Leveranciers van antivirusproducten zeggen het al zelf: Het scannen naar malware op systemen is niet langer effectief. Dit komt doordat er nu zoveel dynamisch gedrag is ingebouwd in malware, dat het gevuld houden van een scandatabase niet meer te doen is. De scanners beperken zich al tot een scan naar actieve malware, in plaats van een totale scan. De antivirus scanner werkt technisch goed, maar is praktisch bijna failliet.
Toch hebben we bescherming nodig tegen malware. Hoe kunnen we dat doen op een toekomstvaste manier? We moeten onze it-hygiene bijhouden: systemen veilig configureren en alleen aanpassen onder change management, een firewall gebruiken, de uitgegeven autorisaties in de toegangsbeveiliging beperken, patches bijhouden enzovoort. In gestructureerde omgevingen is het mogelijk om de scan om te draaien: identificeer dat alle geïnstalleerde software ook op het systeem thuishoort. Dit heet white-list scanning. Het is lang niet in alle gevallen geschikt voor gebruik en kan lastig zijn. Het is niet langer de leverancier maar het bedrijf zelf dat bepaalt waar op gescand wordt.
Detectie van activiteit
Je kunt profijt hebben van een tweede beveiligingslaag: het detecteren van malware wanneer het in actie komt. De allereerste antivirusproducten werkten ook zo. Ik weet nog dat Norton je waarschuwde dat er naar de bootsector van de harde schijf werd geschreven. Toen moest je zelf bepalen of dat correct was. Vandaag de dag kun je de opvolging van een detectie niet overlaten aan een eindgebruiker. Hier heb je een speciale onderzoekers voor nodig, die tijdig actie ondernemen. Bij grote bedrijven leg je dit neer bij een CERT (computer emergency response team) of een SOC (security operations centre).
De detectie zelf moet automatisch gaan. Er zijn goede manieren om de activiteiten van malware te ontdekken. Als het change management goed werkt, dan is iedere wijziging die niet terug te voeren is naar een change-actie verdacht. Systeem- en netwerkconfiguraties kunnen worden gescand op ongeautoriseerde aanpassingen. Allerlei logs kunnen gescand worden op verdachte activiteit. Je kunt een intrusion detection systeem (IDS) inzetten. De informatie uit de verschillende logbestanden en de IDS kunnen met elkaar in verband gebracht worden. Hiervoor gebruik je een security information and event management (SIEM) systeem.
Afwijkingen
Je komt een heel eind met de inzet van dergelijke systemen, gecombineerd met de juiste mensen. Toch blijft één type aanval zelfs hiermee moeilijk te detecteren. Dit is de advanced persistent threat (APT), een aanval waarbij de aanvaller onder de radar probeert te blijven. Hierbij wordt op maat gemaakte malware gecombineerd met specifieke aansturing door hackers om een voet binnen de deur te krijgen zonder opgemerkt te worden. Zo zijn de spraakmakende cyberkraken van het afgelopen jaar, zoals de inbraken bij Amerikaanse winkelketens Target en Home Depot, APT’s.
Hoe detecteer je een APT? De Netflow data – een dataverzameling in het netwerk – kan voor deze detectie worden gebruikt. Deze data wordt gebruikt door een netwerkbeheerder om de netwerkcapaciteit te beheren. Als het normale netwerkgedrag bekend is, zijn de afwijkingen, veroorzaakt door een APT, eenvoudig waar te nemen. En aangezien Netflow data structureel opgeslagen kan worden, is het mogelijk om in het verleden terug te kijken. Zo kun je een aanval analyseren, zeker wanneer je deze informatie combineert met big data over actuele cyberaanvallen.
Ondanks het wegvallen van antivirusscanners ontstaat er een nieuw segment in de markt dat verder gaat en de APT’s effectief aanpakt.
Over de auteur
Lex Borger is security consultant bij i-to-i. Daarnaast is hij hoofdredacteur van het PvIB blad ‘Informatiebeveiliging’.
