Meer vrijmibo’s, minder disk-scans

Eric van Sommeren, regional sales director Noord Europa bij SentinelOne

02-07-2019

Meer vrijmibo’s, minder disk-scans

Natuurlijk is er niets mis met koffiedrinken, maar de rij bij de koffiemachine op vrijdagmiddag kan op den duur wel irritant worden. De wekelijkse security disk-scan draait dus hebben de mensen even tijd voor wat anders. Groot gevaar is dat je daardoor de vrijdagmiddagborrel mist, omdat je toch nog iets af moet maken, zodra je laptop wel weer op normale snelheid werkt. Je maakt je er als IT-securityspecialist niet populair mee. Stop met de achterhaalde disk-scans, en geniet van meer vrijmibo’s!

Traditionele antivirus oplossingen voeren naast hun reguliere bewaking, op regelmatige momenten nog eens een extra complete scan uit van je harde schijf om te checken of er wellicht toch onveilige bestanden door de bewaking geglipt zijn. Een volkomen achterhaald concept dat ervan uitgaat dat onveilige bestanden überhaupt elders eerder gezien zijn (‘signature’). De harde schijf ratelt zich suf en dat gaat ten koste van de prestaties van andere applicaties op de werkplek. Vooral in een gevirtualiseerde werkplek-omgeving vergt dit zoveel resources, dat het systeem nagenoeg niet meer te gebruiken is, althans niet naar huidige maatstaven.

Je kiest juist voor desktopvirtualisatie vanwege de grotere flexibiliteit en efficiëntie, waarbij zoveel mogelijk simultane sessies worden gefaciliteerd met gebruikmaking van zo min mogelijk rekenkracht. Juist in dit plaatje past een traditionele antivirus-oplossing heel slecht. Traditionele antivirus-oplossingen zijn per definitie primair afhankelijk van signatures, ofwel een lokale database van beschrijvingen over welke bestanden ‘bekend goed’ of -slecht zijn. De waarde van deze lokale database valt of staat uiteraard met de actualiteit ervan. En daar zit hem nu net het probleem. Bij het opstarten van elke nieuwe VDI-sessie is deze database per definitie achterhaald, aangezien het VDI image misschien wel maanden geleden is gebouwd (‘golden image’). De antivirus database dient dus telkens opnieuw eerst te worden geactualiseerd. Verlies van kostbare tijd en resources is het gevolg.

Een moderne ‘next generation’ oplossing voor endpoint-bescherming is daarom niet langer afhankelijkheid van dergelijke signatures, maar herkent onveilige bestanden en gedragingen op een proactieve manier. Geen vereiste updates dus bij het opstarten van een nieuwe VDI sessie. Dit levert soms wel een halve minuut tijdswinst op.

Dreiging in een nieuw jasje

Antivirus-software richt zich op het herkennen van bestanden die als slecht te boek staan, ofwel bestanden die eerder zijn gezien en daar schade hebben berokkend. Deze manier van beveiliging was wellicht tot tien jaar geleden een adequate manier van werkplek bescherming, maar helaas heeft de realiteit ons ingehaald. Zo trekken bekende dreigingen regelmatig ‘een nieuw jasje aan’, waardoor ze niet langer worden herkend door de antivirus oplossing en simpelweg opnieuw hun gang kunnen gaan. Jaren geleden riepen zelfs antivirus-leveranciers zelf al dat hun aanpak achterhaald is, maar nog steeds gebruikt het merendeel van de organisaties in Nederland een dergelijke oplossing!

Zorgwekkender nog, van alle succesvolle digitale inbraken afgelopen jaar was maar liefst driekwart (77%) het gevolg van een besmetting die zonder gebruikmaking van een bestand in gang werd gezet!  Deze zogenaamde ‘file-less attacks’ hebben geen bestand nodig als transportmiddel, maar injecteren zich rechtstreeks in het geheugen door bijvoorbeeld een geïnfecteerde website te bezoeken. Veruit de meeste antivirus-oplossingen zijn volkomen blind voor dit type dreiging, waardoor dit vanzelfsprekend een populaire aanvalsmethode is geworden.

Een nieuwe aanpak is dus nodig, waarbij meer gekeken wordt naar het herkennen van verdachte gedragingen binnen applicaties dan enkel naar mogelijk besmette bestanden. Hierdoor wordt dus bescherming geboden tegen zowel bestandsgebaseerde als bestandsloze dreigingen, ongeacht of deze elders eerder zijn gezien. Zo wordt bescherming geboden tegens zowel ouderwetse bekende virussen als tegen nieuwe ‘zero-day’ dreigingen.

De wekelijkse scan is zwaar achterhaald, net als de bijbehorende anti-virus oplossing. Waarom maken we ons nog druk over constante signature updates, terwijl we weten dat de relevantie ervan tegenwoordig zeer betrekkelijk is? En waarom lijken we ons alleen maar te richten op bestanden terwijl de cijfers uitwijzen dat de grotere risico’s elders zitten? Op naar betere bescherming en hogere productiviteit en eindelijk weer eens een goede vrijmibo!

Eric van Sommeren, regional sales director Noord Europa bij SentinelOne

Terug naar nieuws overzicht