nl
Shopping Cart: 0 product(en) - €0,00 0 0 item(s)

  • U heeft nog geen producten in uw winkelwagen.

De Kracht van Correllatie en Threat Intelligence

De goede oude tijd dat u geen omkijken had naar uw ICT beveiliging is verleden tijd. Het simpelweg kopen van een virus scanner voor de PC en vertrouwen dat de modem van uw provider de gevaren van buiten tegen houdt voldoen simpelweg niet meer. En de reden is simpel: bedreigingen van buiten zijn complexer dan ooit, groter dan ooit en vaker dan ooit. Het is echter niet zo dat u al deze beveiliging de deur uit kunt doen. Geenszins zelfs. Maar om beter beschermd te zijn moeten we de beveiligingsmiddelen wel anders gaan inzetten. En dat vergt meer tijd en moeite. Het positieve is dat u dit niet zelf hoeft te doen, maar ook aan ons over kunt laten. We willen u proberen uit te leggen hoe ICT beveiliging aan het veranderen is.


Hoe het was

Traditionele virusscanners gebruiken een database met bekende virussen om een virus te detecteren. Tot enkele jaren geleden was dit afdoende om uw netwerk, samen met een firewall (veelal geintegreerdin het modem) te beveiligen. Een virus werd op de PC afgevangen en een inbraak op de firewall. Tegenwoordig is dit niet meer het geval. Virussen zijn slimmer geworden en gebruiken meer en meer het Internet over beveiligde verbindingen, iets waar uw modem/firewall niets aan kan doen. Er worden ook steeds meer beveiligingsproblemen steeds sneller misbruikt. Dit noemt men 0-day malware. Doordat deze 0-days niet in de lokale databases staan, is infectie met het virus vrijwel gegarandeerd. Alternatieven zijn dus nodig.


Hoe het is

Omdat het niet te doen is om al die lokale databases op al die PC's continue bijgewerkt te houden en het tijdsverschil tussen het vinden van 0-days en het bijwerken van de lokale virus database zo klein mogelijk te houden, is er iets nieuws: een database met alle virussen op het Internet. Er wordt weliswaar nog altijd gebruikt, maar daarnaast wordt ook deze grote database met al die virussen gebruikt voor detectie. Dat is al een enorme vooruitgang.

Dit zelfde geldt ook voor UTM appliances; virus definities, spam definities, IPS/IDS patronen, etc. worden continue bijgewerkt in databases en deze databases worden weer door uw appliances gebruikt. Dit is een enorme toename van de veiligheid.

Maar er zit nog een adder onder het gras: de tijd tussen ontdekking van de kwetsbaarheid die een virus misbruikt en de detectie door een malware software producent. Deze is nog reeds enorm verbeterd t.o.v. een aantal jaren geleden, maar nog altijd relatief lang. Daarnaast volgen virussen zich steeds sneller op, soms nieuw, soms gebaseerd op een bestaand virus met een aantal kleine verbeteringen/veranderingen. De tijd om de detectie te garanderen wordt daarmee steeds korter.


Hoe het is/wordt

Het is voor leveranciers van ICT beveiliging schier onmogelijk dichter bij malware ontwikkelaars te komen op de traditionele manier. Deze manier houdt in dat een virus gevonden moet worden, waarna het virus gekenschetst moet worden en in de databases moet worden geladen. De enige manier om dichter bij te komen is om te proberen te voorspellen dat er een aanval komt. Leveranciers proberen dit met Threat Intelligence: het verzamelen van allerlei inlichtingen vanuit het reguliere Internet, het deep web en het dark web. Daar wordt immers veelvuldig gesproken over aanvallen, mogelijk  in combinatie met namen van personen en/of bedrijven. Met die informatie kunnen leveranciers waarschuwingen uitsturen naar die personen/bedrijven en/of alvast karakteristieken inladen in hun databases, waardoor de aanstaande aanval al herkend kan worden en kan worden afgeslagen.

En als al die informatie in een database wordt geladen, dan kan deze data geanalyseerd en gecorreleerd worden, waardoor trends kunnen worden achterhaald. En zo trachten de ICT beveiliging leveranciers dichter bij de aanvaller te komen.

De volgende stap is dat de voorspellingen steeds accurater worden door zaken als slimmere correlatie en trending technieken, betere verkenning van het dark en deep web, machine learning (vastleggen hoe een machine normaal werkt zodat bij afwijkend gedrag actie ondernemen) en behaviour recognition (vastleggen hoe een gebruiker zich normaal gedraagt en bij afwijkend gedrag actie ondernemen). Dit zal resulteren in een afdoende accuraatheid van de voorspellingen dat UTM appliances niet alleen detecteren, maar ook automatisch regels kunnen aanmaken die ingrijpen op het correct functioneren van een aanval. Een voorbeeld ter verduidelijking,

Stel er zijn discussies op het dark web ontdekt over een misbruiken van een kwetsbaarheid op uw pc's. Doordat de leveranciers van ICT beveiliging appliances en software dit ontdekken, kan men al bepaalde patronen als onveilig vastleggen in hun databases, waardoor deze geblokkeerd worden. Maar, het kan zijn dat machines geen virusscanners hebben en dus kwetsbaar blijven. De UTM appliances worden daarom dusdanig aangepast dat bepaalde communicatie niet meer wordt toegestaan op het netwerk en automatisch wordt geblokkeerd; zonder interventie van systeembeheerders.

Het laatste is beschikbaar, maar moet nog een behoorlijke ontwikkeling doormaken om accuraat genoeg te worden. Het begin is er en over een aantal jaren maakt u er gebruik van. Des te meer een reden nu al over te stappen op slimme ICT beveiliging appliances van Watchguard. Die maken al gebruik van de laatste technieken en sorteren al voor ontwikkelingen die er aan komen. Een perfecte investering voor nu, maar zeer zeker ook voor de toekomst.