Het beschermen van laptops en devices van werknemers blijkt cruciaal voor de veiligheid. Dit blijkt uit een onderzoek Check Point Security Software. Hackers hebben het hier immers vaak op gemunt. Hackers zien deze minder beschermde toestellen als zwakke schakel en viseren ze steeds vaker om de it-beveiliging van bedrijven te omzeilen. Een nieuwe security-aanpak moet hackers een hak zetten.
Het probleem met de hedendaagse computers is dat ze zo mobiel zijn. ‘Nog te vaak zijn de (eigen) laptops van werknemers niet beschermd door de security infrastructuur van het bedrijfsnetwerk. Hierdoor zijn ze kwetsbaar voor geavanceerde malware, geïnfecteerde externe opslagapparaten of kwaadaardige inhoud van websites’, vertelt Xavier Duyck, country manager Belux van Check Point Software Technologies, naar eigen zeggen de grootste pure-play it-security-leverancier wereldwijd.
Uit het onderzoek blijkt dat maar liefst 25 procent van de end-point devices geen up-to-date antivirus hebben. Een vijfde van de respondenten uit het onderzoek geeft aan dat ze geen lokale firewall op hun pc draaien.
Hackers gaan op zoek naar de zwakste schakel in de it-beveiliging van een bedrijf. ‘Het hoeft dan ook geen verrassing te zijn dat hackers zich steeds meer richten op deze endpoint-toestellen die kwetsbaar zijn voor geavanceerde nieuwe aanvallen. Dit kunnen varianten zijn van bestaande ransomware (Cryptowall, Cryptolocker) of andere ‘onzichtbare’ middelen bedoeld om de laptop te besmetten en vervolgens het bedrijfsnetwerk te infecteren’, aldus Xavier Duyck.
Omdat laptops gemakkelijk geïnfecteerd kunnen worden, en vervolgens die virussen en malware direct in het hart van de it van een organisatie kunnen injecteren, vraagt dit om een gelaagde security aanpak. Duyck: ‘Ten eerste moet de beveiliging van die endpoint-toestellen verder gaan dan de traditionele antivirus die enkel de bekende bedreigingen kan detecteren. Ten tweede, moeten organisaties betere tools gebruiken om aanvallen die in hun netwerk en op endpoint- toestellen opduiken, te identificeren om snel de bron en de omvang van de aanvallen te kaderen, en de beste manier te vinden om het probleem op te lossen.’
De nieuwe beveiligingsaanpak bestaat uit drie cruciale stappen:
• Onbekende malware onderscheppen. Het is voor een hacker gemakkelijk om met vrij verkrijgbare toolkits bestaande malware een beetje te wijzigen zodat deze onbekend is voor conventionele antivirus-oplossingen. Een beveiligingstechniek die hierbij vaker gebruikt wordt, is threat emulation of sandboxing. Verdachte bestanden worden onderschept als ze aankomen en worden nagekeken in een afgesloten deel (de sandbox). Als een bestand verdacht is, wordt het geblokkeerd. Sandboxing verhoogt drastisch de detectie, maar het vraagt veel rekenkracht op een gewone laptop of pc wat een impact heeft op de gebruikservaring.
• Slimme sandboxing. ‘Door te veronderstellen dat elke e-mailbijlage of download besmet kan zijn, en door alle potentiële bedreigingen te verwijderen voordat ze bij de gebruiker komen, kunnen we veel voorkomende types van besmetting elimineren”, zegt Duyck. ‘Dit is de zogenaamde threat extraction: documenten worden gereconstrueerd met behulp van alleen de veilige elementen, en alle verdachte inhoud (zoals macro’s, ingesloten objecten en bestanden, en externe links) wordt verwijderd. Het opgekuiste document is al na een paar seconden beschikbaar voor de gebruiker, zodat hij er onmiddellijk mee aan de slag kan en het detectie proces zijn werk niet hindert.’
Het originele document gaat vervolgens naar een slimme sandbox-omgeving in een publieke of private cloud, waar het tot in detail kan worden onderzocht. Als het document infectievrij is, kan de gebruiker het veilig downloaden. Deze slimme aanpak minimaliseert de verwerking en vereiste rekenkracht op het endpoint device, terwijl de bescherming tegen bedreigingen in bijlagen van e-mails, downloads of data gekopieerd van externe opslagapparaten optimaal is.
• Geautomatiseerde analyse. Zelfs als een aanval in een vroeg stadium wordt geïdentificeerd, is het zeer belangrijk dat it-teams begrijpen wat de aanval was, hoe hij gebeurde, en welke schade het bedrijf hierdoor leed. Echter, het complexe ecosysteem van endpoint- toestellen in een bedrijf bemoeilijkt dergelijke analyse van security incidenten. Het is vaak lastig om aan te wijzen waar een incident begon, laat staan om de volledige levenscyclus van de aanval en de schade in kaart te brengen.
Om dergelijke incidenten te analyseren, moet een endpoint security-oplossing eerst in staat zijn om continu data van aanvallen te monitoren, waardoor de herkomst en reikwijdte van de aanval zichtbaar wordt. Duyck: ‘De huidige handmatige controlemethodes zijn gewoon te tijdrovend om dit bij elk incident te doen. Een geautomatiseerde incident analyse met gedetailleerde rapporten daarentegen kan it-teams wel helpen om de volledige levenscyclus van de aanval te begrijpen en de remediëring van een geïnfecteerd netwerk te versnellen. Enkel door het combineren van geavanceerde threat prevention en het automatiseren van het verzamelen en analyseren van de data over aanvallen, kunnen organisaties zowel de systemen van gebruikers als hun core-netwerken beschermen zonder de business te hinderen.’
