image

'Anti-virus is dood' verdeelt security professionals

maandag 12 mei 2014, 16:56 door Redactie, 15 reacties

De uitspraak van een Symantec-topman dat anti-virus dood is heeft de gemoederen binnen de anti-virusindustrie behoorlijk doen verhitten en voor een tweedeling gezorgd, waarbij sommige security professionals zeggen dat anti-virus inderdaad niet meer werkt, terwijl anderen juist claimen van wel.

De kritiek van Symantec richt zich vooral op traditionele oplossingen die met signatures werken. Een werkwijze waarbij er voor nieuw verschenen malware updates worden ontwikkeld en uitgerold. Jarenlang werkte de anti-virusindustrie met deze 'signatures' en nog steeds worden virusscanners dagelijks met nieuwe signatures bijgewerkt.

"Hoewel sommige mensen claimen dat 'anti-virus dood is', laat Microsoft zien dat systemen zonder anti-virus met meer malware te maken hebben. Als anti-virus dood is, waarom werkt het dan nog steeds om gebruikers te beschermen?", zegt Raimund Genes, CTO van Trend Micro. Hij krijgt bijval van Mike Malloy van Webroot, die de uitspraak van Symantec zelfs een publiciteitsstunt noemt. Volgens Malloy is Symantec niet de enige die de virusscanner op de desktop heeft dood verklaard.

Hij ziet juist een trend in de industrie dat er steeds meer wordt geïnvesteerd in oplossingen die niet op beveiliging zijn gericht, maar op detectie en herstel nadat er een infectie heeft plaatsgevonden. "We vinden dit een verontrustende trend. Als je internetbeveiligingsbedrijf zich niet langer richt op beveiliging, maar zich aan cybercriminelen heeft overgegeven, dan stellen ze miljoenen klanten bloot aan serieuze verliezen van financiën en data."

Aanpak

Roger Halbheer, voormalig beveiligingschef bij Microsoft, laat echter weten dat anti-virustechnologie wel degelijk dood is. "De klassieke op signatures-gebaseerde aanpak heeft nooit gewerkt. Het kon een bepaald aantal virussen detecteren, wat meestal slechts een klein percentage is waar tegen de technologie ons had moeten beschermen." Halbheer pleit dan ook voor een andere aanpak om computers te beveiligen en het lastiger voor malware te maken om computers te infecteren.

Een aanpak die vooral op Windowscomputers is gericht. Het gaat dan om het installeren van Microsofts gratis Enhanced Mitigation Experience Toolkit (EMET), het gebruik van Bitlocker en App Locker en het inschakelen van Windows Defender als anti-virus. "Deze maatregelen zullen de veiligheid van de client behoorlijk verbeteren." Verder zouden organisaties netwerk intrusion detectie moeten gebruiken om de intelligentere aanvallen te detecteren.

Reacties (15)
12-05-2014, 16:59 door Mysterio
Het is zo iets als roepen dat de autogordel dood is want je hebt tegenwoordig ook een airbag nodig.
12-05-2014, 17:22 door Anoniem
Antivirus is in zoverre dood dat het geen volledige bescherming biedt, zeker niet tegen 0day malware. Dat betekent niet dat er niet talloze malware bestaat die wel wordt gedetecteerd en geblokkeerd. Met andere woorden; antivirus is wel nuttig, maar niet afdoende om je tegen iedere bedreiging te kunnen beschermen.
12-05-2014, 17:24 door Anoniem
"Verder zouden organisaties netwerk intrusion detectie moeten gebruiken om de intelligentere aanvallen te detecteren."

Antivirus is beter dan IDS in het detecteren van dreigingen; immers is IDS volledig signature based, terwijl AV verder gaat dan enkel kijken naar signatures. Wat dat betreft vind ik bovenstaande uitspraak erg twijfelachtig.
12-05-2014, 17:26 door Anoniem
Ach de verkopers vinden natuurlijk van niet, maar de techneuten weten wel beter..... ;)
12-05-2014, 18:50 door jefdom
Roger Halbheer, voormalig beveiligingschef bij Microsoft, laat echter weten dat anti-virustechnologie wel degelijk dood is. "De klassieke op signatures-gebaseerde aanpak heeft nooit gewerkt. Het kon een bepaald aantal virussen detecteren, wat meestal slechts een klein percentage is waar tegen de technologie ons had moeten beschermen
dus al die tijd heeft het ons.geld en vertrouwen gekost om dat wij onze virus scanners vertrouwden,en nu kommen ze ons doodleuk vertellen dat die meug nooit 100% gewerkt heeft, ik voel mij wel een beetje bij de (§àç=""à) genomen jefd
12-05-2014, 20:31 door Anoniem
En dus is het idd dood, av met enkel signatures is dus dood.
Netwerk intrusion = firewall functie niet AV functie dus we zijn al klaar ;)
13-05-2014, 00:24 door softwaregeek - Bijgewerkt: 13-05-2014, 00:25
Windows-defender is ook op basis van signatures; er klopt dus niet veel van wat deze ex werknemer van Microsoft zegt.
Daarbij laat hij een duidelijke voorkeur blijken voor de software van zijn ex-werkgever.
13-05-2014, 07:14 door Anoniem
Ik heb hier een beetje een dubbel gevoel over. Aan de ene kant ben ik het er mee eens dat signature gebaseerde virus bestrijding trekken aan een dood paard is maar aan de andere kant beschermd het nog steeds omdat veel nieuwe virussen vaak gebaseerd zijn op deze verouderde signatures. Aan de andere kant ben ik wel een beetje bevreesd dat met de nieuwere technieken de producenten teveel eigenaar worden van de desktop. Het risico op false positives zal toenemen waardoor bijvoorbeeld volstrekt legitieme websites kunnen worden geblokkeerd. De gemiddelde gebruiker zal zijn AV product vertrouwen en de website of app negeren maar dit is wel een krachtig middel om te kunnen misbruiken.
Misschien is het doemdenkerij maar ik vertrouw geen enkel bedrijf als het gaat om grote belangen, de gebruikers van het product zijn vaak eerder onderdeel van het product. De Bundestrojaner werd tenslotte door veel AV scanners niet herkend en dat was niet omdat de signature niet bekend was. Dat was gewoon een deal met de Duitse overheid en zo zullen er vast nog wel meer deal en afspraken gemaakt worden.
13-05-2014, 08:45 door Anoniem
Dit lijkt me een leuke discussie voor de kuikens van de WC-eenden...

Voorlopig blijft een AV toch 'leven' hier.
13-05-2014, 09:05 door Mysterio
Door softwaregeek: Windows-defender is ook op basis van signatures; er klopt dus niet veel van wat deze ex werknemer van Microsoft zegt.
Daarbij laat hij een duidelijke voorkeur blijken voor de software van zijn ex-werkgever.
MSE/Defender werkt ook op basis van reputatie. Het is dus niet meer puur op basis van signatures maar ook (voor een deeltje) wat ze doorkrijgen van gebruikers en bedrijven.
13-05-2014, 09:32 door SPlid
Ik heb een voorstel :
laat de Symatec voorman zijn PC volledig ontdoen van AV en aansluiten op het netwerk .
En geef zijn e-mail adres vrij.

Dan doe ik het zelfde met een PC met AV en geef hiervoor ook een e-mail adres vrij.

Dan gaan we beiden aan de slag en tellen na een week het aantal (mogelijke) besmettingen, de Symantec voorman op gevoel ? en ik naar bestudering van de AV-logging. Kijken wie het dichts bij de waarheid zit en wie het minst aantal besmettingen heeft .
13-05-2014, 09:54 door Mysterio
Door SPlid: Ik heb een voorstel :
laat de Symatec voorman zijn PC volledig ontdoen van AV en aansluiten op het netwerk .
En geef zijn e-mail adres vrij.

Dan doe ik het zelfde met een PC met AV en geef hiervoor ook een e-mail adres vrij.

Dan gaan we beiden aan de slag en tellen na een week het aantal (mogelijke) besmettingen, de Symantec voorman op gevoel ? en ik naar bestudering van de AV-logging. Kijken wie het dichts bij de waarheid zit en wie het minst aantal besmettingen heeft .
Wellicht dat je na afloop schoner bent. Echter als je niet helemaal schoon bent dan is het resultaat hetzelfde. Het is 1 of 0. Besmet of niet. Of je gegevens zijn veilig, of ze zijn dat niet. Op dat gebied kan AV je niet meer voldoende beschermen en is dus nutteloos geworden. (zwart/wit bekeken dus, uiteraard maakt het wel wat uit. Inenten tegen polio beschermt je niet tegen mazelen, maar polio is geen probleem meer en dat is toch zo fijn.)
13-05-2014, 13:00 door SPlid
Mysterio, absoluut waar, maar ik loop meer kans op 100% schoon te zijn .
(minder risico op besmetting)
13-05-2014, 14:41 door Anoniem
Witte bloedlichaampjes (consept van de virusscanner) dan ook maar afschaffen?
14-05-2014, 09:34 door Mysterio
Door Anoniem: Witte bloedlichaampjes (concept van de virusscanner) dan ook maar afschaffen?
Als witte bloedlichaampjes alles is, dan is het snel afgelopen met je. Witte bloedlichaampjes voorkomen in de meeste gevallen ook niet dat je wordt besmet, maar zorgen er voor dat je er weer bovenop komt. Daarnaast wordt nu de bioloog in mij wakker en wil ik je dingen gaan vertellen over het immuunsysteem van het menselijk lichaam en de complexiteit daarvan... Maar ik hou me in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.