211service.com
Gerichte hacking dwingt antivirusbedrijven tot een nieuwe realiteit
Wanneer de New York Times onthulde deze maand dat hackers recentelijk zijn netwerken hadden gehackt, wat de hoofden van beveiligingsexperts deed draaien, was niet dat de aanvallen hadden plaatsgevonden. Het was de ongewoon openhartige bekentenis van een top-antivirusbedrijf over de grenzen van zijn eigen technologie.
Symantec werd in het defensief geplaatst omdat zijn software slechts één keer een van de 45 stukjes aangepaste malware detecteerde en in quarantaine plaatste die de hackers hadden gebruikt om de New York Times en zoek de e-mails van bepaalde verslaggevers op, een overval op de krant zelf gemeld in een nieuwsartikel. Volgens een Keer woordvoerster, de krant had wel de nieuwste antivirussoftware op alle computers in zijn netwerk; maar om te waken tegen de zogenaamde geavanceerde persistente bedreigingen, is antivirussoftware alleen niet voldoende, lees de verklaring van Symantec .
Dat het kernproduct in wezen nutteloos was tegen de aanval - naar verluidt gesponsord door de Chinese overheid - kwam voor de kenners niet als een verrassing. Maar de botte bekentenis wijst op een snel veranderend computerbeveiligingslandschap en een groeiende bedreiging voor Symantecs $ 6,7 miljard per jaar kostende business. Een recente studie van Imperva , een Californische startup voor gegevensbeveiliging, ontdekte dat antivirusproducten van topleveranciers minder dan 5 procent van de meer dan 80 geteste nieuwe virussen detecteerden.
Naarmate aanvallen meer gericht en aangepast worden (zie The Antivirus Era Is Over ), positioneren startups zichzelf als alternatief voor conventionele antivirusleveranciers. Sommigen pleiten ervoor dat beveiligingsmanagers, vooral degenen met een beperkt budget, gratis of goedkope antivirussoftware gebruiken om eenvoudige, veelvoorkomende virussen te vangen en te investeren in gespecialiseerde diensten om belangrijke activa beter te beschermen.
Ashar Aziz, chief information officer van een startup die technologie verkoopt om een nieuw soort cyberaanvallen af te weren, stelt dat de onjuiste veronderstelling dat antivirussoftware effectief is tegen de hedendaagse cyberdreigingen, een groot en gapend gat heeft gecreëerd in elke bestaande beveiligingsarchitectuur. Ik moet nog naar een organisatie gaan en ontdekken dat ze helemaal schoon zijn. Het is nog nooit gebeurd, zegt Aziz.
In plaats van een zwarte lijst te gebruiken om bekende bedreigingen te blokkeren - de conventionele methode die wordt gebruikt door antivirussoftware - Vuuroog werkt door aan te nemen dat alles verdacht is en programma's in een veilige sandbox te testen voordat ze op een machine kunnen worden uitgevoerd. In november vertrok de CEO van de grote beveiligingsleverancier McAfee om zich aan te sluiten bij FireEye, dat beweert dat bijna 30 procent van de Fortuin 500 bedrijven zijn klanten en hebben meer dan $ 100 miljoen aan durfkapitaalfondsen opgehaald.
FireEye is verre van de enige startup die aan populariteit wint, aangezien malware meer gericht wordt en de nieuwste methoden van de meest geavanceerde hackers sneller worden gedemocratiseerd en verspreid.
En hoewel de gevestigde industrie zich duidelijk bewust is van de tekortkomingen van haar lang gekoesterde defensieve benaderingen, is het misschien traag geweest om nieuwe methoden toe te passen. Rob Rachwald, directeur van de beveiligingsstrategie van Imperva, is van mening dat de industrie minder moeite heeft gedaan om op het snijvlak van bescherming te blijven en meer heeft gedaan aan het ontwikkelen van mooie flitsende dashboards om indruk te maken op klanten. Aziz, die nu zij aan zij werkt met de voormalige CEO van McAfee, zegt dat de grote leveranciers nu racen om in te halen waar FireEye in 2004 begon.
Vanuit het perspectief van Liam O'Murchu, Symantec's manager van security response-operaties, zijn deze opvattingen dat de producten van zijn bedrijf niet bijbenen al achterhaald.
Het in Californië gevestigde bedrijf verkoopt nu geavanceerde detectiemethoden en neemt enkele op in zijn standaard antivirusprogramma's. Deze omvatten programma's die links die via e-mail of IM worden verzonden en applicaties scoren op basis van de reputatie van hun bron, scannen op verdachte gedragspatronen en proberen het gedrag van een bestand zelf te voorspellen. In ontwikkeling, zegt O'Murchu, zijn technologieën speciaal ontworpen om te beschermen tegen zogenaamde zero-day-aanvallen, zo genoemd omdat softwaremakers zich er nog niet van bewust zijn en dus geen tijd hebben gehad om te reageren. Dit zijn het soort aanvallen dat goed gefinancierde criminele organisaties of overheden het meest waarschijnlijk gebruiken (zie Welkom bij het Malware-Industrial Complex ).
De manier waarop bedrijven met beveiliging omgaan, zal waarschijnlijk veranderen, evenals de services die ze kopen, zegt Nicolas Christin , een beveiligingsonderzoeker aan de Carnegie Mellon University, hoewel hij ook opmerkt dat sommige alternatieve benaderingen minder effectief kunnen zijn dan veel beveiligingsverkopers ze doen voorkomen. Hij zegt bijvoorbeeld dat zelfs een gedragsdetectie-engine nog steeds enige definitie vereist van hoe slecht gedrag eruit ziet, en dat is misschien niet altijd duidelijk.
Volgens een vragenlijst van de 670 bedrijven die werden uitgevoerd door het Ponemon Institute, waren geavanceerde aanhoudende bedreigingen en haactivisme vorig jaar de grootste problemen voor IT-afdelingen, en velen gaven de hogere IT-bedrijfskosten de schuld van malware.
De ervaringen van Mandiant, het beveiligingsbedrijf dat samenwerkte met de New York Times om te reageren op de aanval op zijn netwerken en deze uit te roeien, moet u dit bevestigen. Vroeger hoefde alleen een grote Wall Street-bank zich zorgen te maken over gerichte malware, zegt servicedirecteur Marshall Heilman. Nu zijn niet alleen kleine regionale en gemeenschapsbanken het doelwit, maar ook betalingsverwerkers. Als je een succesvol bedrijf bent, doe je waarschijnlijk iets interessants dat hackers kan aantrekken, zegt hij. Een gedetailleerd verslag hoe Mandiant afgelopen november een aanval op het South Carolina Department of Revenue volgde, laat zien hoe gemakkelijk deze aanvallen kunnen plaatsvinden en hoe lang ze onopgemerkt kunnen blijven.
De Keer , van zijn kant, heeft zijn antivirusbedrijf nog niet opgegeven. Voorlopig blijven we Symantec gebruiken, zegt woordvoerder Eileen Murphy.