Hiermee is Medusoft dé zakelijke supportdesk geworden voor alle McAfee licentiehouders in Nederland. Medusoft neemt de 1ᵉ- en 2ᵉ lijnssupport van McAfee over en heeft rechtstreeks toegang tot de 3ᵉ lijnsspecialisten van het Amerikaanse beveiligingstechnologiebedrijf.

Medusoft is de enige IT-security dienstverlener in Nederland en Duitsland met de status van McAfee Authorized Support Provider (MASP). Volgens algemeen directeur Erik Remmelzwaal is dit een bevestiging van de kennis en expertise van Medusoft. “In 2011 beloonden klanten onze supportdesk met gemiddeld een 8,5. Naast onze efficiënte en deskundige support vinden klanten het erg prettig dat zij hun problemen 24/7 én in het Nederlands aan ons kunnen voorleggen.” Klanten van Medusoft zijn onder andere Imtech, ASML, het Ministerie van Economische zaken, Landbouw & Innovatie en het Erasmus Medisch Centrum in Rotterdam.

Het internationale onderzoeks- en adviesbureau Gartner heeft McAfee aangewezen als ‘leader’ voor endpoint protection platforms, zoals antivirus, en next generation intrusion prevention. In zijn rapport noemde Gartner de supportafdeling van McAfee een belangrijk aandachtspunt. Door de introductie van het MASP-programma wil McAfee de lokale support aan afnemers verbeteren. Remmelzwaal onderstreept dit: “Medusoft levert al jaren ondersteuning op het gebruik van McAfee producten. De oplostijden zijn aantoonbaar kort geweest en zullen naar verwachting nog korter worden doordat wij nu rechtstreeks kunnen schakelen met de beste technische specialisten van McAfee.”

In Europa zijn er naast Medusoft nog drie andere bedrijven die MASP-gecertificeerd zijn. Medusoft bevestigt met het MASP-certificaat haar unieke specialisme op het gebied van antivirus. “Onze kennis van endpoint protection is ongeëvenaard in Nederland. Bovendien implementeren wij het op een zeer werkbare manier bij organisaties: Medusoft zorgt voor een juiste balans tussen veiligheid en productiviteit”, verduidelijkt Remmelzwaal.

Medusoft is een full service IT-security dienstverlener en biedt hoogwaardige oplossingen voor endpoint protection, network security, data protection en risk & compliancy. Medusoft begeleidt haar klanten tijdens het gehele security-proces: van ontwerp tot implementatie. De dienstverlening van Medusoft bestaat uit strategisch advies, support & training en beheer (managed services).

Download hier dit (pers)bericht in PDF.

Ofir Arkin is de CTO en oprichter van Insightix. Bij het bezoeken van die website viel mij direct het McAfee logo op, en wat blijkt: 1 februari 2012 heeft McAfee dit bedrijf overgenomen…

Insightix was al onderdeel van het samenwerkingsprogramma van McAfee, de Security Innovation Alliance, wat wil zeggen dat vastgesteld is dat de producten van beide vendoren nu al goed met elkaar kunnen integreren. Over de samenwerking wordt het volgende geschreven:

“Total Risk Intelligence

McAfee and Insightix join forces to control risk according to the state of your network

You can’t secure what you can’t see. Insightix BSA Visibility provides total network visibility with real time network, device, and user intelligence to the McAfee® ePolicy Orchestrator® (McAfee ePO™) platform and to McAfee® Vulnerability Manager, enabling them to maintain network-wide, up-to-date, total risk visibility. Real-time awareness of all devices on the network combined with accurate vulnerability and policy violation information is critical for knowing and controlling the true security state of a network, and Insightix BSA Visibility delivers both.

By leveraging the integration between Insightix BSA Visibility, the McAfee ePO platform, and McAfee Vulnerability Manager, total risk visibility can be combined with up-to-the-minute threat information, and with specific countermeasures, creating a view of total risk intelligence that reflects the actual risk state of a network. Now users can focus security efforts on those assets that require immediate attention and that are of critical importance to a business based on more complete and accurate risk intelligence.

For more information download the joint solution brief.”

Een verdere opname in het McAfee portfolio van de producten van Insightix zal door deze reeds bestaande samenwerking vrij vlot verlopen.

Het bewerkstelligen van zichtbaarheid in het netwerk op basis waarvan gedegen security & risk management (SRM) kan worden toegepast, is 1 van de speerpunten van Medusoft de laatste jaren. Wij zien dat deze fundamentele stap bij veel organisaties is en wordt overgeslagen alvorens men technologie is gaan inzetten. In de security betekent dat in veel gevallen hooguit een gevoel van schijnveiligheid.

Wij kijken er dan ook zeer naar uit om te gaan werken met de producten van Insightix.

Segmentatie is het aanbrengen van groepen systemen in het netwerk. Dat is geen security maatregel op zich, maar het biedt de mogelijkheid om het netwerkverkeer tussen verschillende systemen compleet onmogelijk te maken, of sterk te reguleren (en dus controleren).

Sterk vereenvoudigd ziet een gesegmenteerd netwerk, met de logische basisgroepen vanuit een security perspectief, er als volgt uit:

In dit plaatje zouden Productiesystemen (SCADA, Medische Systemen, POS, etc.) in de Oranje groep (Bekend & Onbeveiligd) worden geplaatst. De BYOD systemen in de groep Gast & Onbekend. Systemen die in uw beheer vallen en waarvan u zelf de compliancy (al dan niet met succes) bewaakt, staan in de Groene groep (Bekend & Beveiligd).

Tussen de segmenten kan, indien connectiviteit daartussen nodig is, het netwerkverkeer worden geinspecteerd, en gestopt indien het ongewenst is. Bovendien kan in het geval van calamiteiten een segment compleet worden afgesloten en zo een malware uitbraak bijvoorbeeld tot slechts 1 segment worden beperkt.

Kortom: segmentatie is het aanleggen van een sterk fundament waarop een goed beveiligd netwerk kan worden opgebouwd.

Netwerksegmentatie concept is (bijna) zo oud als de weg naar Rome en staat als basis voorwaarde in praktisch elke security regel-, of wetgeving die ooit is geschreven, maar is desondanks vaak niet toegepast. De reden? Netwerksegmentatie vereist investeringen in geld, tijd en middelen en tot nu toe wogen de (al dan niet in kaart zijnde) risico’s daar niet tegenop. BYOD en de bedreiging van SCADA (=Productie) netwerken zullen deze afweging mijns inziens snel doen veranderen en de behoefte aan gedegen netwerksegmentatie laten groeien.

Medusoft hanteert een gestandaardiseerde aanpak om een segmentatie toe te passen in een draaiend netwerk. Neem contact met ons op om hier eens van gedachten over te wisselen.

Tenslotte beveel ik u een aantal documenten aan die de problematiek rondom het beveiligen van productiesystemen (o.a. SCADA) en consumentensystemen (BYOD) uiteenzetten en een goede richting geven naar algemene oplossingen.

PikeResearch - Whitepaper SCADA (PDF)

McAfee - Securing Fixed Function Devices (PDF)

McAfee - Consumerization of the Workforce (PDF)

Het NCSC heeft in januari 2012 de handreiking ‘Cybercrime, van herkenning tot aangifte’ uitgegeven. Dit is een handreiking voor overheden, bedrijfsleven, opsporingsambtenaren en burgers om cybercrime te herkennen en er aangifte van te doen. Met praktische voorzorgsmaatregelen en een checklist voor beveiliging. (quote: ncsc.nl)

Download Handreiking Cybercrime (PDF)

Cryptocard komt in dit kwadrant als visionary, en dus als geduchte concurrent voor de (slechts twee) leaders SafeNet en CA Technologies, uit de bus. De sterke punten waar Cryptocard hoog om gewaardeerd is, zijn:

• Cryptocard biedt een gedegen product aan en heeft een goede strategie, gecombineerd met een hoge mate van technische vernieuwing.
• Cryptocard reageert snel en gedegen op wensen van de veranderende markt.
• De producten van Cryptocard zijn scherp geprijsd, waardoor Cryptocard tot een van de goedkoopste aanbieders behoorde bij een door Gartner opgesteld aanschaf scenario.
• Klanten noemen de uitgebreide mogelijkheden, performance en schaalbaarheid van Cryptocard als belangrijke doorslaggevende factoren.
• De synchronisatie met Active Directory en het brede aanbod van verschillende tokens worden ook als zeer goed ervaren.

Al met al heeft Cryptocard de visie en de potentie om op termijn een van de leaders van dit Magic Quadrant te worden. Wilt u het volledige rapport lezen? Dit kan op de website van Gartner zelf.

Gedurende 4Q11, was 33 procent van alle geconstateerde Web malware “Zero-Day”, die niet gedetecteerd kan worden door traditionele “signature-based” methodieken op het moment van confrontatie.

Cybercriminelen zijn letterlijk bezig detectie van hun malware te omzeilen voordat ze hun malware lanceren, en slagen daar blijkbaar behoorlijk in.

Deze ontwikkeling vraagt dus om extra maatregelen bovenop anti-virus. Ik geef u 3 tips die eenvoudige “quick-wins” opleveren in de strijd tegen zero-day malware:

TIP 1: Pro-Actieve Netwerkbeveiliging

Malware gedraagt zich op een manier die op steeds meer manieren door technologie kan worden gedetecteerd. Om het onderscheid te maken met het traditionele REactieve anti-virus model wordt vaak gesproken over pro-actieve beveiliging.

Intrusion Detection en Prevention Systemen (IDS of IPS) zijn al jaren beschikbaar. Dit soort techniek herkent patronen in netwerkverkeer (in dit geval dus WEB verkeer) om kwaadaardige gedragingen te kunnen blokkeren. Zo zijn de systemen op de hoogte van kwetsbaarheden in software zoals Adobe Reader of Internet Explorer en kan het misbruik daarvan door “drive-by downloads” voorkomen.

Wij adviseren op dit vlak: Next-Generation IPS

TIP 2: URL Reputatie Filtering

Websites die kwaadaardige software verspreiden, worden door tal van URL filtering diensten geregistreerd. Bij het browsen op het internet kan eenvoudig gecontroleerd worden of de bezochte website een slechte reputatie heeft.

Een veelgehoorde tegenwerping op URL filtering is dat de IT afdeling niet graag “politie-agentje” wil spelen als het gaat om web bezoek. Door echter alleen websites te blokkeren op reputatie en NIET op basis van type inhoud, krijgt URL filtering een heel ander karakter, en hoeft de IT afdeling zich geen zorgen meer te maken om HUN reputatie…

Wij adviseren op dit vlak: Web Gateway

TIP 3: Ook beveiliging BUITEN de deur

Consumerization of IT, BYOD, Het Nieuwe Werken…. Mooie termen die eigenlijk altijd betekenen dat u in de beveiliging in elk geval steeds beter moet nadenken over de beveiliging van systemen waarop uw collega’s werken, ook als ze BUITEN de deur zijn. URL Filtering en Proactieve Netwerkbeveiliging zijn prachtig, maar vinden plaats aan uw internet knooppunt, de perimeter van uw netwerk. Een laptop op een vliegveld of een iPad bij de McDonald’s genieten op dat moment niet van uw beveiliging.

Het is prima mogelijk om dezelfde beveiligingsmaatregelen ook buiten het netwerk mogelijk te maken.

Wij adviseren:

• Host-Based Intrusion Prevention (TIP 1)
• SiteAdvisor Enterprise (TIP 2)
• SaaS Web Protection (TIP 2 voor tablets, gratis beschikbaar bij aanschaf Web Gateway)

Wilt u continu zicht houden op uw systemen, ook als ze buiten de deur zijn, dan raden wij bovendien aan om goed na te denken over het Management Platform. Ook daarin kunnen wij van dienst zijn, namelijk:

• Medusoft 24/7 wereldwijd Security Management In-The-Cloud (voor laptops, Windows & Mac)
• Enterprise Mobility Management (beheer van tablets en smartphones)

Nu  wordt er natuurlijk veel verspreid via de autorun feature in Windows. Dat is op zich geen nieuws meer en veel bedrijven schakelen de autorun uit via een domain policy. Tegenwoordig zie ik bij sommige klanten van ons dat tweederde van alle malware wordt gedetecteerd op USB-sticks (of externe harde schijven).

Naast autorun kan het natuurlijk ook zo zijn dat een eindgebruiker thuis (onbewust) een applicatie naar stick kopieert, om die op de zaak vervolgens vanaf deze stick te starten.

Tegenwoordig zit in bijna alle suites van McAfee de oplossing Device Control. Naast het blokkeren/monitoren/toestaan van alle of bepaalde sticks is het ook mogelijk om het uitvoeren van bepaalde bestanden te blokkeren. Door middel van een File Access Rule kan toegang tot bestanden van het type .exe, .com, .bat, .msi, .cgi, .cmd, .jar, .py, .pyc, .vb, .vbs, .ws, .wsf, .dl, .zip, .rar, .cab, .scr en .cp op USB-drives worden geblokkeerd. Deze bestanden kunnen dan niet meer uitgevoerd of gekopieerd worden.

Het is vanuit McAfee ePolicy Orchestrator (ePO), de centrale beheertool voor alle McAfee-oplossingen, erg gemakkelijk om dit in te stellen. Uiteraard moet u wel een beetje de weg weten in ePO. Heeft u Device Control al in gebruik dan kunt u onderstaande stappen volgen. Heeft u deze oplossing nog niet in gebruik en zou u er meer over willen weten, neem dan contact op met Medusoft. Hier volgt de beschrijving:

1. In ePO, ga via Menu naar -> Data Protection -> DLP Policy

2. In het linker menu in dit scherm, ga naar Device Rules:

3.  Onder Add New kunt u dan kiezen voor een Removable Storage File Access Rule:

4. Er wordt een nieuwe regel aangemaakt, geef de regel een naam, zoals Block File Access on USB Drives. Vervolgens kan deze regel bewerkt worden.

5. De wizard bestaat uit 3 stappen. Stap 1 is het selecteren voor welke devices deze regel wel en (eventueel) niet moet opgaan. Deze devices zijn gedefinieerd onder Device Definitions, onder Device Management in het linker menu.

6. In het Rule summary onderaan dat schermpje ziet u meteen tot welke bestandstypen geen toegang zal worden verleend, zoals die ook eerder in dit artikel zijn benoemd.

7. De laatste stap is het toekennen van deze policy aan gebruikers. Dat kan ‘Everyone’ zijn, maar uiteraard ook een andere groep gebruikers of zelfs specifieke user accounts.