Hackers richten zich op de zwakste schakel. Lange tijd was dit de desktop van gebruikers die verleid werden om via het openen van bestanden virussen de wereld in te helpen. Toen de inzet van uiteenlopende antivirussoftware toenam, verlegden aanvallers hun werkveld naar de netwerken. Maar ook daar werden in korte tijd drastische beschermende maatregelen, zoals de inzet van firewalls genomen. Inmiddels heeft de desktop weer een comeback gemaakt als zwakste schakel en dus als doelwit. Hierdoor is desktopbeveiliging weer een prioriteit, waarbij traditionele, reactieve beveiligingsoplossingen onvoldoende zekerheden bieden.

Door Jos Nijsen Internet Security Systems (Managing Director Benelux)

De toenemende mobiliteit van medewerkers, de opkomst van telewerken en de snelle groei van het aantal draadloze netwerken, heeft de aandacht voor desktopbeveiliging gestimuleerd. Inmiddels zijn vrijwel alle desktops voorzien van antivirussoftware die een groot deel van de diversiteit aan bedreigingen het hoofd bieden. Maar hackers ontdekken voortdurend nieuwe of bestaande zwakheden in hard- en software. En zetten hybride aanvallen in met combinaties van wormen, trojans, buffer overflow en spyware. De combinatie van zwakheden en de toepassing van hybride aanvallen maakt dat alleen geïntegreerde oplossingen die bovendien snel geüpdate worden, effectief kunnen zijn. Toch blijven de middelen reactief. Antivirus-updates omvatten alleen informatie over specifieke reeds ontdekte virussen. In sommige gevallen duurt dit tot 24 uur na de uitbraak. Daarmee loopt de beveiliging dus altijd achter de feiten en is de kans op infecties reëel.

Naast antivirussoftware hebben veel desktops momenteel ook een personal firewall om de risico’s van (draadloze) verbindingen en mobiliteit te minimaliseren. Maar ook bij deze vorm van beveiliging is er alleen sprake van een reactieve oplossing. Bovendien vragen deze firewalls bij twijfel telkens of bepaald verkeer toegestaan is of niet. De gebruiker kan deze keuze moeilijk maken, maar ook als dit centraal gebeurt, door een beheerder, is dit moeilijk en foutgevoelig. Er kan gemakkelijk iets doorheen glippen door een verkeerde beoordeling. De Virus Prevention System-technologie (VPS) die beveilingsbedrijf Internet Security Systems heeft opgenomen in zijn Proventia Desktop-oplossing biedt desktops de benodigde preventieve bescherming tegen uiteenlopende bedreigingen. Daarbij is de VPS uitdrukkelijk een aanvulling op een meerlagige, geïntegreerde beveiligingsaanpak met een personal firewall, inbraakpreventie en detectie, VPN-beveiliging en granulaire applicatiecontrole.

De aanpak
De VPS-architectuur is ingedeeld in vijf opeenvolgende fases. In de eerste fase vindt het monitoren van het verkeer tussen hard disk en het besturingssysteem plaats. De volgende stap is de integrity check, waar de controle op bekende virussen en programma’s gebeurt. Hier worden bovendien afwijkingen gedetecteerd. Onbekende code gaat vervolgens naar een virtuele ‘safe area’. Deze veilige omgeving repliceert Windows API’s, CPU, geheugen et cetera, om het verdachte programma te verleiden om alternatieve paden te volgen. Wanneer dit daadwerkelijk plaatsvindt, analyseert VPS deze activiteiten. Dit is de fase van de gedragsanalyse voor herkenning en analyse van gedragspatronen van verdachte code en de verdere ontwikkeling hiervan. Voorbeelden zijn het openen van een webadresboek, het aanpassen van het register of een aanval op specifieke schijfgebieden. Op dat moment is helder of een programma schadelijk is of niet. Door dit gedrag in kaart te brengen, zijn bedreigingen met een vergelijkbaar patroon eenvoudig en vooral preventief te traceren. Tot slot wordt de benodigde actie bepaald: kan het programma gewoon door, is er reparatie of quarantaine nodig of moet het verwijderd worden. Dit proces vindt voortdurend, volledig geautomatiseerd plaats en is dus zelflerend. Alle verkregen informatie over virussen, schadelijke code en spyware is bovendien direct inzetbaar om de beveiliging verder te verfijnen.

Comeback
VPS beschermt desktops niet alleen door blokkering van bekende bedreigingen, maar is in staat om kwetsbaarheden en verdacht gedrag proactief te blokkeren. Dus nog voor ze daadwerkelijk geactiveerd zijn. Daarbij geldt dat de hoeveelheid technieken die een kwaadwillend programma inzet (de zogenaamde infectievector) bepalend is voor de snelheid waarmee het herkend en als schadelijk gekwalificeerd wordt.

Hoewel VPS de beveiliging van desktops aanzienlijk versterkt, blijft het een aanvulling op andere hulpmiddelen. Honderd procent waterdichte beveiliging is helaas een utopie. Maar VPS is wel een techniek die daadwerkelijk verschilt van traditionele antivirussoftware. De VPS-technologie gaat verder dan het monitoren van bekende handtekeningen van schadelijke code. VPS identificeert besmet en afwijkend applicatiegedrag om virussen, wormen en schadelijke code te kunnen traceren en blokkeren. Dit zorgt ervoor dat ook onbekende bedreigingen worden tegengehouden en desktops worden beschermd tegen informatiediefstal, ongewenst gebruik van bedrijfsmiddelen en het aanpassen of verwijderen van bestanden. Door gebruik te maken van gedragsgebaseerde analysetechnieken, wordt code in een virtuele omgeving uitgevoerd. Hierdoor stopt VPS aanvallen op applicatieniveau, voordat ze schade kunnen toebrengen. Alleen een intelligente, geïntegreerde, preventieve desktop-oplossing kan de comeback van de desktop als zwakste schakel in de beveiliging te niet doen.