Veel leveranciers van antivirussoftware claimen dat je met hun product beschermd bent tegen digitale ellende. Deels klopt dit, maar het is belangrijk dat ondernemers zich realiseren dat alléén een antivirusoplossing niet afdoende is om je te beschermen tegen bijvoorbeeld ransomware of een hack.
Alléén een antivirusprogramma beschermt je bedrijf niet tegen cybercrime. “Het is een beetje alsof je gaat motorrijden met alleen een beschermende broek, maar zonder helm en in je T-shirtje”, vertelt Cas Bilstra, cybersecurity specialist bij Eye Security. Hij legt uit dat traditionele antivirussoftware heel goed is in het onderscheppen van bekende malware. De kenmerkende eigenschappen van al bekende virussen en andere malware worden bijgehouden in een database en het antivirusprogramma kan software herkennen die aan een van deze eigenschappen voldoet. “Dan volgt er vaak een melding vanuit het programma dat er malware is gedetecteerd. Dit is echter niet voldoende weten wij uit ervaring. ”
Statisch versus dynamisch
Virussen en malware zijn allang niet meer de grootste bedreigingen voor organisaties. Cybercriminelen hebben hun aanvalstactieken en -methodes de laatste jaren flink verbeterd en uitgebreid. “Daarom schiet het hebben van alleen een traditionele antivirusoplossing tegenwoordig tekort als de volledige beveiliging van je netwerk”, zegt Bilstra. “Die software werkt namelijk op een statische manier en kan alleen vergelijken met een database met malware. Antivirusprogramma’s zijn niet in staat om afwijkingen in gedrag en patronen op het netwerk te detecteren. Commando’s die in de ene situatie normaal zijn, duiden in andere situaties op een hacker. Dat onderscheid is voor een antivirus moeilijk te maken.” En daar zit de crux volgens de cybersecurity specialist. “De tijd tussen het moment dat een hacker op je systemen binnenkomt en schade aanricht, is cruciaal om de impact van een cyberincident te kunnen beperken. Een antivirusoplossing geeft pas een melding op het moment dat de impact wordt opgemerkt, oftewel, wanneer de hacker de ransomware uitrolt. Dan ben je te laat. Het gaat om het opmerken van hackers voordat ze impact hebben op de bedrijfsvoering.”
Gedragsanalyse op bedrijfsnetwerk
Specialisten wijzen er al langer op dat het niet meer een kwestie is van óf een organisatie wordt getroffen door cybercrime, maar wannéér. “Waar het om gaat, is dat je de impact van een aanval zo gering mogelijk weet te houden”, legt Bilstra uit. “Dat betekent dat je dus in een heel vroeg stadium door moet hebben dat er dingen op je netwerk gebeuren die eigenlijk niet horen.” Een Endpoint Detection and Response (EDR) oplossing is hiertoe wél in staat, in tegenstelling tot de traditionele antivirusprogramma’s." Een EDR-oplossing helpt bij het opsporen en onderzoeken van verdachte activiteiten op endpoints zoals laptops en servers. Bovendien maakt deze het mogelijk om actief te reageren en in te grijpen bij malware of cyberaanvallen. Een EDR kan gedrag op het netwerk van computers analyseren. Het onderscheidt zich daarmee van een antivirusoplossing die slechts naar één machine kijkt. Wanneer een EDR-oplossing een afwijking van het reguliere patroon detecteert, wordt er direct een alarm verstuurd waarop specialisten kunnen ingrijpen en ervoor kunnen zorgen dat een eventuele hack geen schade veroorzaakt.”
Detectie en response
Naast de gedragsanalyse zijn er nog een aantal belangrijke verschillen tussen antivirus en EDR. “Zo bevat een EDR bescherming tegen deïnstallatie”, vertelt Bilstra. “Dat wil zeggen dat wanneer een hacker op je systeem zit en de EDR wil saboteren, die software automatisch meldt dat er iets verdachts aan de hand is. Daardoor kun je snel achterhalen dat er iemand op je netwerk zit die je daar niet wilt hebben.”
Een ander voordeel van EDR boven antivirus is dat telemetrie op een centrale plek wordt verzameld. “Daarmee bedoelen we programma’s die worden uitgevoerd of geïnstalleerd, bestanden die worden bekeken, websites die worden opgezocht, commando’’s die worden uitgevoerd op het systeem et cetera.” Een antivirusprogramma draait lokaal en kan dus geen informatie vergelijken met andere systemen, zoals een EDR dat wel kan. “Die kan dus eenvoudig, op basis van alle informatie en data die doorlopend worden verzameld, veel sneller afwijkingen detecteren. Wanneer er een export wordt gemaakt van de wachtwoorden die staan opgeslagen op de computer bijvoorbeeld. Of wanneer op een aantal computers tegelijkertijd of vlak achter elkaar abnormale commando’s worden uitgevoerd.
Tenslotte bevat zo’n systeem een response mogelijkheid, zoals de naam al aangeeft. Dat betekent dat via een EDR oplossing systemen in het netwerk direct geïsoleerd kunnen worden wanneer verdacht gedrag gedetecteerd wordt. Op die manier voorkomt het dat een mogelijke aanvaller dieper op het netwerk kan doordringen.”
Complexe meldingen duiden
In de meest ideale situatie zou er een EDR oplossing bestaan die autonoom perfecte keuzes kan maken. . Helaas is dat bijna onmogelijk: programma’s die vaak door hackers gebruikt worden, kunnen ook legitieme use-cases hebben en hetzelfde geldt voor commando’s die worden uitgevoerd. Criminelen gebruiken ook vaak software die is gebouwd voor legitiem gebruik (zoals remote management software) om toegang te houden tot gecompromitteerde systemen. Daarom heb je als organisatie een cybersecurity-partner nodig die in staat is de meldingen uit EDR oplossingen te duiden en te bepalen of abnormaal gedrag of riskante software afkomstig is van legitieme activiteit of niet.”
Het duiden van meldingen uit securitysystemen is specialistisch werk waar niet iedere IT-afdeling de juiste mensen voor in huis heeft. “Daarom is het zo belangrijk om samen te werken met specialisten die dit wél kunnen en ook 24/7 beschikbaar zijn. Niet alleen kunnen mensen beter dan computers inschatten of bepaalde afwijkingen in gedrag legitiem of kwaadaardig zijn, ze kunnen ook efficiënter ingrijpen op het moment dat er daadwerkelijk een hacker op je systemen zit.” En daar zit de grootste kans om de impact van een aanval te beperken. “Hoe sneller je een aanval detecteert, hoe sneller je hackers naar buiten kunt werken en de impact op de bedrijfsvoering kunt minimaliseren.”
Snelle detectie is cruciaal
Dat het beoordelen van securitymeldingen zo complex is, komt doordat er contextuele expertise noodzakelijk is op cybersecuritygebied. “Dit vereist kennis en ervaring. We zien dat veel systeembeheerders, maar ook IT-partners van bedrijven, vooral generalisten zijn die over brede IT-kennis beschikken. Om cybercriminelen te slim af te zijn, is het noodzakelijk om heel gespecialiseerde securitykennis te hebben.” Bilstra vertelt dat de EDR-oplossing die Eye bij klanten implementeert ervoor zorgt dat de cybersecurityspecialisten te allen tijde beschikken over relevante informatie over het netwerk van de klant en wat daarop gebeurt. “Daardoor kunnen we afwijkingen snel detecteren en beoordelen. Op het moment dat er daadwerkelijk een aanval gebeurt, kunnen we met die informatie direct handelen, zodat we de impact drastisch reduceren. De eerste vier uur van een aanval is cruciaal. Wanneer we dan beschikken over de juiste tools en informatie, kunnen we aanvallen snel afslaan, nog voordat ze impact op de bedrijfsvoering hebben.”
Alleen antivirus is onvoldoende
Bilstra geeft een voorbeeld van een Europees opererend technologiebedrijf dat gebruikmaakte van een antivirusoplossing van een gerenommeerde leverancier. “Daaruit bleken diverse meldingen te zijn gekomen, waaronder overigens ook veel valse meldingen. Door deze vele valse meldingen mag een antivirusproduct vaak niet zelf ingrijpen en keek er ook niemand meer om naar de meldingen die eruit kwamen. Daardoor konden de aanvallers hun gang gaan en ransomware op het bedrijfsnetwerk uitrollen. Dat is het moment dat wij als securityspecialisten om hulp werden gevraagd, maar dan is het kwaad dus al geschied en moeten we nog beginnen met het verzamelen van informatie om te bepalen wat er is gebeurd en welke systemen allemaal geraakt zijn. Uiteindelijk heeft dit bedrijf miljoenen moeten betalen om zijn systemen opnieuw op te bouwen en heeft het bedrijf een week stilgelegen.” De cybersecurityspecialist benadrukt het nogmaals: “Het is bijna onmogelijk om ervoor te zorgen dat aanvallers niet binnen komen in je systemen. Alleen door ze op te merken op het moment dat ze binnen zijn maar voordat ze schade toebrengen kun je gerichte actie ondernemen om impact te voorkomen. Met alleen een antivirusoplossing gaat je dat niet lukken.”