Schneier: Bijna alle virusscanners zijn hetzelfde
Volgens beveiligingsgoeroe Bruce Schneier zit er niet veel verschil tussen virusscanners als het op beveiliging aankomt. Anti-virus software is al zolang aanwezig, dat aanbieders goed weten hoe het in elkaar zit. "Alle leveranciers hebben het inmiddels voor elkaar, en bijna alle producten zijn hetzelfde vanuit een security perspectief", aldus Schneier. De verschillen zitten dan ook in de niet-security aspecten van het product.
Als het echter op informatiebeveiliging aankomt, dan geven de meeste automatiseringsafdelingen te weinig uit aan het bestrijden van criminaliteit. "Het zijn de grote enge risico's die de aandacht krijgen, maar het zijn de kleinere, alledaagse risico's die over het algemeen belangrijker zijn." De reden hiervoor is dat we grote, spectaculaire risico's overschatten en de gewone risico's onderschatten. "Vliegen versus autorijden is het beste voorbeeld. We vrezen de eerste, maar de laatste is vele malen gevaarlijker. Het is hoe onze hersens in elkaar zitten."
Ervaring
Veel beleidsmakers en experts zetten in op het onderwijzen van internetgebruikers. Maar als het om internetveiligheid gaat, weten veel campagnes hun doel niet te bereiken. "Leren komt met ervaring." Daarbij heeft de jongere generatie volgens Schneier veel meer kennis over security op het internet dan de oudere generatie. "Mensen leren door te doen."
Het feit dat we mensen moeten onderwijzen over internetveiligheid, betekent volgens Schneier dat beveiligingsexperts in hun baan hebben gefaald. "Security hoort ingebouwd te zijn. Technologie verandert zo snel, dat mensen niet de tijd hebben om een intuïtie over internetveiligheid te ontwikkelen, we moeten beveiliging bouwen die mensen beschermt, ondanks zichzelf."
-Mystic^
Daarnaast is het aantal unieke samples vandaag de dag dusdanig groot, dat de traditionele aanpak (met signatures en vergelijken) steeds slechter gaat werken. Het aantal unieke samples is in een jaar tijd gegroeid van 1.400 naar 2.000+ per uur. Vele vendoren proberen hier op in te spelen, maar met de traditionele aanpak is dit een verloren strijd. Iedereen die zich in de malware en de bedreigingen enigszins verdiept weet dit, toch passen we ons gedrag (en IT-systemen) niet aan - wie is nu de "ignorant"?
Bedrijven (en klagers) dienen zich van deze "lawine" van samples bewust te zijn. De traditionele aanpak is alleen outside-in bescherming (waarbij vervolgens de meeste mensen de meest gevoelige informatie gewoon per email versturen). Het is dan ook niet de vraag of er een "zero day" binnen komt, maar wanneer!
Daarbij komt dat malware vandaag de dag zich (allang) niet meer richt op "name/fame", maar sterk financieel gedreven is. De meeste bedrijven en organisaties hebben jaren geleden hun security landschap ingericht en zien het sindsdien als "tick in the box". Ondertussen is er in de (boze) buitenwereld (heel) veel veranderd. Dit wordt door veel bedrijven en organisaties genegeerd. Bedrijven/organisaties dienen hun beschermings-activiteiten dan ook verder uit te breiden: inside out (het alleen gecontroleerd naar buiten gaan van data) en zero-day bescherming.
Bedrijven en CSO's dienen de anti-malware, maar vooral de data security, uit de commodity te halen en er weer serieus naar te kijken. Cybercriminals doen dit ook!
Het blijft me verbazen hoe weinig ook in grote bedrijven proactief wordt nagedacht over deze risico's. Antivirus/antimalware commodities zijn nooit veel meer dan slechts een vangnet. Op het moment dat je antivirus moet inspringen, in de zin dat anders het systeem geinfecteerd zou zijn geraakt, dan mag je je wel eens flink achter de oren krabben: Als je antivirus je al moet redden bij een virusaanval, dan zal je al helemaal niet weerbaar zijn tegen een *gerichte* aanval. Gerichtte aanvallers hebben beschikking over dezelfde antimalware producten, als de consument en de bedrijven. Ze kunnen dus eenvoudigweg de malware zo finetunen dat deze niet wordt geblokkeerd. Ik sta dan ook vaak versteld als ik hoor over virusuitbraken bij instanties zoals de politie. Nog niet eens zo zeer verbaasd over dat het gebeurd, maar de lauwe reactie daarop... terwijl ze zich dood moeten schamen en zich zouden moeten realiseren dat hun veiligheid zeeer ver onder de maat is. Oftewel, een doodeenvoudig target voor gerichte aanval zou zijn.
Meerdere VLANs op je netwerk, default-drop firewall policy voor in en uitgaand verkeer. ipsec tussen client en server, routing vanaf server regelen (via apart vlan naar internet). Squid, Snort en andere. Automatisch poortjes op netwerk in apart VLAN plaatsen zodra er bijvoorbeeld portscans worden uitgevoerd, of ander onbekend/onbedoeld netwerkverkeer.
Duur? 20e voor managable switch (beetje zoeken op MP/eBay), gratis 6e hands oude computer met wat netwerkkaarten. 70 eurocent voor een lege cd om je favo-linux-distro te branden/booten (als je geen PXE boot hebt). En enkele uren config-files aanpassen om het geheel aan elkaar te hangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
