Naarmate cybercriminelen steeds weer nieuwe en meer geavanceerde methodes vinden om malware op de endpointsystemen (desktops, mobiele apparaten, servers, et cetera) te krijgen, wordt de detectie verdediging aan de hand van traditionele beschermingsmechanismen steeds minder effectief. Er moet een andere aanpak gezocht worden om endpoints vrij te houden van malware. Dynamische whitelisting is zo’n aanpak.
Dynamische whitelisting als een manier om het draaien van software en de toegang tot systeembronnen tegen te gaan – tenzij er expliciet vertrouwen is in de applicaties en uitvoerbare bestanden – was pakweg zo’n vijf jaar geleden nog een nieuw concept. Zeker voor de back-office, het datacenter en de cloudinfrastructuur viel dit concept in goede aarde. In die omgevingen draait alles om hoge beschikbaarheid, risicobeheersing en verantwoording kunnen afleggen. Maar whitelisting gebruiken voor de beveiliging van endpoints was een heel ander verhaal: support is moeilijk en er zijn veel te veel verschillende desktop images nodig. Bovendien verwachten de gebruikers dat zij volledige controle over hun computer hebben en dat staat op gespannen voet met whitelisting. Toch is deze technologie nodig om endpoints binnen grote ondernemingen beter te kunnen beschermen tegen allerhande onbekende dreigingen die in steeds hoger tempo verschijnen. Wat is er de afgelopen tijd veranderd? Drie dingen:
- Cultuur – Vrijwel iedereen kan tegenwoordig op het werk de eigen smartphone of tablet gebruiken voor privé doeleinden. Werknemers zullen het daarom acceptabeler vinden als zij op hun desktop pc op kantoor geen niet-zakelijke applicaties kunnen draaien. Daar komt nog bij dat zij dankzij de cloud via een gewone webbrowser toegang hebben tot hun eigen documenten en mail.
- Compliance – Veel van de bedrijfsstandaarden en -richtlijnen omvatten eisen voor beveiliging tegen malware die afgestemd zijn op de huidige dreigingen. Veel grote ondernemingen streven naar het voor 99 procent voldoen aan die eisen en naar absoluut geen malware op de desktop pc’s. Dit is ingegeven door de risico’s die zij denken te lopen, gebaseerd op eigen ervaring of op de gevolgen die andere ondernemingen in hun branche hebben ondervonden.
- Kosten – Grip op de kosten en kostenbesparing blijven natuurlijk belangrijk. Een standaard omgeving voor desktop pc’s – een common operating environment (coe) – is voor grote bedrijven een manier om de supportkosten te verlagen. Streaming van de juiste applicaties kan helpen om te voorkomen dat er op elke desktop patches en updates moeten worden doorgevoerd, maar niet elke applicatie of gebruiksscenario is hiervoor geschikt. Wat dan in elk geval helpt is dat er op de desktop alleen geautoriseerde ‘white list’-applicaties staan. Het kost minder tijd om eventuele storingen te verhelpen en het drukt de kosten van compliance.
Voor beheerders is het natuurlijk belangrijk dat de procedure voor het installeren van applicaties zoveel mogelijk geautomatiseerd is. Een gebruiker die een nieuwe applicatie wil installeren zou bijvoorbeeld uit een menu een reden hiervoor moeten kiezen, waarna de whitelist automatisch wordt aangevuld met de desbetreffende ‘executable’. Dat kan het beste een tijdelijke autorisatie zijn, zodat de beheerders in een later stadium kunnen controleren of de autorisatie terecht is afgegeven en of de whitelist wellicht bedrijfsbreed moet worden aangepast.
Zoals altijd is het wel belangrijk om de gebruikers goed voor te lichten over whitelisting. Het waarom ervan moet duidelijk zijn: het helpt de kosten in de hand te houden en verkleint de it-beveiligingsrisico’s. En uiteindelijk komt dat de business ten goede.
Meten is weten
Maar ook met whitelisting blijft security vergeleken met veel andere business-onderdelen achter als het gaat om het meten van de effectiviteit. Neem bijvoorbeeld traditionele antivirussoftware. Daarvan wordt de effectiviteit gemeten op basis van het vermogen om malware tegen te houden. In principe klinkt dit als een valide benadering, maar deze maat voor effectiviteit is gebaseerd op het herkennen van bekende malware, terwijl er niet of nauwelijks rekening wordt gehouden met onbekende malware.
Ik denk dat evaluatiecriteria niet alleen gebaseerd moeten zijn op externe testresultaten, maar ook rekening houden met het updaten en beheren van het securitysysteem en de impact van het systeem op de prestaties. Het belang van deze individuele componenten zal afhankelijk zijn van de omvang en de aard van de organisatie. Voor een grote onderneming kan bijvoorbeeld de beheerfunctionaliteit van een beveiligingsoplossing erg zwaar wegen. Mogelijkheden zoals rolgebaseerde toegang en Active Directory-integratie zullen voor een grote organisatie hoogstwaarschijnlijk onmisbaar zijn, aangezien zij met vele honderden endpoints te maken hebben. Weinig effectieve beheermogelijkheden zullen een grote onderneming op hoge (operationele) kosten jagen en zijn de beheermogelijkheden belangrijker dan de aanschafprijs. Voor een klein bedrijf zijn de beheerkosten minder belangrijk dan aanschafprijs, effectiviteit en support.
Soms zullen de selectiecriteria gebaseerd zijn op externe standaarden, zoals de PCI Standard, die vereist dat een anti-virusoplossing up-to-date moet blijven, actief moet draaien en in staat moet zijn om logbestanden te genereren. Deze eisen lijken wellicht minimaal, maar er zijn nogal wat standaarden voor verschillende branches en die verschillen ook in de details. Zo zullen in streng gereguleerde sectoren verplicht gestelde standaarden ongetwijfeld verder gaan dan de PCI Standard.
Het ontwikkelen van dergelijke standaarden en het op basis daarvan meten, zal naar ik verwacht verplicht worden binnen grote ondernemingen. In veel gevallen zal het echt niet meer volstaan om een open budget te hebben: er zal eerst een business case moeten komen, zelfs voor een simpele anti-virusoplossing, alvorens geld beschikbaar wordt gesteld. Het vaststellen van de juiste meetpunten als onderdeel van de selectiecriteria is niet alleen belangrijk voor een business case, maar ook om de waarde voor de onderneming aan te tonen en om aan de directie, de toezichthouders en de klanten te laten zien dat beveiliging, ook tegen nieuwe internetdreigingen, echt serieus genomen wordt.
