image

Schneier: Bijna alle virusscanners zijn hetzelfde

maandag 15 maart 2010, 15:05 door Redactie, 7 reacties

Volgens beveiligingsgoeroe Bruce Schneier zit er niet veel verschil tussen virusscanners als het op beveiliging aankomt. Anti-virus software is al zolang aanwezig, dat aanbieders goed weten hoe het in elkaar zit. "Alle leveranciers hebben het inmiddels voor elkaar, en bijna alle producten zijn hetzelfde vanuit een security perspectief", aldus Schneier. De verschillen zitten dan ook in de niet-security aspecten van het product.

Als het echter op informatiebeveiliging aankomt, dan geven de meeste automatiseringsafdelingen te weinig uit aan het bestrijden van criminaliteit. "Het zijn de grote enge risico's die de aandacht krijgen, maar het zijn de kleinere, alledaagse risico's die over het algemeen belangrijker zijn." De reden hiervoor is dat we grote, spectaculaire risico's overschatten en de gewone risico's onderschatten. "Vliegen versus autorijden is het beste voorbeeld. We vrezen de eerste, maar de laatste is vele malen gevaarlijker. Het is hoe onze hersens in elkaar zitten."

Ervaring
Veel beleidsmakers en experts zetten in op het onderwijzen van internetgebruikers. Maar als het om internetveiligheid gaat, weten veel campagnes hun doel niet te bereiken. "Leren komt met ervaring." Daarbij heeft de jongere generatie volgens Schneier veel meer kennis over security op het internet dan de oudere generatie. "Mensen leren door te doen."

Het feit dat we mensen moeten onderwijzen over internetveiligheid, betekent volgens Schneier dat beveiligingsexperts in hun baan hebben gefaald. "Security hoort ingebouwd te zijn. Technologie verandert zo snel, dat mensen niet de tijd hebben om een intuïtie over internetveiligheid te ontwikkelen, we moeten beveiliging bouwen die mensen beschermt, ondanks zichzelf."

Reacties (7)
15-03-2010, 15:28 door Anoniem
allemaal hetzelfde, allemaal gebouwd op het verkeerde principe...
15-03-2010, 16:41 door Anoniem
http://www.thesatya.com/images/bruce.png ... that's all I say

-Mystic^
15-03-2010, 18:04 door MJ66
Hoewel de schrijver een punt heeft, wordt er wel de verkeerde richting uit gewezen. Security bestaat uit veel meer dan alleen anti-malware, zo is er ook nog assset management, netwerk management en patch management. In veel gevallen is 1 of meerdere van de boven genoemde onderwerpen niet op orde, waarna er richting de anti-malware wordt gewezen (soms is deze gewoonweg niet geïnstalleerd!). De schuld bij de malware bestrijder leggen is dan ook niet terecht.

Daarnaast is het aantal unieke samples vandaag de dag dusdanig groot, dat de traditionele aanpak (met signatures en vergelijken) steeds slechter gaat werken. Het aantal unieke samples is in een jaar tijd gegroeid van 1.400 naar 2.000+ per uur. Vele vendoren proberen hier op in te spelen, maar met de traditionele aanpak is dit een verloren strijd. Iedereen die zich in de malware en de bedreigingen enigszins verdiept weet dit, toch passen we ons gedrag (en IT-systemen) niet aan - wie is nu de "ignorant"?

Bedrijven (en klagers) dienen zich van deze "lawine" van samples bewust te zijn. De traditionele aanpak is alleen outside-in bescherming (waarbij vervolgens de meeste mensen de meest gevoelige informatie gewoon per email versturen). Het is dan ook niet de vraag of er een "zero day" binnen komt, maar wanneer!
Daarbij komt dat malware vandaag de dag zich (allang) niet meer richt op "name/fame", maar sterk financieel gedreven is. De meeste bedrijven en organisaties hebben jaren geleden hun security landschap ingericht en zien het sindsdien als "tick in the box". Ondertussen is er in de (boze) buitenwereld (heel) veel veranderd. Dit wordt door veel bedrijven en organisaties genegeerd. Bedrijven/organisaties dienen hun beschermings-activiteiten dan ook verder uit te breiden: inside out (het alleen gecontroleerd naar buiten gaan van data) en zero-day bescherming.

Bedrijven en CSO's dienen de anti-malware, maar vooral de data security, uit de commodity te halen en er weer serieus naar te kijken. Cybercriminals doen dit ook!
15-03-2010, 18:33 door rob
@MJ66: Goed verwoord

Het blijft me verbazen hoe weinig ook in grote bedrijven proactief wordt nagedacht over deze risico's. Antivirus/antimalware commodities zijn nooit veel meer dan slechts een vangnet. Op het moment dat je antivirus moet inspringen, in de zin dat anders het systeem geinfecteerd zou zijn geraakt, dan mag je je wel eens flink achter de oren krabben: Als je antivirus je al moet redden bij een virusaanval, dan zal je al helemaal niet weerbaar zijn tegen een *gerichte* aanval. Gerichtte aanvallers hebben beschikking over dezelfde antimalware producten, als de consument en de bedrijven. Ze kunnen dus eenvoudigweg de malware zo finetunen dat deze niet wordt geblokkeerd. Ik sta dan ook vaak versteld als ik hoor over virusuitbraken bij instanties zoals de politie. Nog niet eens zo zeer verbaasd over dat het gebeurd, maar de lauwe reactie daarop... terwijl ze zich dood moeten schamen en zich zouden moeten realiseren dat hun veiligheid zeeer ver onder de maat is. Oftewel, een doodeenvoudig target voor gerichte aanval zou zijn.
15-03-2010, 19:56 door [Account Verwijderd]
[Verwijderd]
15-03-2010, 19:57 door [Account Verwijderd]
[Verwijderd]
17-03-2010, 14:16 door Anoniem
Virusscanners? Wat een onzin.

Meerdere VLANs op je netwerk, default-drop firewall policy voor in en uitgaand verkeer. ipsec tussen client en server, routing vanaf server regelen (via apart vlan naar internet). Squid, Snort en andere. Automatisch poortjes op netwerk in apart VLAN plaatsen zodra er bijvoorbeeld portscans worden uitgevoerd, of ander onbekend/onbedoeld netwerkverkeer.

Duur? 20e voor managable switch (beetje zoeken op MP/eBay), gratis 6e hands oude computer met wat netwerkkaarten. 70 eurocent voor een lege cd om je favo-linux-distro te branden/booten (als je geen PXE boot hebt). En enkele uren config-files aanpassen om het geheel aan elkaar te hangen.

Door unaniem: Natuurlijk zijn virus-ondervangers allemaal bijna hetzelfde ; dat geldt voor fietsen en auto's en telefoons en TV's en computers ook.
En tot op heden zijn alle fietsen, auto's en telefoons te "stelen" of "aan te passen naar wens". Dus dit zal met IT ook het geval blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.