Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Meerwaarde antivirus

04-12-2019, 06:36 door Anoniem, 19 reacties
Hoe groot is de meerwaarde van het installeren van een betaalde anti-virus ten opzichte van de standaard Windows anti-virus voor je corporate.

Ik vraag dit omdat ik elke bedrijf dit zie doen.

Een zero-day kan het waarschijnlijk toch niet pakken en ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..
Reacties (19)
04-12-2019, 09:29 door User2048
Er zijn genoeg vergelijkende tests te vinden op het internet, bijvoorbeeld deze: https://www.av-test.org/en/antivirus/business-windows-client/. Je ziet daar dat Windows Defender het net zo goed doet als andere producten.
04-12-2019, 09:35 door Anoniem
Door Anoniem: Hoe groot is de meerwaarde van het installeren van een betaalde anti-virus ten opzichte van de standaard Windows anti-virus voor je corporate.

Ik vraag dit omdat ik elke bedrijf dit zie doen.

Een zero-day kan het waarschijnlijk toch niet pakken en ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..

Op securitygebied zie ik Microsoft voorlopig nog steeds als de veroorzaker van problemen en niet als de leverancier van oplossingen. Recentelijk hebben ze zelfs het advies gegeven hun eigen Exploit Guard niet te gebruiken, Heb je net alles aangezet (want het staat default uit), kom je er achter dat er "compatibiliteitsissues" zijn, waardoor het eigenlijk niet bruikbaar is.
04-12-2019, 10:13 door Bitje-scheef
Sommige fabrikanten kunnen signatures binnen 30 minuten wereldwijd verspreiden. Gemiddelde zero-day naar werkelijke detectie is ongeveer 7 dagen voor de meer traditionele av-boeren. A4us detectie kun je ook met application-layers uitvoeren. dan hoef je slechts te kijken naar het gedrag van de applicatie, veel effectiever. Dan zijn signatures van ondergeschikt belang.

Dit soort oplossingen zijn alleen zakelijk verkrijgbaar en iets duurder dan traditionele av-boeren. Palo Alto Traps is zo'n oplossing.
.
04-12-2019, 10:17 door Tha Cleaner
Door Anoniem: Hoe groot is de meerwaarde van het installeren van een betaalde anti-virus ten opzichte van de standaard Windows anti-virus voor je corporate.
Het kan een enorme meer waarde hebben. Hangt voornamelijk van de mogelijkheden en vooral de requirements af.
De standaard Microsoft oplossing is bijvoorbeeld waardeloos te beheren, rapportages zijn ook summier. Als je dit legt naast andere leveranciers, dan zie je bijvoorbeeld als een grote meerwaarde.
Exclusions, of file access toegang kan ik met sommige producuten veel beter regelen dan met de standaard Microsoft mogelijkheden, als die er zelfs al zijn bij Microsoft.

Microsoft loopt hier nog flink achter, jaren zelfs.

ATP gaat gelukkig wat verder dan de "gewone" microsoft oplossing. Maar loopt ook nog flink achter.


Ik vraag dit omdat ik elke bedrijf dit zie doen.
Ik zie sommige het wel en sommige het niet doen,.

Een zero-day kan het waarschijnlijk toch niet pakken
Kan wel degelijk. Hangt van je software af.

ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..
Ik bijna dagelijks.

Ik heb met 3de partij tooling vanuit rapportages diverse unknown virussen gevonden in mijn beheerde netwerken.
04-12-2019, 11:18 door Anoniem
De meerwaarde, en de reden dat je dit ieder bedrijf ziet doen, is het "cover your ass" principe.
In een bedrijf is er meestal iemand verantwoordelijk voor dit soort beslissingen, en ook voor het eventueel fout gaan.
Als er een virus binnenkomt en er is een hoop schade, dan kun je beter in de positie "maar we hadden de best mogelijke
antivirus maar toch is er iemand doorheen gekomen" zitten dan in de positie "tja we hebben niks gedaan en hoopten er
maar het beste van".

Echter, een feit blijft ten alle tijde dat antivirus een lapmiddel is.
Het is veel beter om de systemen zodanig te beveiligen en dicht te timmeren dat er geen ongeautoriseerde software op
kan binnenkomen, dan om te dweilen met de kraan open met een dweil die alleen vloeistoffen herkent die hem van te
voren bekend zijn gemaakt.
04-12-2019, 11:26 door Anoniem
Ik zou je willen adviseren om van systeem te veranderen.
Weg met die Windows en begin met de overstap naar Linux.
Ubuntu is een aanrader als je van deze omgeving komt.
Ik ben nu 2 jaar een actieve Ubuntu gebruiker en binnenkort ga ik de overstap maken naar een nog privater OS ofwel Fedora of Debian.
Zelfs gebruik je een betalende antivirus zoals ESET windows moet je rekening houden met datamining.
Je hebt wel iets meer veiligheid maar je gooit je privacy overboord.
Met de gratis anti virus scanners is het nog erger gesteld, die bieden je heel basic bescherming maar zuigen al jouw data leeg en verkopen deze door aan derden.
Gratis bestaat niet in deze wereld
04-12-2019, 11:33 door Anoniem
Door Bitje-scheef: Sommige fabrikanten kunnen signatures binnen 30 minuten wereldwijd verspreiden. Gemiddelde zero-day naar werkelijke detectie is ongeveer 7 dagen voor de meer traditionele av-boeren. A4us detectie kun je ook met application-layers uitvoeren. dan hoef je slechts te kijken naar het gedrag van de applicatie, veel effectiever. Dan zijn signatures van ondergeschikt belang.

Dit soort oplossingen zijn alleen zakelijk verkrijgbaar en iets duurder dan traditionele av-boeren. Palo Alto Traps is zo'n oplossing.
.

Niet-zakelijke gebruikers kunnen dit ook verkrijgen, in de vorm van Sophos Home Premium.
04-12-2019, 12:57 door Anoniem
Door Anoniem:
Door Anoniem: Hoe groot is de meerwaarde van het installeren van een betaalde anti-virus ten opzichte van de standaard Windows anti-virus voor je corporate.

Ik vraag dit omdat ik elke bedrijf dit zie doen.

Een zero-day kan het waarschijnlijk toch niet pakken en ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..

Op securitygebied zie ik Microsoft voorlopig nog steeds als de veroorzaker van problemen en niet als de leverancier van oplossingen. Recentelijk hebben ze zelfs het advies gegeven hun eigen Exploit Guard niet te gebruiken, Heb je net alles aangezet (want het staat default uit), kom je er achter dat er "compatibiliteitsissues" zijn, waardoor het eigenlijk niet bruikbaar is.

Welk advies ?
Exploit guard staat gewoon aan op een schone installatie.
Nieuwe laptops die compatible zijn met secure core hebben ook al HVCI en Device guard aan staan.
Je kunt dat zelf ook al aanzetten in Windows 10.
04-12-2019, 14:08 door [Account Verwijderd]
04-12-2019, 16:17 door Anoniem
Door User2048: Er zijn genoeg vergelijkende tests te vinden op het internet, bijvoorbeeld deze: https://www.av-test.org/en/antivirus/business-windows-client/. Je ziet daar dat Windows Defender het net zo goed doet als andere producten.

Een groot verschil van de Microsoft defender t.o.v. andere (zakelijke en betaalde) antivirus pakketten is dat de Defender met een simpel scriptje van 8 regels volledig om zeep te helpen is. Ik zeg niet dat het onmogelijk is om andere pakketten uit te schakelen maar dit is over het algemeen wel lastig. Kaspersky is als je het mij vraagt (zonder nieuwe discussies te willen starten) een zeer degelijk product.
04-12-2019, 17:02 door Anoniem
Door Bitje-scheef: Sommige fabrikanten kunnen signatures binnen 30 minuten wereldwijd verspreiden. Gemiddelde zero-day naar werkelijke detectie is ongeveer 7 dagen voor de meer traditionele av-boeren. A4us detectie kun je ook met application-layers uitvoeren. dan hoef je slechts te kijken naar het gedrag van de applicatie, veel effectiever. Dan zijn signatures van ondergeschikt belang.

Dit soort oplossingen zijn alleen zakelijk verkrijgbaar en iets duurder dan traditionele av-boeren. Palo Alto Traps is zo'n oplossing.
.

Wat is A4us detectie?
04-12-2019, 18:42 door [Account Verwijderd] - Bijgewerkt: 04-12-2019, 18:43
Door Anoniem:
Door Bitje-scheef:// A4us detectie kun je ook met application-layers uitvoeren. ...

Wat is A4us detectie?

Anti-vier-us, oftewel antivirus detectie.
04-12-2019, 19:32 door Anoniem
Door Anoniem: Hoe groot is de meerwaarde van het installeren van een betaalde anti-virus ten opzichte van de standaard Windows anti-virus voor je corporate.

Ik vraag dit omdat ik elke bedrijf dit zie doen.

Een zero-day kan het waarschijnlijk toch niet pakken en ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..

Ligt ook aan de grootte van het bedrijf. Bedrijven willen graag in control zijn en AV-leveranciers leveren vaak meer dan alleen een signature die up-to-date moet zijn. Standaard defender wordt wel steeds beter, maar dat is ook alleen nog maar Windows natuurlijk en op bv. 5000pc's niet super controleerbaar tot in de puntjes.
04-12-2019, 20:00 door Anoniem
Door Anoniem:
Door Bitje-scheef: Sommige fabrikanten kunnen signatures binnen 30 minuten wereldwijd verspreiden. Gemiddelde zero-day naar werkelijke detectie is ongeveer 7 dagen voor de meer traditionele av-boeren. A4us detectie kun je ook met application-layers uitvoeren. dan hoef je slechts te kijken naar het gedrag van de applicatie, veel effectiever. Dan zijn signatures van ondergeschikt belang.

Dit soort oplossingen zijn alleen zakelijk verkrijgbaar en iets duurder dan traditionele av-boeren. Palo Alto Traps is zo'n oplossing.
.

Wat is A4us detectie?

Als je morgen onderwerg met je hond in het bos 7 dozen van antiviruspakketten vindt dan is dit gaslighting. Dan weet iemand wat jij nu hebt zitten lezen en daarmee is je eerdere vraag "wat is gasl..." ook beantwoord.

Jeroen
04-12-2019, 21:21 door Anoniem
Of er meerwaarde aan betaalde software vast zit is heel erg situatie en bedrijfs gebonden.
Je kan prima met gratis paketten werken als je zelf ontwikkeling tijd insteekt en kennis in huis hebt binnen de verantwoordelijke afdelingen. Je kunt nooit blindelings vertrouwen op je software of nu betaald is of gratis.
En antivirus is qua belang sterk gedaald sinds er veel meer aanvals vectors bij zijn gekomen waar conventionele antivirus detectie slecht mee overweg kan. Nog niet eens te spreken over social engineering.

Qua aansprakelijkheid kan je het niet verhalen op een antivirus leverancier en steeds meer mallware gebruiken de antivirussoftware om juist meer schade aan te kunnen richten. Naast de fouten die leveranciers soms maken waardoor in eens systeembestanden weg zijn.


Persoonlijk zou ik veel meer focus leggen op detectie, isoleren dan preventie.
Het is een kat en muis spel en de ene keer wint de kat andere keer de muis.

En over al die vergelijking sites.
Je weet niet of ze onafhankelijk zijn je weet vaak niet hoe nauwkeurig onderzoek is verricht en de test labs komen zelden tot nooit overeen met jouw bedrijfs infra.
05-12-2019, 08:53 door Anoniem
ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..Ik bijna dagelijks

Ik heb met 3de partij tooling vanuit rapportages diverse unknown virussen gevonden in mijn beheerde netwerken.

Ik ben benieuwd wat je zoal tegenkomt en welke AV/tooling producten je gebruikt?
05-12-2019, 10:01 door Anoniem
Ik zou je willen adviseren om van systeem te veranderen. Weg met die Windows en begin met de overstap naar Linux.

Doodvermoeiend, dergelijke advies. Waar niet om wordt gevraagd. Grow up.
05-12-2019, 21:22 door Anoniem
Door Anoniem:
ben ik zelf nooit tegengekomen dat een anti-virus iets geblokkeerd heeft..Ik bijna dagelijks

Ik heb met 3de partij tooling vanuit rapportages diverse unknown virussen gevonden in mijn beheerde netwerken.

Ik ben benieuwd wat je zoal tegenkomt en welke AV/tooling producten je gebruikt?
Voorkeur is vanuit mij McAfee ePolicy Orchestrator (McAfee ePO). Daarin ben ik het meest bedreven en is een best aardige tool. Wel wat complex om neer te zetten, maar bied heel veel mogelijkheden. Ik heb diverse virus uitbraken hiermee tegen gehouden. Sommige nog voordat de definities beschikbaar waren.
TrendMicro is ook een aardige scanner. Maar rapportages en configuratie mogelijkheden waar een stuk minder. Maar hij werkte wel heel goed.
Kaspersky, had een aardige tool. Maar de antivirus software was beter dan de beheers tool. Ik heb de logica er nooit van gesnapt, en zat heel vaag in elkaar. Als ik dat vergelijk naar Mcafee, dan liep die jaren voor op.
Heb in het verleden ook wat gedaan met Symantec. Maar dat is al weer wat ver in het verleden.
06-12-2019, 11:27 door Anoniem
Neem nu een website scanner van een willekeurige vendor: Dr. Web bijvoorbeeld.met zijn pre-gedefinieerde malware domain lijsten. Leuke av-vendor uit Sint Petersburg met de president van de Federatie als beschermheer.

Wie vertelt wel dat op dit ogenblik een website veilig kan zijn? Hij is door aanvallers bijvoorbeeld nog niet ondekt.
De website krijgt alleen de "all green". voor enkel dit scanmoment "after the fact".
Hij staat niet op een lijst & staat niet ergens in de annalen van Virus Total bij de concurrenten.
Maar wat zegt dat dan nog over de werkelijke veiligheidssituatie?

Dan moet je als er naar gevraagd wordt en je toestemming hebt, die site toch wat beter aan de tand voelen.

Wat staat er aan afvoerbare bibliotheken, die kwetsbaar zijn onder bepaalde omstandigheden,
die beter kunnen worden vervangen als er een patch is.

Wat bevindt er zich aan sources (input, die eventueel gemanipuleerd kan worden)
en sinks (methoden om mee te manipuleren) op de website (voor XSS-DOM injectie bijvoorbeeld?

Is er wat aan te vangen met specifieke tekens, die niet goed gecodeerd zijn voor HTML <?> etcetera.
Ga het lijstje maar na sources als document etc - naast location etc -window.name, localStorage, sessionStorage
naast sinks als eval, Function, set Timeout, execScript enz. enz.

Bij een op PHP gebaseerd CMS zit er misschien ergens YOOTheme ico malware in in de Re-Captcha code?
Of een evil packer obfuscatie of een FP op een packer die een bepaald product niet zo goed kan analyseren?

Hoe zit het op de server kant? Hoeveel vulnerabilities zie je via een IP shodannetje bij de hoster?
Excessieve server info proliferatie, tekort aan header security in de settings, en andere veiligheidstekorten.

Bij volgende fase, als hier al een heleboel fout is gegaan, komen de av vendors en externe maintainers pas aan de beurt.

Te weinig, te laat, te veel hobbyisme getolereerd, te weinig expertise, te veel gaan voor kostenbesparing met later grote uitgaven als het misgaat, die je niet direct op de klanten of het algemeen kan afwentelen, maar vaak wel gebeurt
via bijvoorbeeld de ransomware plaag. Noem het maar een p*st.

Er is nog een hele security handhavingsslag te maken. Veel werk, niet makkelijk, kost wat, maar dan heb je ook een veiliger infrastructuur. Maar misschien willen de grootverdieners dat helemaal niet, zoveel veilige eindgebruikers. Kunnen ze niet genoeg rotzooiien.

Wie zal het zeggen?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.