Beveiliging van endpoints kan naar veel hoger niveau

Traditionele beveiligingsmethoden voldoen niet meer om de cybercriminelen bij te houden – laat staan voor te blijven. Maar ook het aantal apparaten – endpoints – dat beveiligd dient te worden, groeit klassieke security-methodieken boven het hoofd. McAfee introduceert daarom nu een geheel andere aanpak, die gebaseerd is op 'whitelisting' van applicaties. Daarmee biedt het bedrijf de IT-afdeling bovendien meteen grip op BYOD.

Iedere dag worden er meer dan 100.000 nieuwe malware-varianten gedetecteerd. Dat zijn er maar liefst 69 per minuut of ruim één per seconde. De dreigingen blijven dus toenemen en dat zal voorlopig alleen nog maar sneller gaan. Commerciële tools om zelf malware te creëren – makkelijk en snel, zonder al te veel technische kennis – maken het in feite voor iedere (cyber)crimineel mogelijk om phishing, spam of botnets in te zetten tegen een bedrijf of organisatie. En als de potentiële opbrengst maar hoog genoeg is, worden er speciale, doelgerichte en persistente aanvalsvormen ingezet – niet zelden met succes.


Het resultaat van al deze aanvallen is dat organisaties hun handen vol hebben aan beveiliging. Daar komt nog eens bij dat de BYOD-trend geheel nieuwe uitdagingen met zich meebrengt op het gebied van beveiliging en beheer. De explosie van het aantal verschillende mobiele apparaten dat toegang heeft tot zowel persoonlijke als zakelijke informatie, heeft er al voor gezorgd dat mobiele apparaten het belangrijkste nieuwe doelwit zijn geworden voor cybercriminelen. Dat betekent dat bedrijfssystemen potentieel gevaar lopen wanneer besmette mobiele apparaten verbinding maken met het bedrijfsnetwerk.

Vier fasen
Een malware-aanval kent vier verschillende fasen. Om te beginnen moet de malware op de een of andere manier in contact worden gebracht met gebruiker. Vervolgens moet de malware toegang krijgen tot het systeem, waarna er bestanden op worden geplaatst en systeeminstellingen worden gewijzigd. Allemaal zonder dat de gebruiker daar iets van merkt. Op de derde plaats zorgt de malware ervoor dat het als het ware ‘onzichtbaar’ wordt voor het systeem en – bij geavanceerde technieken – zelfs voor eventueel geïnstalleerde beveiligingssoftware. Tot slot gaat de malware daadwerkelijk aan de slag, bijvoorbeeld om informatie te stelen en door te sluizen naar een voor de cybercrimineel toegankelijke locatie.

Om systemen effectief te kunnen beveiligen, moet beveiligingssoftware in al deze vier fasen actief zijn. Bijvoorbeeld door te filteren op links in spam-mails of social media-berichten die leiden naar besmette websites. Een systeem als McAfee’s op cloud gebaseerde Global Threat Intelligence (GTI) controleert voortdurend de reputatie van websites, IP-adressen links en dergelijke en geeft een waarschuwing wanneer een gebruiker een verdachte link of website probeert te openen (fase 1). Zo kan in veel gevallen al worden voorkomen dat malware op een systeem of netwerk belandt. Tegelijkertijd moet in real-time gemonitord worden op verdachte activiteit op het systeem, die erop kan duiden op malware die zich ergens tracht te nestelen (fase 2). Maar er is intussen zeer geavanceerde malware die zich weet te verbergen op een niveau onder het besturingssysteem (fase 3). Deze zogenaamde ‘rootkits’ zijn onzichtbaar voor traditionele beveiligingssoftware, omdat ze geladen worden nog voor het opstarten van Windows, op een moment dat traditionele virusscanners nog niet actief zijn. De door McAfee en Intel gezamenlijk ontwikkelde DeepDefender-technologie is echter in staat om systemen ook effectief tegen dergelijke rootkits te beschermen, zoals ook blijkt uit tests door onder gerenommeerde testorganisaties, waaronder AV-Test en NSS Labs. Tot slot moet de beveiligingssoftware natuurlijk ook voortdurend alert zijn op de activiteiten waarvoor de malware eigenlijk is ontwikkeld: het verzamelen en doorzenden van logingegevens, financiële informatie of andere bedrijfskritische gegevens (fase 4), het beschadigen van bestanden of het platleggen van informatiesystemen.


Meer systemen om te beschermen
De complexiteit rondom het beschermen in deze vier aanvalsfasen neemt toe, doordat het aantal verschillende endpoints binnen organisaties sterk groeit. Enkele jaren geleden ging het voornamelijk om het beveiligen van de desktop-pc of laptop, maar intussen hebben we het over een veel grotere verscheidenheid aan systemen. Endpoints worden op dit moment ingedeeld in de volgende categorieën: de werkplek, het datacenter en mobiele apparaten of apparaten met één functie (bijvoorbeeld opslagsystemen of medische apparaten).

Op de werkplek hebben we het onder andere over desktops, laptops/ultrabooks en verwisselbare opslagmedia (bijvoorbeeld USB-sticks). Dit zijn de systemen die over het algemeen het meest kwetsbaar zijn en zijn dus ook het belangrijkste doelwit van aanvallen. Maar ook systemen in het datacenter lopen risico’s, van servers (fysieke of virtuele) tot databases en opslagsystemen. Al deze zakelijke endpointsystemen bevatten informatie die van groot belang is voor een organisatie en die dus goed beveiligd moet worden.

Dan is er BYOD: voor steeds meer organisaties is dit een centraal onderdeel van de IT-strategie en vereist specifieke beveiligingsmaatregelen om ervoor te zorgen dat zowel persoonlijke als bedrijfsinformatie goed beschermd is. De uitdaging daarbij is dat de gebruikers van smartphones en tablets graag keuze en flexibiliteit willen in het type apparaten dat ze gebruiken, terwijl de IT- en beveiligingsafdeling de juiste balans moet zien te vinden tussen beveiliging en productiviteit. Daarnaast zien we dat ook steeds meer apparaten met één enkele functie verbonden zijn met het netwerk en dus ook beveiligd moeten worden. Naarmate meer en meer endpoints worden aangesloten op het netwerk, moeten organisaties nieuwe manieren vinden om al deze apparaten effectief en efficiënt te beveiligen.


Zwart versus wit
Tot nu toe maken de meeste beveiligingsoplossingen gebruik van ‘blacklisting’ waarbij continu een database wordt bijgehouden met informatie en karakteristieke kenmerken van bekende malware. Voordat een toepassing op een systeem gestart kan worden, controleert de beveiligingssoftware of het deze kenmerken tegenkomt in de bewuste toepassing. Zo ja, dan wordt voorkomen dat de toepassing start en worden de gebruiker en de IT-afdeling gewaarschuwd. Blacklisting was lange tijd een goede beschermingsmethode, maar de ontwikkeling van nieuwe malware gaat intussen dusdanig snel dat het bijhouden en distribueren van blacklisting-gegevens niet langer de meest effectieve oplossing is. Het is beter om het goedkeuringsproces voor toepassingen om te draaien. Dus niet langer controleren of een toepassing te vinden is in een lange lijst met geblokkeerde toepassingen, maar juist alleen die toepassingen toestaat die expliciet zijn opgenomen in een zogenaamde ‘whitelist’.

Voor veel organisaties is whitelisting een veel veiligere en zinvollere beveiligingsmethode, omdat het aantal toepassingen dat binnen een organisatie nodig is voor de bedrijfsprocessen, vrij beperkt is. Het is dus relatief eenvoudig om een database met bekende, goedgekeurde toepassingen op te stellen en bij te houden. Een toepassing die niet in deze database voorkomt, kan niet worden gestart. Dat geldt dus ook voor malware-applicaties. Een enorm pluspunt is daarbij het feit dat systemen ook beschermd zijn tegen nieuwe, onbekende malware. Bij blacklisting moet eerst gewacht worden tot er een update van de malwaredatabase beschikbaar is en vervolgens moet deze op alle systemen worden geïnstalleerd. Tot die tijd heeft de malware echter min of meer vrij spel en kan het de nodige schade aanrichten.

Naast het pure beveiligingsaspect heeft whitelisting nog andere voordelen. Zo heeft de IT-afdeling hiermee meteen een prima middel in handen om het gebruik van niet-geautoriseerde toepassingen door gebruikers tegen te gaan. De prestaties zijn bij gebruik van de whitelisting-methode ook veel beter, omdat de blacklists met malware-kenmerken aanzienlijk in omvang blijven toenemen, waardoor het meer tijd en capaciteit kost om deze telkens te raadplegen. McAfee biedt in zijn nieuwe Complete Endpoint Securuty-suites daarbij de mogelijkheid om applicaties dynamisch op de whitelist te zetten indien een eindgebruiker deze nodig heeft. Daarbij kan gekozen worden voor automatische goedkeuring van whitelist-verzoeken (waarbij uiteraard wel audit-gegevens worden bijgehouden) of voor een benadering waarbij via het beheersysteem eerst toestemming moet worden gegeven voor installatie van een nieuwe toepassing.

Eenvoudiger beheer
Om het beheer van de beveiliging binnen de hele organisatie eenvoudiger, effectiever en goedkoper te maken, is in de McAfee Complete Endpoint Protection-suites het beheer van alle endpoints bijeengebracht in één beheerplatform. Voor de IT- of beveiligingsafdeling betekent dit geen aparte consoles meer voor de servers, voor de pc’s en laptops, voor de smartphones en tablets en dergelijke. Ook vanuit administratief oogpunt is dit een flinke stap vooruit, omdat het niet meer nodig is om voor al deze platforms aparte producten en -licenties aan te schaffen.

McAfee’s ePolicy Orchestrator (ePO) is daarbij een belangrijk hulpmiddel. ePO helpt organisaties bij het vastleggen van de bedrijfsregels op het gebied van digitale beveiliging en zorgt ervoor dat deze regels automatisch worden afgedwongen op de verschillende endpoint-systemen. De nieuwe Real Time for ePolicy Orchestrator-software zorgt daarbij voor een aanzienlijke versnelling in het herkennen van verdacht verkeer en maakt het mogelijk om snel en adequaat te reageren wanneer afwijkingen worden gedetecteerd. Het resultaat is een beveiligingsbeheersysteem waarmee bedrijven razendsnel informatie kunnen verzamelen over elke endpoint binnen het bedrijfsnetwerk – mobiel of vast – en makkelijk beveiligingssoftware kunnen distribueren of updaten.

Zo biedt McAfee met het bijeenbrengen van al deze beveiligingstools in één complete en gemakkelijk te beheren suite, waarmee organisaties effectieve tegenmaatregelen in huis halen alle vier fasen van een malware-aanval.