De tijd dat bedrijven zich alleen tegen virussen hoefden te bewapenen ligt inmiddels ver achter ons. De dreiging bestaat vandaag de dag uit wormen, Trojaanse paarden, virussen, hackers, crackers en scriptkiddies die via allerlei manieren proberen om het bedrijfsnetwerk binnen te dringen. De afgelopen jaren is het aantal malware explosief toegenomen, waarbij de teller nu op 115.000 bekende soorten staat. En niet alleen malware, ook toename van bots die geinfecteerde computers besturen laten bedrijven niet ongemoeid.

Voor bedrijven is het in deze soep van spyware, adware, identiteitsdiefstal, Denial of Service, Phishing, lekken, data diefstal etc, lastig om een beginpunt te kiezen. Waar moet je als bedrijf beginnen en wat zijn de gevolgen van een mogelijke aanval?
Een effectieve security strategie bestaat uit het kennen van de omgeving (wat zijn de meest kritieke onderdelen van het bedrijf), begrijpen van de aanvaller, en wat hun motieven en methodes zijn (welke gevolgen heeft dit voor het bedrijf), bekend zijn met oplossing (hoe voorkom ik de aanvallen) en als laatste het toepassen (implementatie).

Vielen aanvallers vroeger nog uit een bepaalde trots systemen aan, nu draait het voornamelijk om geld. De infectiecyclus is dan ook veranderd. Virusschrijvers van de oude garde liet vaak merken dat het systeem geinfecteerd was, terwijl malware auteurs nu juist moeite doen om hun creatie zolang mogelijk op het systeem te laten zitten. Het bezitten van andersmans systemen is namelijk geld waard. Zo worden zombie computers bijvoorbeeld op eBay aangeboden. Om dit te bereiken zijn er 4 herkenbare gebeurtenissen die tijdens een infectie optreden:

1. Massaal versturen van e-mail om nieuwe machines te infecteren
2. Licht de virusschrijver in dat machine succesvol geinfecteerd is
3. Remote Access Control (RAT) wordt verkregen
4. Geinfecteerde machine doet mee in de volgende golf van de aanval

Het grote probleem met deze bots is dat ze zichzelf met nieuwe code updaten. Er zijn bijvoorbeeld tienduizenden varianten van de SDBot, GaoBot en Spybot. Heeft de bot zich eenmaal geinstalleerd, dan wordt het verwijderen een lastig klus, aangezien anti-virussoftware zich eenmaal per dag of om de zoveel uur update. De bots updaten zichzelf om de 1 uur en 45 minuten. Dit laat meteen de zwakte van de traditionele anti-virusaanpak zien, waarbij de scanner voor herkenning van de ant-virus signatures afhankelijk is.

Zoals eerder gezegd draait het niet alleen om virussen en virusscanners die continu geupdate moeten worden. Ook het patchen van software is voor bedrijven van groot belang. Doordat de tijd tussen het ontdekken van een lek, het verschijnen van een patch gevolgd door een exploit, of net andersom, steeds korter wordt, kan het niet installeren van een patch door aanvallers misbruikt worden. Dit werd niet zolang geleden door de iFrame exploit in Internet Explorer gedemonstreerd. Bedrijven willen patches echter eerst testen voordat ze in een produktieomgeving geinstalleerd worden. In de tussentijd is men kwetsbaar.

Om te voorkomen dat het bedrijfsnetwerk/systemen toch getroffen worden, moet er naar het gedrag van software en machines gekeken worden. McAfee presenteerde vorige week, tijdens een Live Attack Roadshow in Utrecht, haar oplossingen voor bedrijven die proactief hun infrastructuur willen beschermen.

Eind vorig jaar nam McAfee voor een slordige 86 miljoen dollar Foundstone over. Met de overname werd het antivirusproduct aangevuld met software voor inbraakdetectie en aanvalssimulatie in netwerken. "Systeembeheerders en beveiligingsexperts moeten hun risico goed in kunnen schatten. Zij moeten zich een voorstelling kunnen maken wat er fout kan gaan en wat voor impact dat heeft op de bedrijfsvoering. Foundstone-software vult deze beide wensen in." aldus George Samenuk, CEO van Mcafee.

Via Foundstone kunnen bedrijven hun systeem automatisch laten doorlichten. Bedrijven kunnen hun belangrijkste assets toekennen, waarna de software kijkt waar het zich op het netwerk bevindt. In het geval van een aanval wordt dan besloten welke onderdelen getroffen worden en waar de prioriteiten liggen, aan de hand waarvan een advies wordt genereerd waarin staat welke acties ondernomen moeten worden.

Voorkomen is beter dan genezen. Op desktop niveau beschermt VirusScan Enterprise 8.0i gebruikers onder andere tegen bekende Microsoft buffer overflows (een van de weinige scanners die dit kan) en kan de gebruiker via allerlei "behavorial rules" regels instellen waarmee het gedrag van het systeem aan banden wordt gelegd. Zo kan er worden ingesteld dat alleen de e-mail client van het systeem via poort 25 e-mail mag versturen. Via massmailers gebruiken hun eigen SMTP-engine om mail mee te versturen. Door de regel kunnen ze echter niet hun virusmail naar buiten sturen. Verdere bescherming voor de desktop wordt geboden door de desktop firewall, die samen met de virusscanner de basisbescherming biedt waar elk systeem over zou moeten beschikken.

Buitenhouden van ongewenste gasten
Een andere manier waarop aanvallen, bijvoorbeeld via exploits en bufferovers, gestopt worden is via de IntruShield netwerk appliances en Entercept Core Technology. De verschillende IntruShield appliances, die aan de buitenkant van het netwerk geplaatst worden, bieden allemaal bescherming tegen bekende aanvallen, zijn voorzien van outbound DoS detectie, voorkomen versleutelde aanvallen (SSL) en beschikken over een interne firewall. Om op server niveau de boel dicht te houden heeft McAfee de Entercept Core Technology. De technologie kijkt naar regels die door de beheerder zijn ingesteld, heeft een database met bekende exploits (die wel geupdate moet worden), een process firewall die verkeer elemineert voordat het verwerkt wordt, rechtenbescherming om te voorkomen dat iemand "root" of "adminstrator" toegang krijgt en resource en application bescherming. Hiermee wordt voorkomen, door het beveiligen van register en bestanden, dat iemand de integriteit van de data zou kunnen aantasten.

Om de verschillende security oplossingen te beheren heeft McAfee ePO in het leven geroepen. Het biedt een proactieve verdediging tegen dreigingen en aanvallen. Het is tevens de central hub van de verschillende security oplossingen van McAfee en kan het risico van onbeveiligde en systemen die niet aan de policies voldoen, verminderen. Ook kan de software vanuit een central punt de security status in de gaten houden

Clean Pipes, schoon internet voor iedereen
Tijdens de presentatie vroeg iemand waarom men deze appliances niet bij een provider kan neerzetten om zo de eindgebruikers, die vaak niet hun systemen patchen, tegen allerlei aanvallen te beschermen. Tenslotte kan het internet ook als een groot netwerk worden gezien. McAfee liet weten dat het hier wel degelijk mee bezig is en dat het technologie aan 'carriers' gaat aanbieden waardoor hun internetdiensten virusvrij en hackervrij kunnen worden. Het project heeft echter de nodige voeten in de aarde en binnenkort zal de technologie officieel bekend gemaak woden en is over niet al te lange tijd "schoon" internet voor iedereen mogelijk.