Sophos biedt signature-less antivirus

03-10-2016 | door: Diederik Toet

Sophos biedt signature-less antivirus

Volgens Sophos is signature-less prevention dé oplossing voor malware. De IT-beveiliger introduceert begin oktober Intercept X. ‘Dit is onze game changer’, vertelt managing director Pieter Lacroix. En het biedt nieuwe kansen voor resellers.

Hoe voorkom je dat malware en ransomware toeslaan op IT-systemen, terwijl de schadelijke codes nog niet bekend zijn? Zulke zero-day-aanvallen gebeuren dagelijks, maar IT-securityleveranciers broeden nog op het antwoord. De grootste uitdaging is de snelheid waarmee je de aanvallen moet afwenden en de noodzaak om daarvoor externe databases met miljoenen bekende malware-gevallen (‘signatures’) te raadplegen.

Volgens IT-beveiliger Sophos ligt de oplossing in zogeheten signature-less prevention. Daarmee houdt een lokaal draaiende beveiligingstoepassing alle processen op de laptop of desktop nauwgezet in de gaten zonder telkens in een database te zoeken. De verbinding naar zo’n signature database levert namelijk vertraging op en vergroot het risico op nieuwe besmetting.

Kijken naar de processen

Sophos Intercept X is het nieuwe wapen in de strijd tegen zero-days. Het idee erachter is dat alle malware herleidbaar is tot niet meer dan 24 verschillende gedragingen. Eenmaal geconstateerd, wordt de schadelijke toepassing direct en automatisch stilgelegd en teruggedraaid. “Intercept X kijkt puur naar de processen”, vertelt Pieter Lacroix, managing director van Sophos Nederland. “Is er iets wat ineens een hoop bestanden begint te versleutelen? Grote kans dat het om ransomware gaat. Intercept X stopt de encryptie en zet alles automatisch real-time terug. Zonder losgeld te betalen, zonder downtime om bestanden te ontsleutelen en zelfs zonder de helpdesk te bellen.”

“Wat wij doen is onderscheidend”, vervolgt hij. “Het is volkomen signature-less, dus zonder raadpleging van externe bronnen. Dit gebeurt weliswaar ook met HIPS (host intrusion prevention system, red.), maar die techniek kijkt enkel naar gedrag van code die al op het netwerk is toegelaten. Dan ben je eigenlijk te laat. HIPS is een tussenoplossing, Intercept X blokkeert malware direct. Een vergelijkbaar alternatief ben ik nog niet tegengekomen. Meestal moet je toch verbinden met een server of de cloud.”

‘Proven technology’

Intercept X biedt na elk incident bovendien een zogeheten root cause analyse. “Het is een forensische tool. Je kunt ermee achterhalen wat er misging, waar het plaatsvond, via welk besmet bestand, wie daarop klikte en welke bestanden of schijven erdoor zijn beïnvloed.” Organisaties kunnen deze informatie onder meer gebruiken voor aanvullende IT-beveiligingsmaatregelen en voor training van medewerkers.

De basis van Intercept X ligt bij SurfRight, het bedrijf achter HitmanPro. Sophos nam de Hengelose IT-beveiliger eind 2015 over en integreerde de technologie in zijn portfolio. Lacroix: “Wij geloven in een holistische aanpak van security. De ‘proven technology’ van SurfRight is belangrijk, maar slechts een onderdeel van het totaalconcept.” Hij vertelt dat organisaties Intercept X ook kunnen toepassen naast antivirusproducten van andere leveranciers. “Maar je haalt er het meeste uit door integratie met Sophos-producten. Zoals met Sophos Central, ons beheerplatform dat in de cloud draait.”

Intercept X voor partners

Sophos Intercept X is beschikbaar vanaf begin oktober. Het wordt in Nederland officieel gelanceerd door Sophos’ CEO Kris Hagerman en SurfRight voorman Mark Loman tijdens de Sophos Day Nederland. Dit gebeurt op 6 oktober in Maarssen.

Voor resellers en andere kanaalpartners bestaat al een tijd een bètaversie. Daarmee kunnen ze testen en kennis opdoen, zodat ze hun klanten beter kunnen voorlichten. Volgens de managing director krijgen de partners met Intercept X nieuwe kansen voor cross-selling, met name op basis van beheerplatform Sophos Central. Dit zou aantrekkelijke marges opleveren.

Lacroix verwacht de komende tijd aanwas van het partnerkanaal. “Nu al worden we in toenemende mate benaderd door resellers die nog geen zaken met ons doen. Ze willen naast hun bestaande antivirusoplossingen een goed product tegen ransomware aanbieden. Ze vragen dan of ze Intercept X mogen testen. Natuurlijk, daar zijn we heel blij mee. Het is vaak een prelude tot bredere samenwerking.”

Auteur: Diederik Toet

Terug naar nieuws overzicht