Aanbieders vormen front tegen virussen
In de gepropageerde bedrijfsbrede securityaanpak gaat Symantec het verst met een uitgebreide set toepassingen voor beveiligingsbeheer die op Symantec Enterprise Security Architecture (Sesa) zijn gebaseerd en zich met name keren tegen gemengde bedreigingen of ‘blended threats’. Trend Micro kiest strategisch voor virusbestrijding en contentbeveiliging en biedt daarnaast aanvullende beveiligingstechnologieën voor een meer gespecialiseerde aanpak. Trend waarschuwt voor de tomeloze agressiviteit van nieuwe stealthvirussen en wil met klanten SLA’s afsluiten waardoor bedrijfsschade en schade toegebracht aan derden, worden voorkomen of tot een minimum beperkt blijven. Wezenlijk belang Aanvallen en bedreigingen van buitenaf waren lange tijd niet meer dan een bijkomstigheid voor de ITbeheerorganisatie, maar worden met het toenemend gebruik van de openbare infrastructuur en het complexer worden van de netwerken alom erkend als een zaak van wezenlijk belang. In plaats van hier en daar beveiligingsmaatregelen te treffen, groeit volgens onafhankelijk ICTadviseur en beveiligingsspecialist Henk Markenhof het inzicht dat integraal beveiligingsmanagement noodzakelijk wordt. "We zien in de markt inderdaad de beweging van de op software gebaseerde firewalls naar geïntegreerde systemen", aldus Markenhof. "De bewaking van meerdere beveiligingssystemen is bijzonder complex aan het worden en geeft beheerders handenvol extra werk. Op dat punt aangekomen zijn ITmanagers op zoek naar intelligente systemen om het management en de bewaking integraal aan te pakken. Het is niet moeilijk om een beveiligingsmiddel als een firewall of contentfilter naar de eigen wensen in te richten en te beheren. Maar de bewaking en analyse van ‘logging en alerts’ zijn het probleem wanneer er te veel wordt tegengehouden. Dit probleem wordt tegemoet getreden met technieken als intrusion detection om de alsnog door te laten informatiestromen te onderzoeken en te zuiveren." Volgens Markenhof levert dit de ‘false positives’ op: het detecteren van de handtekeningen in onschuldig netwerkverkeer: informatie of berichten die dus doorgelaten hadden moeten worden. In de grote ITomgevingen ontstaat dan al gauw de situatie dat de hoeveelheid dagelijkse beheerinformatie niet meer te behappen is. Markenhof: "Tientallen filters en firewalls staan continu megabytes aan Asciilogs en alerts te produceren. Omdat de logs zo complex zijn, doet niemand daar wat mee. Als er zich dan een incident voordoet, ziet of vindt men het niet meer in de chaos aan informatie." Maatregelen "In de beveiligingspraktijk neem ik vaak paranoïde gedrag waar bij de inzet van technische beveiligingsmaatregelen", zegt Markenhof. "De techniek biedt steeds meer maatregelen en middelen. Als men die maatregelen en middelen eenmaal kent, wil men ze inzetten ook. Voor gedegen beveiligingsmanagement is eerste prioriteit dat die middelen alléén worden ingezet waar dat noodzakelijk is. Met het oog op de toekomst en op risico’s is een strategie en integrale aanpak vereist, waarbij de inzet van maatregelen en middelen direct afhankelijk is van een goed doordachte netwerkarchitectuur. Als de netwerken groter worden en niet meer onder één eigenaarschap vallen, wordt de mate van beveiliging ernstig ondermijnd." Producten als Symantec Security Management System zijn volgens Markenhof geen panklare oplossingen, maar ze bieden de mogelijkheid om de correlatie en integratie van de gegevensmassa’s te lijf te gaan. Volgens Markenhof brengt een gedegen en geïntegreerde beveiligingsaanpak een forse investering in geld, tijd en deskundigheid met zich mee. In de dagelijkse praktijk neemt Markenhof ook waar dat men zich over het algemeen onvoldoende bewust is van de gevaren die van internet komen. Internet wordt als een handig, goedkoop en functioneel medium gezien dat nog lang niet overal 7x24 uur doeltreffend en actief gemonitord en bewaakt wordt. Vermomd De nieuwste generatie virussen is gevaarlijk en schadelijk omdat ze vermomd als nietvirus binnendringen en pas doeltreffend bestreden kunnen worden als ze al bezig zijn schade aan te richten. Volgens Trend Micro steken per maand gemiddeld vijfhonderd nieuwe virussen de kop op. Matthieu Brignone, marketingdirector EMEA van Trend Micro, wijst met name op een compleet nieuw type virus: het uit delen bestaande virus waarvan eerst deel één netwerken via binnengehaalde webpagina’s infecteert. Dit eerste deel kan niet als virus worden herkend, omdat het geen virus is. Enkele weken of maanden later volgt deel twee langs dezelfde weg. Dit deel kan evenmin als virus worden gezien en kan zich met het eerste deel samenvoegen. Pas vanaf het punt van samenvoeging van het geheel kan het virus als zodanig worden herkend en kunnen effectieve tegenmaatregelen worden genomen. Trend Labs heeft een staf van specialisten op deze problematiek gezet en biedt binnen haar Enterprise Protection Strategy onder andere een Outbreak Prevention Service aan. Direct na de eerste uitbraak wordt het gedrag van de kwaadaardige code in de ‘pattern file’ geanalyseerd. Trend Micro zegt op basis van deze snelle diagnostiek even snel tot een afdoende therapie te kunnen komen. Dit biedt de mogelijkheid om met klanten SLA’s af te sluiten om binnen vijf tot tien minuten na de eerste herkenning verdere infectie bij klanten te voorkomen, of verdere verspreiding tegen te h0ouden en zo nodig tot een gedegen schadevaststelling en cleanup te komen. Tijd blijft hier de kritieke factor, relativeert Markenhof. Er kan pas iets tegen dit type virus worden ondernomen vanaf het punt van herkenning. "Effectieve maatregelen tegen virussen blijven altijd reactief", concludeert hij. "Er zit altijd responstijd tussen de eerste uitbraak en de herkenning. Als dat niet zo was zou men kunnen denken dat de virusmaker tevens de virusbestrijder is."