Column: Virusprotectie trends 2002
Ook 2002 zal een spannend jaar worden voor virusbestrijders. Aan de
fabrikantzijde zien we een verregaande inspanning om tegemoet te komen
aan de groeiende vraag naar virusprotectie (VP) en content inspectie
appliances, completere (volwassener) beheerstools, intelligenter
heuristic engines, managed services, effectievere
gebruikersondersteuning en integratie met contentinspectie
technologieën. Wat we helaas niet zullen zien zijn prijsverlagingen...
Aan de gebruikerszijde zullen we vooral het belang van een degelijke
virusprotectie-infrastructuur herontdekken. De combinatie van (soms
kostbare) technologie en een zwakke beheer- en calamiteitenorganisatie
eromheen heeft menige organisatie herhaaldelijk op kosten gejaagd. 2002
zal laten zien dat bedrijven gaan nadenken over hoe ze het
beveiligingsniveau kunnen verhogen terwijl tegelijkertijd de beheerslast
geminimaliseerd kan worden zodat men weer de controle terugkrijgt.
De belangrijkste oorzaak van het niet serieus nemen van een fatsoenlijke
VP infrastructuur ligt niet persé bij de eindgebruiker. Verreweg de
meeste bedrijven betrekken namelijk VP technologie en advisering
hierover van ICT dienstverleners -veelal huisleveranciers- die
virusprotectie (en daarmee informatiebeveiliging) erbij doen maar de
materie niet voldoende beheersen of domweg het enige VP product pushen
dat ze kunnen leveren. Bedrijven en haar toeleveranciers zullen dus
moeten gaan inzien dat virusprotectie bepaald geen commodity oplossing
is.
Het is belangrijk om te weten hoe ver rechters daadwerkelijk willen gaan
wanneer een partij al dan niet bewust, schadelijke code via derden
binnenkrijgen. Een zeer interessante vraag met potentieel grote gevolgen
voor hoe we met zijn allen met informatiebeveiliging zullen omgaan.
De allerbelangrijkste trend in virusprotectie welke (noodgedwongen) in
2002 krachtig zal doorzetten is het gebruik van multi-engine
infrastructuren. Hiermee wordt een infrastructuur bedoeld welke qua
gebruikte merken scanners, uit meerdere lagen bestaat. Een multi-engine
infrastructuur kan op diverse effectieve manieren gerealiseerd worden.
Het is al jaren bekend dat organisaties die goed hebben nagedacht over
haar VP infrastructuur qua engine inzet, over het algemeen bijzonder
weinig incidenten kennen. Ikzelf predik dan ook al ruim zeven jaar dat
single-engine VP infrastructuren bij wet verboden zouden moeten worden.
Rob Greuter
Beetje toko draait immers een eigen mailserver, hele slimme toko's draaien een linux-smaakje, en geen MS..
Wij hebben alle interne mail over een getweakte 'MailMan' van Endymion lopen, met Squid * ertussen en een eigen filterscript..
Knap virus /worm (m/v) die daar ueberhapiter voorbij komt.
Mail is immers tekst boven alles, MIME is nou net de achilleshiel.
Dus de meest obvious extensies hebben we gewoon uitstaan, een 'open met' is er niet, alleen 'approved' applicaties kunnen gestart worden ..
Waarom zouden we NIET alle .exe/ .bat/ .pif/ .scr etc etc gewoon strippen en weggooien ?
Peaz..
* 4 bytes is enuff *
Een single engine oplossing is op zich niet zo verkeerd zolang je maar niet vertrouwd op alleen een client side scan..
Beetje toko draait immers een eigen mailserver, hele slimme toko's draaien een linux-smaakje, en geen MS..
Wij hebben alle interne mail over een getweakte 'MailMan' van Endymion lopen, met Squid * ertussen en een eigen filterscript..
Knap virus /worm (m/v) die daar ueberhapiter voorbij komt.
Mail is immers tekst boven alles, MIME is nou net de achilleshiel.
Dus de meest obvious extensies hebben we gewoon uitstaan, een 'open met' is er niet, alleen 'approved' applicaties kunnen gestart worden ..
* 4 bytes is enuff *
' een beetje toko draait een eigen mailserver ?' als de de virusupdates voor de engine die hier op draait langer op zich laat wachten, dan is er dus nog steeds een gevaar.' terwijl bij een multiscan engine een andere scanner het over kan nemen.
Voor een organisatie die geen verstand heeft van Linux, en niet weet hoe Squid en endymion werken is het waarschijnlijk goedkoper om een multiengine scanner aan te schaffen dan dat er aan kosten zullen zijn om deze kennis in huis te halen.
Waarom zouden we NIET alle .exe/ .bat/ .pif/ .scr etc etc gewoon strippen en weggooien ?
Waarom halen we de machines helemaal niet van internet af ?
dan zijn we van alle problemen af.
Natuurlijk zal het zorgvuldig omgaan met extensies helpen. Het is voor sommige organisaties echter noodzaaklijk om bepaalde extensies door te laten.
Omdat we dan werkeloos zouden zijn, denk ik :-)
Als er binnen een IT-afdeling GEEN mensen rondlopen die weten hoe je Linux installeert, Squid configureerdt etc, dan heb je een groter probleem dan alleen het kostenplaatje.....
Dan ben je inderdaad overgeleverd aan de patch-mafia, en kun je wachten tot je een 'update' krijgt, in plaats van dat je zelf actie onderneemt..
Sterker nog, ik denk dat een goeie geek zich vrij snel terugverdient :-)
Peaz..
* Irony: Bill Gates claims to be making a stable Operating System, and Linus Torvalds claims to be taking over the world. *
De allerbelangrijkste trend in virusprotectie welke (noodgedwongen) in 2002 krachtig zal doorzetten is het gebruik van multi-engine infrastructuren. Hiermee wordt een infrastructuur bedoeld welke qua gebruikte merken scanners, uit meerdere lagen bestaat. Een multi-engine infrastructuur kan op diverse effectieve manieren gerealiseerd worden. Het is al jaren bekend dat organisaties die goed hebben nagedacht over haar VP infrastructuur qua engine inzet, over het algemeen bijzonder weinig incidenten kennen.
[/B][/QUOTE]
Ik denk dat je het goed ziet ;-(
Je loopt nog steeds tegen budgeteringen aan die gebaseerd zijn op vorig jaar - de vulnerabilities van MS worden veel omschreven, wie gaat dat van de huidige VP-oplossing en -infrastructuur doen ?
BuG
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?