allemaal hetzelfde, allemaal gebouwd op het verkeerde principe...

http://www.thesatya.com/images/bruce.png ... that's all I say

-Mystic^

Hoewel de schrijver een punt heeft, wordt er wel de verkeerde richting uit gewezen. Security bestaat uit veel meer dan alleen anti-malware, zo is er ook nog assset management, netwerk management en patch management. In veel gevallen is 1 of meerdere van de boven genoemde onderwerpen niet op orde, waarna er richting de anti-malware wordt gewezen (soms is deze gewoonweg niet geïnstalleerd!). De schuld bij de malware bestrijder leggen is dan ook niet terecht.

Daarnaast is het aantal unieke samples vandaag de dag dusdanig groot, dat de traditionele aanpak (met signatures en vergelijken) steeds slechter gaat werken. Het aantal unieke samples is in een jaar tijd gegroeid van 1.400 naar 2.000+ per uur. Vele vendoren proberen hier op in te spelen, maar met de traditionele aanpak is dit een verloren strijd. Iedereen die zich in de malware en de bedreigingen enigszins verdiept weet dit, toch passen we ons gedrag (en IT-systemen) niet aan - wie is nu de "ignorant"?

Bedrijven (en klagers) dienen zich van deze "lawine" van samples bewust te zijn. De traditionele aanpak is alleen outside-in bescherming (waarbij vervolgens de meeste mensen de meest gevoelige informatie gewoon per email versturen). Het is dan ook niet de vraag of er een "zero day" binnen komt, maar wanneer!
Daarbij komt dat malware vandaag de dag zich (allang) niet meer richt op "name/fame", maar sterk financieel gedreven is. De meeste bedrijven en organisaties hebben jaren geleden hun security landschap ingericht en zien het sindsdien als "tick in the box". Ondertussen is er in de (boze) buitenwereld (heel) veel veranderd. Dit wordt door veel bedrijven en organisaties genegeerd. Bedrijven/organisaties dienen hun beschermings-activiteiten dan ook verder uit te breiden: inside out (het alleen gecontroleerd naar buiten gaan van data) en zero-day bescherming.

Bedrijven en CSO's dienen de anti-malware, maar vooral de data security, uit de commodity te halen en er weer serieus naar te kijken. Cybercriminals doen dit ook!

@MJ66: Goed verwoord

Het blijft me verbazen hoe weinig ook in grote bedrijven proactief wordt nagedacht over deze risico's. Antivirus/antimalware commodities zijn nooit veel meer dan slechts een vangnet. Op het moment dat je antivirus moet inspringen, in de zin dat anders het systeem geinfecteerd zou zijn geraakt, dan mag je je wel eens flink achter de oren krabben: Als je antivirus je al moet redden bij een virusaanval, dan zal je al helemaal niet weerbaar zijn tegen een *gerichte* aanval. Gerichtte aanvallers hebben beschikking over dezelfde antimalware producten, als de consument en de bedrijven. Ze kunnen dus eenvoudigweg de malware zo finetunen dat deze niet wordt geblokkeerd. Ik sta dan ook vaak versteld als ik hoor over virusuitbraken bij instanties zoals de politie. Nog niet eens zo zeer verbaasd over dat het gebeurd, maar de lauwe reactie daarop... terwijl ze zich dood moeten schamen en zich zouden moeten realiseren dat hun veiligheid zeeer ver onder de maat is. Oftewel, een doodeenvoudig target voor gerichte aanval zou zijn.

Virusscanners? Wat een onzin.

Meerdere VLANs op je netwerk, default-drop firewall policy voor in en uitgaand verkeer. ipsec tussen client en server, routing vanaf server regelen (via apart vlan naar internet). Squid, Snort en andere. Automatisch poortjes op netwerk in apart VLAN plaatsen zodra er bijvoorbeeld portscans worden uitgevoerd, of ander onbekend/onbedoeld netwerkverkeer.

Duur? 20e voor managable switch (beetje zoeken op MP/eBay), gratis 6e hands oude computer met wat netwerkkaarten. 70 eurocent voor een lege cd om je favo-linux-distro te branden/booten (als je geen PXE boot hebt). En enkele uren config-files aanpassen om het geheel aan elkaar te hangen.

En tot op heden zijn alle fietsen, auto's en telefoons te "stelen" of "aan te passen naar wens". Dus dit zal met IT ook het geval blijven.