Krijgen we dit jaar met een nieuwe Sasser worm te maken? welke dreigingen staan computergebruikers te wachten? en zal het virusprobleem ooit worden opgelost? Wij vroegen een expert panel van BitDefender, Kaspersky Labs McAfee en Sophos om antwoord. Tevens legden we de experts vier stellingen voor. Het antwoord hierop kunt u morgen lezen.
Wat maakt uw produkt beter dan de rest?
Marnix van Meer – Sophos: Elk product heeft zo zijn eigen doelgroep en daarop afgestemde specificaties. Een product kan naar mijn mening dus alleen beter zijn in een specifiek benoemd segment. Sophos richt zich op de zakelijke markt, daarbij is ons onderscheidend vermogen de stabiliteit van de software, de continuïteit van de updates (elk uur) en de zeer constante kwaliteit van de detectie.
Dick Geheniau en Roel Schouwenberg - Kaspersky Labs: Kaspersky Labs streeft voortdurend naar een geoptimaliseerd gebruikersgemak van haar security oplossingen. Dit wordt bereikt door de snelste scantechnologie toe te passen. De gebruiker behoeft geen kennis te hebben over het optimaal configureren van de Kaspersky antivirus oplossingen omdat deze in de standaard installatie al opgenomen zijn. Dit resulteert in een hoge waardering van de klant.
Uit alle onafhankelijke tests blijkt dat Kaspersky Labs gedurende de laatse jaren ongeëvenaard is gebleken in haar reactiesnelhied bij nieuwe virus outbreaks. Door accuraat en snel (ieder uur een update) te anticiperen op nieuwe dreigingen heeft Kaspersky Lab zich een leading positie verworven in de Professionele OEM wereld waarbij momenteel meer dan 7 van de 15 global IT security vendors de scanengine van kaspersky gebruiken.
Naast de snelste reactiesnelheid bij nieuwe virus outbreaks kunnen we ook stellen dat Kaspersky vanaf dag een de groostste speler is van scan oplossingen voor Linux gateways, servers en desktops. Hier zet Kaspersky de trends wat haar geliefd heeft gemaakt bij de meeste Internet Providers over de hele wereld.
Verder kan Kaspersky gezien worden als een van de weinige broadliners in Antivirus die voor alle lagen in een netwerk scanmodules kan aanbieden die vervolgens centraal gemanaged kunnen worden. Het beheer van een securityoplossing is vaak even zo belangerijk als het detecteren van nieuwe virussen.
Patrick Aalbers – McAfee: McAfee biedt de meest complete oplossing aan, die zelfs bescherming biedt tegen nog onbekende bedreigingen. Zero-day protection noemen we dat. Intrusion Prevention technologie stelt u in staat om op basis van behavioural rules, verdachte activiteiten te blokkeren. Niet alleen identificeren maar daadwerkelijk blokkeren. Hiermee voorkomt u virusinfecties of exploits van kwetsbaarheden op uw systeem en netwerk.
Tijd is cruciaal.
Gezien de snelheid en complexiteit van de bedreigingen heeft een organisatie weinig tijd om de anti-virus en firewall volledig up to date te krijgen.
Daarnaast richten aanvallen zich steeds vaker op kwetsbaarheden in systemen. Patches zijn nog niet doorgevoerd en anti-virus kan deze onbekende aanval nog niet stoppen. Intrusion Prevention op netwerk en systeemniveau blokkeert dergelijke aanvallen wel.
McAfee biedt complete Intrusion Prevention oplossingen aan middels Entercept en IntruShield. In de nieuwste McAfee VirusScan 8.0i hebben wij zelfs een deel van deze functionaliteit toegevoegd. Hiermee heeft u met McAfee VirusScan 8.0i de meest complete oplossing tegen bedreigingen.
Beheer van uw beleid en het up-to-date houden van de software is essentieel. Alle McAfee oplossingen worden beheerd door een enkele management tool genaamd McAfee ePolicy Orchestrator.
McAfee AVERT is een van de grootste wereldwijde research organisaties als het gaat om beveiliging. McAfee zal hierdoor in staat zijn om voorop te blijven lopen.
Mihai Radu - BitDefender: De produkten zijn over het algemeen sneller, makkelijker te gebruiken en stabieler, maar dat is slechts een deel van het verhaal.
We zijn er erg trots op om de snelste anti-virusproducent in de wereld te zijn als het aankomt op het updaten van onze signatures voor nieuwe virussen. We hebben een gemiddelde responstijd van midner dan twee uur, en we werken eraan om dit zelfs te verbeteren.
Tomislav Pavlovic - Symantec: Een goede AntiVirus oplossing bestaat vandaag uit een effectieve AntiVirus scan applicatie maar ook net zo belangrijk is de response en de resources die security leveranciers in huis hebben. Dit om infectie door en de verspreiding van de nieuwe en meer complexe type virussen en gecombineerde aanvallen tegen te houden en het liefst te voorkomen. Door de steeds stijgende aantallen van deze gecombineerde aanvallen bestaat een effectief respons team vandaag niet alleen uit virus experts maar ook uit security experts.
Symantec heeft wat respons betreft een van de meest uitgebreide backend architecturen.
-Security response
-Symantec Automation
-Deepsight
Verder is de expertise in andere security oplossingen vandaag zeker geen overbodige luxe aangezien de gecombineerde aanvallen (Sasser, Blaster, Nimda zijn hier maar een paar voorbeelden van) om steeds meer kennis vragen van de antivirus leveranciers.
Symantec is vandaag een leverancier van security oplossingen die die deze verschillende security technologie maar ook de expertise in huis heeft.
Wat is de definitieve oplossing voor het virusprobleem?
Patrick Aalbers – McAfee: Ik vraag me af of dat er is. De verdediging is zo sterk als de zwakste schakel. En die schakel kan ook de mens zelf zijn. Onderzoek wijst uit dat mensen nog steeds zullen dubbelklikken op verdachte bestanden die per mail binnenkomen.
De technologie zal zich gelukkig blijven ontwikkelen. Nieuwe toepassingen, nieuwe vormen van communicatie. Gelukkig maar, want daar heeft iedereen profijt van. Er zullen echter altijd mensen zijn die dit willen misbruiken.
Mihai Radu - BitDefender: Laten we met een quote beginnen: “Slechte communicatie belemmert diefstal; geode communicatie helpt diefstal; perfecte communicatie maakt diefstal onmogelijk,” van Braam. Totdat we perfecte communicatie bereiken, zullen virussen blijven bestaan.
Dick Geheniau en Roel Schouwenberg - Kaspersky Labs: Deze vraag heeft geen echt antwoord, virussen of varianten daarvan zullen er waarschijnlijk altijd blijven, net zoals er altijd biologische virussen zullen zijn. We kunnen alleen proberen malware zo veel mogelijk terug te dringen. Er zijn verschillende visies en motivaties om aan te nemen dat het probleem met virtussen zal blijven toenemen.
In den Beginne was het allemaal begonnen met een onschuldig en efficiente utilitie die outdated files verwijderde uit grote mainframes. Een student heeft diezelfde techniek toegepast om een Kerstboodschap de wereld rond te laten reizen christmas virus in 1984. Daarna zijn medestudenten aan de haal gegaan met de kleine source code waarbij ze de payload (uitkomst van het virus) veranderde in schadelijk commando's zoals delete... of format... Hierdoor begon de onschuldige kwaadardigheid. Toch bleef het een prestige ontwikkeling waarbij meestal emoties en frustraties parten speelde.
Momenteel zijn we anders gewend. Met Spam en Spyware hebben zich twee nieuwe werelden aangemeld. Die van commercieel winstbejag en criminaliteit. Hier gaat het om geld en dat zorgt ervoor dat er altijd naar mogelijkheden gezocht zal worden om uiteindelijk het doel te bereiken!
Regulatie vanuit de overheid zou een oplossing geweest kunnen zijn maar de annonimiteit op Het Net laat veel te wensen over om de daders van strafbare feiten op te pakken. Erger nog, wanneer er ergens een land regelgeving heeft toegepast, staan de spammers als eerste in de rij om zich op te geven om middels een "legale" manier hun werk te kunnen doen.. Laat staan dat ze dan wel een false ID hebben toegepast!
Wetgeving en techniek kunnen nooit een 100% zekerheid bieden in het uitbannen van dreigingen afkomstig van Het Net. Het meest haalbare om het virus, spam en spyware probleem op te lossen kan bereikt worden door techniek en educatie van de eindgebruiker te combineren.
Een alternatief zou zijn om het Operating systeem veiliger te maken. Echter is gebleken dat zodra zo'n "veilig OS" populair begint te worden dat weer genoeg reden is om ook daar weer iets op te bedenken. Zo zijn er voor Linux regelmatig advisories voor vulnerabilities die gepatcht moeten worden. Daarnaast moeten netwerken en netwerkprotocollen veiliger worden. Denk bijvoorbeeld aan het makkelijk te kraken WEP. Misschien moet er zelfs wel een 'secure Inet' komen, om zo de integriteit van het netwerk te kunnen garanderen. Hoe dat eventueel te implementeren is natuurlijk weer een compleet andere kwestie.
Users moeten voorgelicht worden, waarbij ze dan ook een certificaat moeten verdienen om op internet te mogen, zie het als een soort e-rijbewijs. Dit rijbewijs zou dan ook direct moeten gelden als e-ID. Aan de hand van de 'nummerplaat' op de 'auto' kunnen criminelen dan daadwerkelijk getraceerd worden. Vanwege het hoge 'big brother' gehalte moeten we dan ook alles inzetten om te zorgen dat de betreffende gegevens beschermd blijven. Momenteel is dit nog verre van realiteit dus laten we maar gewoon doorgaan met hulpmiddelen als een virusscanner en ons eigen gezonde verstand.
Marnix van Meer – Sophos: Slecht nieuws, er is en komt geen definitieve oplossing voor het virusprobleem. Software wordt steeds complexer en dus vatbaarder voor virussen. Ook de connectivity van applicaties (chatten/emailen, p2p enz) en communicatiemiddelen (WiFi, Bluetooth, Viop enz.) vergroten de kans dat we er alleen maar meer last van gaan krijgen.
Tomislav Pavlovic - Symantec: De combinatie van verschillende security oplossingen zoals AntiVirus, Firewall, IDS, en zelfs Host Intrusion Detection en Patch Management en policy compliance zijn vandaag vanuit de technische oogpunt de oplossingen die noodzakkelijk voor een goede beveiliging. Door de al genoemde gecombineerde aanvallen die gebruik maken van onder andere lekken in software of die mailservers of andere netwerk resources gebruiken om zichzelf te verspreiden is het vandaag bijna onmogelijk om een een antivirus oplossingen te scheiden van de rest van de security oplossingen. In het kort: Integratie is waar we naar moeten kijken om het virusproblemen op te lossen.
Welke ontwikkelingen op anti-virus gebied staan ons te wachten?
Mihai Radu - BitDefender: We zien een scherpe afname van klassieke mass mailers en een toename van intelligentere vormen van malware, zoals wormen
We zullen meer versies en nieuwe families van virussen zien dan we gewend zijn.
We zien ook nieuwe aanvallen, zoals het gebruik van spam om bots te verspreiden die dit zelf niet kunnen. Een recent voorbeeld hiervan is de Sticy familie.
Patrick Aalbers - McAfee: Virussen voor de mobiele telefonie. Er bestaan reeds enkele voorbeelden, maar die kunnen nog niet veel uitrichten. De telefoons kunnen namelijk nog maar zeer beperkt scripts verwerken. Zodra telefoons nog meer met internet geïntegreerd zullen zijn, en volledige scriptverwerking mogelijk is, dan pas wordt het gevaar groot.
Dan zullen telefoonvirussen zich massaal kunnen gaan verspreiden via de adresboeken. Uiteraard heeft McAfee reeds oplossingen voor deze nieuwe bedreigingen. Er bestaan samenwerkeing met de mobiele operators zoals bijvoorbeel NTTDOCoMo.
Marnix van Meer – Sophos: Het begrip antivirus is inmiddels achterhaald. Het gaat vaker om wormen, trojaanse paarden en backdoors, vaak gecombineerd met virale code voor besmetting en verspreiding.
De mutatiesnelheid van virussen is sterk toegenomen. In het verleden duurde het weken voordat een variant van een virus uit kwam, tegenwoordig is dit een kwestie van minuten. De reactiesnelheid van antivirus software zal steeds verder verhoogd moeten worden.
Dick Geheniau en Roel Schouwenberg - Kaspersky Labs: Volgens sommigen wordt 2005 de dood van de virus-signatures, hoewel er getwijfeld mag worden aan de juistheid van deze stelling, zal er wel meer gebruik van pro-active detection gemaakt worden om de signatures te ondersteunen.
Het te zeer op heuristics leunen zal leiden tot false positives, die natuurlijk voorkomen moeten worden. Om deze reden kunnen signatures dan ook niet afgeschaft worden. Daarnaast kan het vertrouwen op heuristisch scannen leiden tot een slechte responsetijd als er malware uitbreekt die nog niet gedetecteerd wordt.
Verder zien we ook al een nieuwe golf van problemen ontstaan bij de geavanceerde mobieltjes met eigen operating systemen die kunnen synchroniseren met een PC. De zogenaamde smartphones. Kaspersky is ook hier weer de eerste geweest die de virussignatures voor deze nieuwe generatie dreigingen heeft aangeleverd. Het wordt interessant om te zien hoe snel en in welke mate de mobile malware gaat oprukken. Kaspersky werkt momenteel aan haar toekomstige scanner die meer valt in de category Secure Content management (SCM) Zo'n scanner komt dan met oander andere Anti-virus, Anti-spyware, firewall, anti-spam, parental control en een pro-active defense system.
Tomislav Pavlovic - Symantec: Meer integratie tussen antivirus en andere security oplossingen.
We zien dat spyware, trojaanse paarden, wormen en virussen steeds meer in elkaar overgaan, hoe denkt u deze nieuwe dreiging te lijf te gaan?
Dick Geheniau en Roel Schouwenberg - Kaspersky Labs: Veel technieken die ad/spyware gebruiken om zichzelf te verbergen, zijn eerder al voorgekomen in virussen. Het maakt verder alleen uit welke klassering een sample krijgt, maar of een file nu een pop-up laat zien of de hdd probeert te killen, het maakt qua detectie niet uit. Kaspersky is goed bekend met deze technieken en weet ze snel te kunnen counteren.
Voor zover bekend is Kaspersky AV de enige Anti-Virus oplossing die de eerste file-infecting spyware compleet kan detecteren én disinfecteren, Kaspersky geeft spyware dan ook geen kans en pakt alles aan wat de integriteit van data aantast. De nieuwe pro-active defense methode van Kaspersky's Security Suite zal de verschillende migraties van nieuwe dreigingen weten te stoppen.
Marnix van Meer – Sophos: Sophos herkent in haar antivirus software niet alleen virussen maar ook spyware, trojaanse paarden wormen enz. Wij categoriseren dit op meer dan 30 verschillende onderdelen. Geen enkele antivirus leverancier is zo gedetailleerd in de detectie en informatievoorziening.
Mihai Radu - BitDefender: De notie dat een ultieme “gecombineerde dreiging” zal verschijnen wordt door de PR van Symantec verspreid, in een poging om hun te dure en te complexe software suites te verkopen.
De eerder genoemde dreigingen worden niet gecombineerd. In tegendeel zelfs. Net als met levende dingen, zullen zowel malware als security software zich blijven ontwikkelen, verbeteren en veranderen, waarbij geen enkele mogelijkheid wordt overgeslagen, totdat het landschap geheel bedekt is met “leven”.
Patrick Aalbers - McAfee: Exact op de manier zoals McAfee het nu bestrijdt. Met een meerlagige bescherming, bescherming op alle punten op netwerk en systeemniveau. Daarnaast werkt McAfee aan een toenemende integratie van de oplossingen. McAfee VirusScan 8.0i is een goed voorbeeld hiervan en biedt bescherming tegen virussen, wormen, potentieel ongewenste programma’s zoals spyware en buffer overflows.
Tomislav Pavlovic - Symantec: Nogmaals integratie. Symantec AntiVirus heeft vandaag al basis detectie voor Spyware, Adware en dialers. Volledige integratie van spyware/adware removal technologien met de AntiVirus technologien zou hier een oplossing voor bieden.
Update 17:00 - Reactie van Symantec geplaatst.
Deze posting is gelocked. Reageren is niet meer mogelijk.