Malware op de werkvloer is ook voor ondernemingen een steeds groter probleem aan het worden. De nieuwste trend zijn "gerichte aanvallen" waarbij er speciaal ontwikkelde malware op de organisatie wordt afgevuurd, die eerst grondig door de computercriminelen is verkend. Daarnaast blijven ook spyware en werknemers die foute websites bezoeken of bijlages openen een reden tot zorg. Wij interviewden Roel Schouwenberg, Senior Anti-Virus Researcher bij de Russische virusbestrijder Kaspersky Lab, over de malware gevaren voor de onderneming.

De laatste tijd wordt er veel gesproken over "gerichte malware aanvallen", waarbij er speciaal malware voor een bepaald bedrijf wordt ontwikkeld. Is dit werkelijk een probleem en waar verschilt het qua techniek van "normale malware" ?

Schouwenberg: Ja, dit is een werkelijk probleem. Ten eerste wordt er gezorgd dat geen enkele malwarescanner de sample(s) detecteert. Het tweede probleem is dat er een trend te zien is in het gebruik van (onbekende) 0-day exploits om de machine(s) te infecteren. Microsoft Office lijkt daarbij een bijzonder populair doelwit, wat ergens weer terug doet denken aan de macro malware dagen. In sommige gevallen komt het voor dat de malware afgestemd is op (proprietary) software die door het betreffende bedrijf gebruikt wordt. Wat dan duidt op hulp van binnenuit. De 'openbaring' van bedrijfsgeheimen wordt dus een steeds realistischere dreiging.

Wat kunnen bedrijven doen om zich tegen dit soort "ongrijpbare" dreigingen te beschermen?

Schouwenberg: Ten eerste zijn er natuurlijk de (standaard) best practices en policies. Wat ik zelf een erg interessante aanpak vind is execution prevention. Daarmee bedoel ik niet direct DEP, maar het bepalen welke programma's welke programma's mogen uitvoeren. Met een goede (updatebare) ruleset kun je als admin best een heel eind komen. Als Microsoft Word alleen maar de printspooler mag starten, kan de buffer overflow nog wel plaatsvinden. Echter zal de nieuw gecreeërde executable niet gestart worden. Naast dit soort aanpakken zijn er nog oplossingen zoals bijvoorbeeld Infowatch. Infowatch bekijkt de gegevensstroom en als het erop lijkt dat data 'gelekt' wordt, zal het ingrijpen.

Wat zien jullie vanuit Kaspersky Lab het komende jaar als (nieuwe) dreiging voor bedrijven?

Schouwenberg: Zoals reeds genoemd de targeted attacks. Vooral vanuit Chinese hoek blijkt er een bovenmatige interesse te zijn in bedrijfsgegevens. Echter zou hiervoor nog niet eens per se een targeted attack voor plaats hoeven vinden. Er worden nog steeds veel bedrijfsnotebooks thuis gebruikt voor privé doeleinden. In gevallen waar dit mogelijk is, is het vaak droevig gesteld met de geldende beveiligingsmaatregelen.
Daarnaast zou ransomware nog een rol kunnen spelen. Hoewel dat dan waarschijnlijk ook in de vorm van een targeted attack zou gebeuren.

In hoeverre zijn bedrijven een interessant doelwit voor doorsnee virusschrijvers, die het meestal op eenvoudig te infecteren Windows dozen voorzien hebben?

Schouwenberg: Wat is tegenwoordig doorsnee? De detectielijsten worden gedomineerd door backdoors en spy trojans, naast trojan-downloaders. Afhankelijk van het doel van de backdoor/spy trojan kan een bedrijf aanzienlijk interessanter zijn - vaak meer bandbreedte, meer/andere interessante informatie. Bedrijven zijn niet zo interessant voor bank trojans en online game trojans. Hoewel ik eigenlijk genoeg verhalen hoor over mensen die op het werk World of Warcraft spelen. ;-)
Uiteindelijk is een computer een computer en als de beveiliging van de workstations niet op orde is, zullen die (bijna) net zo gemakkelijk geïnfecteerd raken als een privé machine.

Denk je dat Windows Vista voor bedrijven een toegevoegde waarde heeft
als het om beveiliging gaat?

Schouwenberg: Ja, mits de gebruikers als limited user fungeren en geen admin passwords weten. De vraag is echter hoe werkbaar dat is.