De notie dat alleen antivirus niet meer volstaat, oogt inmiddels als een open deur. De stelling dat traditionele security ook tekort schiet, kent nog kritiek. Toch is dat de claim van een relatieve nieuwkomer, van Europese bodem.
Gedragsanalyse is het sleutelwoord van Stormshield, een zelfstandige dochteronderneming van de Europese defensie- en ruimtevaartgigant Airbus Defence & Space. Deze dochter is begaan met ict-security en belooft daarmee de beperkingen van traditionele security voorbij te gaan. ‘Stormshield doet meer dan antivirus. Antivirus is een medicijn, wij doen aan preventie’, vertelt technisch directeur Benoît Vancaneghem aan Computable. Die preventieve bescherming omvat alle bekende en onbekende ransomware, apt’s (advanced persistent threats) en voorheen onbekende kwetsbaarheden (0-days), licht hij toe.
Opgevoerd tempo
Vancaneghem verwijst naar de vele grote incidenten in de recente geschiedenis, waarbij grote organisaties vergaand zijn gehackt ondanks hun gebruik van vertrouwde securitymiddelen. De lijst is lang en omvat niet alleen ‘gewone’ bedrijven maar ook ict-leveranciers: Google, VMware, RSA, The New York Times, Sony Pictures, Target en vele anderen. ‘Allen hadden antivirus, allen zijn gehackt.’
Moderne ict-security moet mee gaan met moderne, complexe dreigingen, stelt ook onderzoeksbureau IDC. Antivirus-oplossingen zijn op zichzelf effectief tegen slechts 30 tot 40 procent van de bekende dreigingen, aldus IDC, dat verwijst naar onderzoek van ENISA (de European Network and Information Security Agency). Daarnaast is antivirus 100 procent ineffectief tegen nieuwe dreigingen en tegen dreigingen die zichzelf goed weten te verhullen. Een nieuwe aanpak lijkt dan ook zinnig, stelt IDC: indien niet als vervanging van antivirus dan tenminste als aanvulling.
Stormshield biedt naast systemen voor netwerk- en databescherming ook next generation endpoint protection. Dat is meer dan het vullen van een productportfolio of het afvinken van een bereiklijst. Vancaneghem: ‘78 procent van alle succesvolle aanvallen gebeurt via workstations’. Met de term workstations doelt de technisch directeur op client-systemen, zoals naast zware werkstations ook gewone kantoor-pc’s, laptops, en andere client-apparaten.
De 5 ‘als-en’
Het vroeger probate middel van antivirus schiet tekort omdat het afhankelijk is van vijf ‘als-en’, legt Vancaneghem uit. Het kan pas effectief zijn áls malware al elders is opgedoken, áls het dan gedetecteerd is, áls die detectie bij een securityleverancier is aangekomen, áls die signatures heeft gecreëerd en tot slot áls die digitale vingerafdrukken ook bij gebruikers zijn uitgerold. De snelle, maar vooral gerichte ontwikkeling van malware doorkruist deze keten van afhankelijkheden voor adequate bescherming.
Leveranciers moeten dus steeds sneller zijn, maar ook hun klanten moeten sneller reageren; bijvoorbeeld door in rap tempo de door hun gebruikte securityoplossingen te updaten. Stormshield stelt hier de oplossing voor te hebben door af te stappen van signatures en ook door update-loos prima te kunnen beschermen. ‘De signature-loze benadering neemt de vijf ‘als-en’ weg en wij werken zonder updates, dus ook offline. Want het werkt op basis van policies en analyse van OS-processen.’
Securitysoftware zelf en 0-days
Overigens is er nog wel sprake van updates, maar dan alleen voor de software zelf. Dit zijn dan patches om de werking te verbeteren, of voor het geval dat er een kwetsbaarheid in de securitysoftware zou zitten. Laatstgenoemde blijkt in de praktijk voor te komen bij ict-beveiligingsproducten van uiteenlopende leveranciers. De beruchte securityonderzoeker Tavis Ormandy, lid van Google’s ‘gatenjagerteam’ Project Zero, heeft al diverse 0-days in securitysoftware ontdekt.
De securityoplossing van Stormshield zou ook beschermen tegen misbruik van dergelijke gaten in de diepgaande securitysoftware. De policy-based detectie gaat namelijk om het gedrag van programmatuur en gebruikers, niet om een exacte identificatie op basis van reeds bekende eigenschappen. Vancaneghem legt uit dat gedragsanalyse niet gebeurt op basis van patronen, wat eenzelfde afhankelijkheid zou kunnen opleveren als voor antivirus-signatures. ‘De analyse gebeurt realtime: op het niveau van het proces én de kernel.’ Het aanroepen van code elders in het geheugen wordt dan gedetecteerd en vervolgens geblokkeerd.
Leren en zelfanalyseren
Stormshields realtime gedragsanalyse merkt dan op dat Adobe Reader (of een andere pdf-applicatie) ineens winword.exe aanroept, of verhoogde gebruikersrechten probeert te bemachtigen. ‘Wij voorkomen infectie niet, maar wij voorkomen de kwaadaardige daad.’ Onderzoeksbureau IDC stelt ook dat ciso’s (chief information security managers) moeten leren accepteren dat ze niet kunnen voorkomen dat malware wordt geïnstalleerd op hun infrastructuur. Dit vereist wel culturele en professionele aanpassingen, waarschuwt IDC.
Vancaneghem reageert kalm op de vraag naar het risico van false-positives, dus handelingen die onterecht als verdacht worden aangemerkt. ‘Beheerders kunnen dat zelf aan eigen whitelists toevoegen.’ Hiervoor kent de Stormshield-software ook een speciale leermodus, waarbij het in een geïsoleerde omgeving eerst zijn gang kan gaan. Daardoor kan het leren: wat is normaal gedrag, binnen déze organisatie?
Verder doet de software ook aan zelfanalyse en zelfbescherming. Zo wordt het in een preboot-stadium al ingeladen als een driver, in plaats van als een proces. Daarmee zit het tussen de user- en kernelspace in, licht de technische topman toe.
Wapenwedloop met aanvallers
Stormshield claimt zo ook voorbereid te zijn op nieuwe, complexere methodes die aanvallers hanteren. Zo komt malware tegenwoordig niet altijd direct mee ín malafide pdf- of Word-documenten, die worden toegestuurd in overtuigende phishingmails. Malware wordt vaker binnengehaald via zo’n verleidelijk nepdocument. ‘Daders worden steeds slimmer: ze gebruiken bestaande applicaties en code, om detectie te voorkomen. En ze leren van hoe ze geblokkeerd worden.’
Zo weet de moderne dreiging van ransomware vaak toe te slaan en kostbare bedrijfsdata te versleutelen. Deze afpersingsmalware komt bijvoorbeeld binnen via een pdf-bestand dat bepaalde calls doet in het systeem om de eigenlijke ransomware-code te downloaden en compileren, waarna de publieke encryptiesleutel voor de datagijzeling wordt binnengehaald en toegepast.
Antivirus heeft nog wel waarde
Volgens Vancaneghem is het standaardadvies van antivirusleveranciers tegen ransomware om goede back-ups te hebben. Dan is er echter nog altijd sprake van tijdsverlies; door de restore-operatie zelf en door de verstreken tijd tussen de dataramp en de meest recente back-up. Dit vertaalt zich in bedrijfsschade. ‘Antivirus is een psychologische bescherming, net zoals een basale firewall dat ooit was.’
Ondanks de kritiek op antivirus stelt Vancaneghem dat Stormshield daar niet mee concurreert. ‘We vullen het aan’, zegt de technisch directeur. ‘Wij stoppen alle mogelijke executieprocessen, maar doen niet aan opruimen.’ Daar heeft antivirus dus nog waarde. ‘Als de 0-day of ransomware op een later tijdstip is geanalyseerd en opgenomen in een antivirusdatabase is dat goed voor het verwijderen van de 0-day code.’ Stormshield maakt zich hard om het niet zo ver te laten komen door de executiemogelijkheid van bekende en onbekende malware te blokkeren.