Endpoint Security

De beveiliging van ’Endpoints’ wordt steeds complexer. Dit heeft niet alleen te maken met de toename van malware maar ook met het feit dat bedreigingen steeds ‘slimmer’ worden.

Het aantal nieuwe bedreigingen dat wordt ontdekt is de afgelopen jaren exponentieel gegroeid tot 65.000 stuks per dag op dit moment. Het is haast onmogelijk om voor al deze nieuwe bedreigingen op tijd de juiste virusdefinities te schrijven. We zien hier de laatste tijd steeds meer de gevolgen van in de vorm van een toenemend aantal virusuitbraken en False Positives.

Ook het soort virussen is aan het veranderen. Er verschijnen steeds meer polymorfische virussen. Dit zijn virussen die nadat ze actief zijn geworden, nieuwe variaties van zichzelf aanmaken. Omdat voor deze nieuwe versies nog geen virusdefinities zijn geschreven, hebben ze vaak vrij spel om het systeem en het netwerk verder te infecteren.

Tenslotte is de doelstelling van virusschrijvers veranderd. Het zijn allang niet meer de stereotype verveelde tieners die puur voor de “fun” een virus ontwikkelen. Tegenwoordig is het motief geldelijk gewin, door afpersing en spionage. Het resultaat van deze verschuiving is dat virussen steeds gerichter worden ingezet en dat de maker ervan juist erop inzet zo lang mogelijk ongedetecteerd te blijven.

Het grote aantal virussen, de automatische ontwikkeling en de gerichte inzet ervan maken het klassieke anti-virus model ontoereikend. Daarin moet immers eerst 1 partij ter wereld een virus te pakken hebben gehad, voordat begonnen kan worden met de bescherming van de rest van de wereld. De kans op besmetting ondanks anti-virus software is door alle ontwikkelingen daardoor tot onacceptabele hoogte gestegen. Al enkele jaren pleiten beveiligingsspecialisten daarom voor een veel proactievere aanpak van de beveiliging.

De meest voor de hand liggende en proactieve technologieën die op een endpoint kunnen worden gezet:

• Patch Management of Virtual Patching. Malware maakt vaak misbruik van kwetsbaarheden in software om zichzelf zonder medeweten van de gebruiker op een system te nestelen. Zonder kennis van de malware variant, kan die installatie dus worden voorkomen door de kwetsbaarheden die misbruikt worden, op te lossen. Dat vergt een adequaat patch management, waarbij niet alleen naar Microsoft gekeken wordt. In de praktijk blijkt echter vaak dat het onmogelijk is om altijd alle kritieke patches direct uit te rollen, al is het maar omdat een gedegen test vereist is. In dat geval biedt de functionaliteit `Virtual Patching` uitkomst. Dit betekent dat een virtueel beveiligingsschild om het systeem wordt gelegd dat misbruik van alle beveiligingslekken die in software bekend zijn, voorkomt. Daarmee wordt die malware gestopt, terwijl de tijd gegund is om weloverwogen de benodigde patches te testen en uit te rollen.

• Regulering van USB-sticks. Uit ervaring blijkt dat de meeste virusuitbraken bij bedrijven de oorsprong vinden in een infectie vanaf een USB-stick. Die stick is dan in een ander, onbeveiligd en geïnfecteerd systeem gebruikt en vervolgens de organisatie binnengebracht met alle gevolgen van dien. Door het gebruik van USB-sticks te beperken tot alleen sticks die u kunt vertrouwen, bijvoorbeeld omdat er een antivirus engine op de stick zelf aanwezig is, wordt een zeer groot gevaar opgelost.
  
  
• Webfiltering. Het internet is het distributiemiddel van virussen. Het biedt ook bij uitstek mogelijkheden om mensen te misleiden en geautomatiseerd en snel nieuwe varianten van virussen te distribueren. De werkwijzen van malware schrijvers gaan daarin zo ver, dat zelfs de best geschoolde ICT-ers in de val zouden trappen. Ongecontroleerd gebruik van datzelfde internet is daarom echt niet meer mogelijk. Wanneer beleid gemaakt zou kunnen worden om alleen bepaalde type websites toe te staan dan zou het afdwingen daarvan het beste resultaat opleveren, maar dat is vaak niet haalbaar. In plaats daarvan is een zeer goede manier van webfiltering om gebruik te maken van reputatiedatabases. Daarin staan websites vermeld die in het verleden al eens zijn gebruikt om malware te verspreiden. Deze websites krijgen een slechte reputatie en kunnen op basis daarvan worden geblokkeerd. Een dergelijke gedachtegang lijkt niet meer dan logisch en is met relatief weinig inspanning te realiseren.
  

• Ook beveiliging buiten het netwerk. Mobiele devices, met name laptops, komen regelmatig in situaties waarin de beveiliging van de internet gateway van het bedrijf niet van toepassing is. Bijvoorbeeld: thuis. Ook op die locaties zouden de gekozen proactieve beveiligingsmaatregelen actief moeten zijn, en om dat te controleren dienen die systemen continu in beeld te blijven, ook indien ze zich buiten het netwerk begeven. Daarmee raakt endpoint security direct aan een goede inrichting van de security management omgeving.

Security specialisten zijn het er tevens over eens dat het klassieke anti-virusmodel, dat gekenmerkt is als “Black-Listing” (je definieert wat ongewenst is, de rest is toegestaan), zo goed als failliet is en in de komende jaren vervangen zal moeten gaan worden door “White-Listing” (je definieert wat gewenst is, de rest is NIET toegestaan). Hierdoor maken virussen, bekend of onbekend, geen kans om het systeem te infecteren