Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Beleidsbepalers weten de helft niet over Anti-Virus

08-11-2010, 22:55 door erikremmelzwaal, 14 reacties
In alle testrapporten over Anti-Virus rapporten van de laatste tijd wordt pijnlijk duidelijk hoe ernstig Anti-Virus oplossingen structureel achterlopen op virusschrijvers. Het meest recente rapport van AV-Test.org (http://security.nl/artikel/35024/1/Microsoft_en_McAfee_falen_anti-virustest.html) geeft slechts 2 anti-virus bedrijven een 5.5 detectiegraad op een schaal van 0 tot 6. Dat is een gat van een kleine 10%. Dat is op dagelijkse basis, gerekend met het Q2 Malware Rapport (http://www.mcafee.com/us/local_content/reports/q22010_threats_report_en.pdf) van McAfee een collectie van een kleine 6500 virusvarianten die ongestoord het netwerk over kunnen wandelen. Mijn conclusies is dan niet zozeer dat 1 van de AV fabrikanten beter is dan de rest, maar dat AV als technologie in de breedte een dikke onvoldoende verdient. Zelfs de FBI luidt de noodklok: "Ook waarschuwt de opsporingsdienst dat virusscanners geen garantie tegen een computerinfectie zijn." (http://security.nl/artikel/34985/1/Webcam-hacker_begluurde_200_vrouwen.html)

Beleidsbepalers bij organisaties in Nederland gaan er vaak nog steeds van uit dat systemen veilig zijn wanneer zij een up-to-date Anti-Virus programma draaien. Wanneer dat geregeld is, dan zit het wel goed met de security. Vervolgens blijkt in de praktijk dat helemaal niet dagelijks wordt gecontroleerd of alle systemen wel up-to-date zijn. Even voor de duidelijkheid: als je 1 dag achterloopt met je update dan ben je vatbaar voor 70000 virus-varianten. Voor dat aantal kon je 5 jaar geleden ongeveer een heel jaar achterlopen!

Updates in Windows worden mondjesmaat toegepast, maar Adobe wordt al helemaal niet bijgewerkt. Gebruikers worden vervolgens met hun lekke PDF-reader of Flash-player ongelimiteerd het internet opgestuurd. USB-poorten worden volledig open gezet, en beheerders werken met hun Domain Admin account op hun werkplek terwijl ze serials downloaden via een torrentclient. Herkenbaar?

ICT Nederland staat wagenwijd open en de mensen die er iets aan kunnen doen hebben geen idee of nemen het desondanks niet serieus genoeg. Security blijft een incident-driven business, maar mijn voorspelling is dat 2011 een zeer incident-rijk jaar gaat worden. Als je niet tot de probleemgevallen wilt horen, zorg dan dat je organisatie eindelijk eens de keuze maakt om het gebruik van je computersystemen te reguleren. Dat is niet gebruikertje pesten, dat is werkelijk de continuiteit van je bedrijf veilig stellen. En als de mensen die beslissingen moeten nemen dit niet willen doen, zorg dan dat je voor je eigen gemoedstoestand je persoonlijke straatje alvast preventief even schoonveegt.

Met vriendelijke groet,

Erik Remmelzwaal
Reacties (14)
09-11-2010, 01:00 door xy22
Aardig topic.
Met vriendelijke groet,

Erik Remmelzwaal
medusoft
http://www.medusoft.eu
Totdat je zelf het hele verhaal van een marketing nasmaak voorziet.

Beleidsbepalers bij organisaties in Nederland gaan er vaak nog steeds van uit dat systemen veilig zijn wanneer zij een up-to-date Anti-Virus programma draaien.
beleidsmakers =/= de beheerders van computernetwerken. 'Beleidsmakers' beslissen weliswaar over budgetten e.d. maar beheren en installeren niet.

Dat is op dagelijkse basis, gerekend met het Q2 Malware Rapport (http://www.mcafee.com/us/local_content/reports/q22010_threats_report_en.pdf) van McAfee een collectie van een kleine 6500 virusvarianten die ongestoord het netwerk over kunnen wandelen.
Wat betreft de tekst/artikel die hierna volgt:
- je lijkt hierin het element heuristiek/HIPS compleet te vergeten. Grotere organisaties hebben vaak een gelaagde beveiligingsarchitectuur**.
- http://security.nl/artikel/35024/1/Microsoft_en_McAfee_falen_anti-virustest.html verwijst naar een test van 'consumenten'-antivirus, niet die voor bedrijfsnetwerken. Terwijl je het hele verhaal betrekt op 'organisaties'.
- de cijfers en toon van deze en daaropvolgende alinea's zijn misschien wel wat dramatisch hè :)
Het is (ongetwijfeld) verre van perfect, maar er is gelukkig meer dan kommer en kwel


**citaat van medusoft.eu/nl/Products.html
Medusoft levert haar diensten aan ondernemingen als Imtech en Randstad evenals aan kleinere bedrijven en (overheids-)instellingen.
. Juist ja, gebruik van de ‘angst-factor’ blijft populair.
http://www.security.nl/artikel/34115/1/Microsoft%3A_Stop_de_paniekzaaierij.html
en waar staan de Gdata producten eigenlijk op de Medusoft-website?http://www.gdata.nl/securitylabs/nieuws/nieuws-details/article/1534-medusoft-gaat-in-zee-met-g-dat.html

Even afgezien van de kritiek, is het wel leuk dat iemand de moeite neemt te posten, een leuk verhaal. Maar naar mijn bescheiden mening is daar nog wel wat kritiek op mogelijk.


edit 01:37 Er lijkt iets niet goed te gaan met de ingevoegde BBcodes
edit 01:41 Lees net Bitwipers comment, tegen een ervaren rot in het vak kun je niet op qua kennis/ervaring, misschien moet ik mijn kritiek flink afzwakken, desondanks laat ik deze comment nog even staan: altijd leuk voor de discussie (en minpunten)
Goedenacht en dag!
09-11-2010, 01:25 door Bitwiper
Door erikremmelzwaal: In alle testrapporten over Anti-Virus rapporten van de laatste tijd wordt pijnlijk duidelijk hoe ernstig Anti-Virus oplossingen structureel achterlopen op virusschrijvers.
[...]
Beleidsbepalers bij organisaties in Nederland gaan er vaak nog steeds van uit dat systemen veilig zijn wanneer zij een up-to-date Anti-Virus programma draaien.
Helaas is dit laaste het geval, en hetzelfde geldt voor firewalls. Het eerste klopt niet, ik roep dit al jaren.

Goed overigens dat jij, als McAfee elite partner, je in het volgende rijtje voegt:

In http://www.heise.de/security/meldung/Kaspersky-Sicherheitssoftware-Anbieter-koennten-Kampf-verlieren-157323.html zegt Eugene Kaspersky (op 2007-03-15):
Wenn das Wachstum bei der Schadsoftware in diesem Tempo weitergeht, könnte unsere gesamte Branche dieser Flut irgendwann nicht mehr standhalten
Uit "Symantec Global Internet Security Threat Report, trends for 2009 Volume XV, published April 2010" (http://www4.symantec.com/Vrt/wl?tu_id=SUKX1271711282503126202 - PDF):
Signature-based detection is lagging behind the creation of malicious threats—something which makes newer antivirus technologies and techniques, such as behavioral-based detection, increasingly important.
Behavioral detection werkt niet op servers (zie bijv. het kader rechts bovenaan http://www.securityfocus.com/news/11531) en op desktops kan deze te laat ingrijpen (de kwaadaardige code draait immers al), en vaak werkt het sowieso gewoon niet (zie bijv. https://secure.security.nl/artikel/35013/1/E-mailworm_besmet_500_computers_energiecentrale.html).

Het toepassen van de andere maatregelen die je noemt, biedt echter ook geen enkele garantie dat je systemen niet gecompromitteerd zullen raken. Feitelijk zijn het stuk voor stuk maatregelen die tijd en geld kosten, soms gefrustreerde gebruikers opleveren en je slechts een klein stukje beveiliging bieden door bekende kwetsbaarheden te elimineren (blacklisten). Ondanks alle gebruikelijke maatregelen die je kunt nemen is het restrisico nauwelijks in te schatten, en dus heb je -terecht- een probleem om al die maatregelen te rechtvaardigen bij beleidsmakers...

Wie een goede oplossing weet mag het zeggen!

N.b. voordat iemand weer "Linux" blaat: als de meerderheid Linux zou gebruiken om te internetbankieren zouden daar tig Zeus varianten voor bestaan, en (ook om andere redenen) is het daarmee hooguit een oplossing voor een beperkte groep gebruikers.
09-11-2010, 01:46 door xy22
--edit 01:50: poging tot repost comment 01:00 ivm opmaak--
09-11-2010, 07:50 door erikremmelzwaal
Ik wil niet zeggen dat de simpele suggesties die ik aandraag alles oplossen. Ik weet echter dat de mensen die zouden moeten bepalen dat beheerders bijvoorbeeld niet altijd met een domain admin account moeten werken, waarschijnlijk zich een bepaald niveau van veiligheid voorstellen bij anti-virus die bij lange na niet gehaald wordt. Er wordt toegestaan dat gebruikers ongefilterd het internet op gaan in de veronderstelling dat anti-virus nagenoeg alles wat van het internet afkomt zal tegen houden, maar dat is dus feitelijk niet waar.

Dat de beheerders dezelfde mensen als beleidsmakers zijn is niet juist. Als een beheerder op eigen houtje de usb port dichtgooit dan zal in heeeeeel veel gevallen een directeur dit op hogen poten terug draaien. Ik ken de voorbeelden uit de praktijk, geloof me :)

De punten die ik voorstel zijn voorbeelden van zaken die mijns inziens minimaal anders geregeld zouden moeten worden vandaag de dag. Daarbuiten kan je nog wel veel verder gaan. Natuurlijk weet ik dat je nooit 100% veiligheid kunt halen maar mensen denken nu wellicht tegen de 99% aan te zitten, en zouden wellicht in actie komen als ze goed zouden beseffen dat dat hooguit 90% is.

Ik weet ook als geen ander dat anti-virus testrapporten met een korreltje zout genomen moeten worden. Ik vind alleen een heel opvallend en bruikbaar aspect van alle testrapporten die je de laatste tijd ziet verschijnen dat structureel de maximale dekkingsgraad op 90% uitkomt. Of je dat nu betrekt op retail of enterprise versies. Ik haalde nu dit rapport aan als voorbeeld, maar als McAfee elite partner had ik ook een recente kunnen kiezen waarin de volgorde anders is en wel met enterprise varianten gewerkt is. (overigens zijn de virus definities voor enterprise en home versies gewoon hetzelfde hoor, maak je geen illusies)

Persoonlijk zit ik al zwaar op de lijn van whitelisting, ook geen 100% garantie, maar een stuk zekerder en ook een stuk minder belastend voor je systemen. En ook dan moet je vooral na blijven denken over de rest van je beveiligingsbeleid.

Tenslotte moet je het feit dat ik mijn bericht onderteken met het bedrijf waar ik voor werk niet als marketing zien. Ik wil alleen maar verantwoording nemen voor mijn stellingen en tracerbaar zijn voor mensen die zo kwaad worden over mijn artikel dat ze mij erop willen aanspreken :)
09-11-2010, 08:56 door ej__
Door Bitwiper:

N.b. voordat iemand weer "Linux" blaat: als de meerderheid Linux zou gebruiken om te internetbankieren zouden daar tig Zeus varianten voor bestaan, en (ook om andere redenen) is het daarmee hooguit een oplossing voor een beperkte groep gebruikers.

Dat is een bewering die jij niet kunt onderbouwen. Sterker nog, hij is vermoedelijk (door de diversiteit) apert onjuist. Bouw eens een generiek virus. Verras ons. Volgens mij kun je daar heel veel geld mee verdienen.
09-11-2010, 08:59 door ej__
Dit verhaal stinkt wel naar marketing. Waarom moet uit naam van een bedrijf worden gepost op een forum? Profileren? Verborgen reclame? Lijkt me dat de redactie hier wel mag ingrijpen.
09-11-2010, 09:02 door erikremmelzwaal
Door ej__: Dit verhaal stinkt wel naar marketing. Waarom moet uit naam van een bedrijf worden gepost op een forum? Profileren? Verborgen reclame? Lijkt me dat de redactie hier wel mag ingrijpen.

Rustig maar, ik heb het bedrijf al weggehaald. Daar was het zeer zeker niet om te doen, dus geen punt.
09-11-2010, 11:19 door Bitwiper
Door ej__:
Door Bitwiper: N.b. voordat iemand weer "Linux" blaat: als de meerderheid Linux zou gebruiken om te internetbankieren zouden daar tig Zeus varianten voor bestaan, en (ook om andere redenen) is het daarmee hooguit een oplossing voor een beperkte groep gebruikers.
Dat is een bewering die jij niet kunt onderbouwen. Sterker nog, hij is vermoedelijk (door de diversiteit) apert onjuist. Bouw eens een generiek virus. Verras ons. Volgens mij kun je daar heel veel geld mee verdienen.
Het woord "verdienen" in dit kader vind ik niet fraai, maar ik begrijp jouw stelling, die je overigens ook niet onderbouwt (is -toegegeven- ook lastig, wellicht net zo lastig als wat je mij vraagt). Ik denk er nog even over na voordat ik daar -off-topic- in deze thread op in ga (ik ga je in elk geval niet verrassen met een virus, iets dat Zeus overigens ook niet is).
Door ej__: Dit verhaal stinkt wel naar marketing. Waarom moet uit naam van een bedrijf worden gepost op een forum? Profileren? Verborgen reclame? Lijkt me dat de redactie hier wel mag ingrijpen.
Onzin. Wat Eric schreef was allesbehalve een reclameverhaal (McAfee marketing zal hier niet blij mee zijn). De redactie publiceert zat interviews met commerciëIe partijen. Zolang de WC-eend factor niet de pan uitspat heb ik hier geen enkel probleem mee, integendeel. Overigens verdien ik ook een deel van m'n geld aan security, en naar ik aanneem jij ook.
Door xy22: edit 01:41 Lees net Bitwipers comment, tegen een ervaren rot in het vak kun je niet op qua kennis/ervaring, misschien moet ik mijn kritiek flink afzwakken, desondanks laat ik deze comment nog even staan: altijd leuk voor de discussie (en minpunten)
Goedenacht en dag!
Dat is veel te veel eer, daarnaast leer (en profiteer) ik van erg veel serieuze comments op deze site. Niks afzwakken dus! Ventileer je mening en wees niet bang zo nu en dan het niet helemaal bij het rechte eind te hebben. Security is vooral een land der blinden, en ik ben ook maar een eenoog... (PS ik zag de eerste versie van jouw post nadat ik op "opslaan" had gedrukt en was toen aan m'n bed toe).
09-11-2010, 15:51 door Anoniem
Al iemand de wachtwoorden al eens gereset?
09-11-2010, 17:00 door xy22
Dat de beheerders dezelfde mensen als beleidsmakers zijn is niet juist.
Dat bedoelde ik juist met =/=, oftewel ‘is (per definitie) niet gelijk aan’.

Vat mijn comment(s) a.u.b. niet op als ‘afkraken’, het ‘neerzetten van ’kritiek om een discussie te kunnen starten’ is meer mijn bedoeling.

Erik, in je comment van 07:50 lijk je eerlijk en te goedertrouw dit topic gestart te hebben. Alleen is het voor ons, wanneer we lezen, onduidelijk of dit inderdaad zo is.
Het ‘negatieve’ beeld dat geschetst wordt met bijbehorende cijfertjes, deed mij onmiddellijk denken aan FUD.
Wat betreft de gebruikte bronnen, ik snap dat je prima op deze selectie van bronnen kunt uitkomen, er zijn er immers meer dan genoeg. Maar het kan ook prima als basis dienen voor een angstverhaal, vooral de “webcam-hacker” bron.
Dit topic komt na http://security.nl/artikel/35024/1/Microsoft_en_McAfee_falen_anti-virustest.html met een snelheid die aan damagecontrol doet denken. Dat gaf en geeft mij ook al niet meer vertrouwen in het hele gebeuren.
Als je t mij vraagt, misschien een kritisch lezer/cynicus, dan is het een dubbel uit te leggen selectie van bronnen. Dan het feit dat je niet de eerste zou kunnen zijn die met FUD op fora komt, sorry, maar ik kan er niks! mee.


Uit de comment van 07:50,
Door erikremmelzwaal :Persoonlijk zit ik al zwaar op de lijn van whitelisting, ook …
Opnieuw, of oprecht of het ‘nieuwe’ McAfee Application Control pushen; het punt dat ik tegen het hele verhaal min of meer heb.

Tenslotte moet je het feit dat ik mijn bericht onderteken met het bedrijf waar ik voor werk niet als marketing zien. Ik wil alleen maar verantwoording nemen voor mijn stellingen
Het ‘open’ vermelden van naam en bedrijf, is iig lef.


Min of meer aansluitend op
Door Bitwiper: Ondanks alle gebruikelijke maatregelen die je kunt nemen is het restrisico nauwelijks in te schatten, en dus heb je -terecht- een probleem om al die maatregelen te rechtvaardigen bij beleidsmakers...

Wie een goede oplossing weet mag het zeggen!
Vraag ik me een en ander af over de ‘toekomst’ in de vorm van ‘de cloud’.
@erikremmelzwaal, zou je, als tweede schrijfpoging zogezegd, er misschien iets in zien om iets korts te schrijven over “cloud computing”?
Bijvoorbeeld: op basis van welke ‘mechanismen’ (zoals we nu heuristische analyse en virusdefinities op de lokale computer kennen) denken antivirus makers de consument en klein- middenbedrijf te kunnen gaan beveiligen, wanneer deze overgaan op cloud?
Lijkt me interessant als je daar een goed (McAfee-loos) verhaal bij hebt :)
(zie het als vriendelijke vraag, niet als “bewijs je maar” of geinige poging van een scriptkiddo, a.u.b.)
09-11-2010, 17:17 door xy22
Door Anoniem: Al iemand de wachtwoorden al eens gereset?
Hoe bedoel je? Als beveiliging tegen wachtwoord jattende malware?
http://www.security.nl/artikel/32296/1/Top_10_ergste_beveiligingsmaatregelen.html
09-11-2010, 17:41 door erikremmelzwaal
@xy22 Ja goed, ik kan mij ook voorstellen dat ik de schijn tegen mij heb als ik iets schrijf. Wat dat betreft ben ik natuurlijk op voorhand veroordeeld door mijn werk :). Ik voel me zeer zeker niet afgekraakt, maar ik kan slecht tegen onrecht. Als je er dan vanuit gaat dat ik inderdaad te goedertrouw ben (ben ik, maar idd aan jullie om te beoordelen), dan kan je waarschijnlijk voorstellen dat ik van mij af bijt :) Maar goed: we zitten nu op 1 lijn dus verder met de discussie!

Alhoewel: veronderstellen dat ik met whitelisting application control bedoel is denk ik wel paranoide hoor :). Nee het gaat mij er oprecht om dat ik whitelisting nu al als veel sterker alternatief zie voor blacklisting (AV) en dat ik er sterk in geloof dat AV in de komende 5 jaar end-of-life zal gaan en plaats zal maken voor andere technieken, waarbij ik mij nu alleen maar whitelisting kan voorstellen. ik heb dus zelf bewust geen productnamen genoemd, maar bedankt voor de reclame ;)

Ik zal in de auto even nadenken over dat verhaal betreffende de cloud, voor mijn tweede poging tot acceptatie :)
09-11-2010, 23:19 door xy22
Door erikremmelzwaal: @xy22 Ja goed, ik kan mij ook voorstellen dat ik de schijn tegen mij heb als ik iets schrijf. Wat dat betreft ben ik natuurlijk op voorhand veroordeeld door mijn werk :). Ik voel me zeer zeker niet afgekraakt, maar ik kan slecht tegen onrecht. Als je er dan vanuit gaat dat ik inderdaad te goedertrouw ben (ben ik, maar idd aan jullie om te beoordelen), dan kan je waarschijnlijk voorstellen dat ik van mij af bijt :) Maar goed: we zitten nu op 1 lijn dus verder met de discussie!
Top! :)

Door erikremmelzwaal: Ik zal in de auto even nadenken over dat verhaal betreffende de cloud, voor mijn tweede poging tot acceptatie :)
Lijkt me interessant.

--edit: typefout--
12-11-2010, 00:59 door Anoniem
De combinatie cloud en white listing kan erg krachtig zijn. Door bij veel gebruikers te monitoren welke programma's uitgevoerd worden, bijvoorbeeld met hashes, kan er een redelijk beeld gekregen worden van welke programma's normaal zijn. Indien er iets uitgevoerd wordt met een onbekende hash kan dat een trigger zijn om te kijken wat dat is en daarna aan de bekende programma's toegevoegd worden, gewenst of ongewenst. Hierbij is het voor de gebruiker om te kiezen of hij al dan niet onbekende code wil kunnen draaien. Voor de meeste instanties is het classificeren veel te veel werk om die investering te rechtvaardigen. Echter indien een beveiligingsbedrijf dat doet en de hashes op afroep in de cloud beschikbaar maakt wordt die investering op alle afnemers afgewikkeld.
Je wil niet zoals de huidige virusscanners af en toe een update ophalen, immers voor alle bekende applicaties zou deze veel te groot zijn en deze worden ook lang niet allemaal door een afnemer gebruikt. Plus dat je geen recente lijst nodig hebt. Pas als een onbekende hash tegen gekomen wordt, wordt er aan de white list service gevraag of deze bekend is. Vervolgens cache je het resultaat lokaal waardoor deze lookup in de toekomst niet meer gedaan hoeft te worden. Voor bedrijven zou dat ook hiërarchisch kunnen. Daarmee voorkom je meteen dat het beveiligingsbedrijf kan zien hoeveel van welke applicatie binnen het bedrijf gebruik gemaakt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.