‘Criminelen gaan onze software mijden’
Hij was met diverse leveranciers van beveiligingssoftware in gesprek en koos uiteindelijk voor Sophos. Mark Loman, oprichter en CEO van het Hengelose SurfRight vertelt dat dit eigenlijk een logische keuze was. Loman stond aan de wieg van HitmanPro, een veel gebruikt anti-malwareprogramma dat tegenwoordig de basis vormt van Sophos Intercept X.
Intercept X is een zogeheten signature-less prevention tool die malware herkent en onschadelijk maakt, voordat deze op het netwerk verschijnt. De lokaal draaiende toepassing scant alle processen op de laptop of desktop zonder daarvoor een externe database te raadplegen. De tool biedt systeembeheerders ook uitgebreide root cause analysis om de oorsprong van potentiële exploits te achterhalen. Organisaties kunnen Intercept X inzetten naast hun eigen antivirus-software.
Loman ontwikkelde de technologie vanaf 2013, vertelt hij. ‘Het was de tijd van malvertising op websites als Nu.nl en De Telegraaf. In dezelfde periode stak het Pobelka-botnet de kop op, dat veel gevoelige informatie wist buit te maken bij onder meer overheidsinstellingen. Bovendien veroorzaakten in datzelfde jaar Indiase hackers met diverse malware behoorlijke schade aan de IT-systemen van Westerse organisaties.’
Twintig technieken
‘Voor ons was het zaak om te achterhalen hoe malware zich op computers manifesteert’, vertelt Loman. ‘Als we kunnen voorkomen dat malware wordt afgeleverd, dan scheelt dat veel analyse en risico nadien.’ Zijn team kwam erachter dat er ongeveer twintig technieken zijn om een softwarelek uit te buiten. Een aanvaller moet meerdere van deze technieken in werking zetten om het computergeheugen te prepareren voor toekomstige controle over de processor.
‘Als je de technieken herkent, kun je het proces termineren, voordat het kwaad kan doen. Dat is best moeilijk. Je moet namelijk meekijken op de processor en zo bepalen hoe de ene stap leidt tot de andere. Ons idee was om deze monitoring te doen via het geheugen van de processor. Het heeft dan geen invloed op de performance van de applicatie zelf.’
Het kostte Loman ruim een jaar om de technologie te ontwikkelen van idee tot werkend product. Hij was ervan overtuigd dat het vooral voor het bedrijfsleven grote waarde zou hebben. HitmanPro, het anti-malwareproduct van Lomans onderneming SurfRight, was echter voornamelijk in de consumentenmarkt populair. En dus zocht hij naar samenwerking met leveranciers die een grotere footprint in de zakelijke IT securitywereld hebben.
Keuze voor Sophos
Het werd Sophos. Deze Britse onderneming nam de Hengelose IT-beveiliger eind 2015 over. ‘We hebben specifiek voor Sophos gekozen’, vertelt Loman. ‘Wij wilden dat de technologie bij bedrijven terecht komt, maar hadden daarvoor zelf niet het juiste team. Er stond tegenover dat Sophos nog geen consumentenproduct had, terwijl ze wel die wens hadden.’
‘Ik ben erg gecharmeerd van hun toekomstvisie, bijvoorbeeld op het vlak van machine learning en root cause analysis. Dat laatste vind ik heel belangrijk. Het geeft systeembeheerders handen en voeten om in beeld te krijgen hoe groot een geconstateerd malwareprobleem is.’ Organisaties kunnen deze informatie onder meer gebruiken voor aanvullende IT-beveiligingsmaatregelen en voor training van medewerkers.
Hét moment
Sophos Intercept X is sinds oktober beschikbaar en het loopt storm, aldus Loman, die tegenwoordig Director of Engineering Next-Gen Technologies bij Sophos is. ‘Klanten en resellers beseffen dat ransomware tegenwoordig een immens probleem is. Zelfs hele grote organisaties hebben er dagelijks mee te maken, ondanks allerlei securitymaatregelen. Nu is hét moment voor een goede oplossing tegen exploits. Niemand heeft zo’n goed product als wij. Sophos gaat daarom als een speer. Het salesteam en onze partners hebben het superdruk.’
‘Onze channelpartners worden overspoeld met vragen over anti-ransomware. Nederlandse resellers verkopen veel securityproducten, maar er is weinig interne productkennis van ransomware en het bestrijden daarvan. Wie weet nu eigenlijk hoe het werkt? Zelfs Sophos zelf, heeft het soms moeilijk om dit uit te leggen aan klanten. Daarom ga ik altijd mee. Wij vinden het belangrijk dat de klant weet hoe onze producten werken. Sales engineers moeten kunnen aangeven hoe deze werken in de omgeving van de klant.’
Managing Director Pieter Lacroix bevestigt dat in de markt veel vraag is naar Intercept X. Daaronder bevinden zich veel organisaties die de tool willen gebruiken in combinatie met hun eigen securityoplossing. Hij ontvangt bovendien veel aanvragen van resellers waarmee Sophos nog geen zaken doet. ‘Het is echt ongelooflijk hoeveel verzoeken ik daartoe krijg. Allemaal willen ze Intercept X testen. Ze zoeken een betrouwbaar product tegen spyware en ransomware, dat ze naast hun bestaande antivirusoplossingen kunnen aanbieden.’
Van HitmanPro naar Intercept X
Loman begon in 2004 met HitmanPro. Dat was niet meer dan een zelfgebouwd tooltje dat geautomatiseerd verschillende anti-malwareproducten runt, vertelt hij. Hij ontwikkelde de tool omdat hij als systeembeheerder continu e-mails ontving van collega’s van wie de computer of laptop in het weekend een spywarebesmetting hadden opgelopen. Het programmaatje postte hij op een internetforum en voordat Loman er erg in had, werd het opgepikt door de landelijke pers. Alle media-aandacht had hij niet verwacht, bekent hij.
In 2008 ontwikkelde Loman HitmanPro 3, de eerste toepassing op basis van eigen technologie. ‘Het programma analyseerde allerlei telemetriebedreigingen op basis van association mining. Dat is een soort forensisch onderzoek naar bewijs van malware en hoe dit op de computer terecht komt. Het programma haalde informatie over bekende dreigingen uit de cloud en verrijkte daarmee de lokaal draaiende tool om zo tot correlaties en onderbouwde waarderingen te komen. Het systeem bepaalde ook hoe je verdachte bestanden en virussen het beste kunt verwijderen.’
Het probleem met al die anti-malwareproducten is dat je het pas inzet op het moment dat je vermoedt dat er iets mis is, meent Loman. ‘Dan ben je dus al te laat. Mensen willen dat malware helemaal niet op de computer komt. Om dit te bereiken heb je een real-time scanner nodig en niet eentje die enkel on-demand werkt.’
Criminelen gaan software mijden
En zo ontstond in 2013 dus het idee van signature-less prevention, waarbij een lokaal draaiende tool de processen continu in de gaten houdt zonder telkens een externe database te hoeven raadplegen.
Dat Lomans technologie nu in het middelpunt van de belangstelling staat, vindt hij geweldig. ‘Sophos staat nu al op 150 miljoen endpoints. In combinatie met Intercept X maken we het voor aanvallers veel lastiger en kostbaarder om op deze systemen malware te plaatsen. Je zult zien dat cybercriminelen onze software gaan mijden. En als organisaties Intercept X inzetten naast hun huidige antivirusproduct, zal dat de criminelen verder afschrikken.’
Auteur: Diederik Toet
