Antivirus is ineffectief tegen moderne dreigingen. Whitelisting moet security overnemen. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De notie dat antivirus dood is, is an sich niet nieuw. Alleen wordt het heengaan van het oude securitymiddel nu niet gepredikt door een excentrieke figuur als John McAfee. Nee, in plaats van een securitypionier die al enkele jaren niet meer in de industrie zit, komt de kritiek op antivirus nu van een expert die met zijn laarzen in de modder staat. Senior security engineer Darren Bilby van Google stelt dat traditionele antivirus grotendeels nutteloos is.
‘Antivirus doet wel een paar nuttige dingen, maar het is meer als een kanarie in de kolenmijn. We staan allemaal bij een dode kanarie en zeggen ‘Godzijdank dat de kanarie al het giftige gas heeft ingeademd’.’ Hij bestempelt veel bestaande securitytools als ‘magie’ die ineffectief is. Toch installeren it’ers deze nutteloze bescherming omdat ze door compliance-regels daartoe gedwongen worden. Bilby roept op om hiermee te stoppen: ‘Alsjeblieft geen magie meer. We moeten stoppen met investeren in die dingen waarvan we al hebben aangetoond dat ze niet werken.’ Wat volgens hem wél werkt, is strak whitelisten van toegestane, veilige applicaties. Wat vind jij?
Het is zorgelijk dat commerciële bedrijven inmiddels hofleverancier zijn geworden aan niet alleen dictaturen maar ook de westerse overheden van software die op of over het randje van de wet gaat en zeer stevige kritiek krijgt van digitale burgerrechten bewegingen.
Met whitelisten ga je ook dat probleem niet echt oplossen.
Leuk bedacht dat Whitelisten, maar het probleem met de grootste bedreigingen (oa ransomware) zit in het feit dat deze reguliere processen (mis/ge-)bruiken voor niet-legitieme doelen. Ik betwijfel of je dat soort problemen tackelt met whitelisten.
Overigens ben ik het wel eens met het feit dat traditionele antivirus achterhaald is.
Laatst kwam ik iemand tegen die niet aan antivirus deed omdat hij nog nooit een virus had gehad.
Zulke mensen maken mij heel bang. Ik weet niet precies hoe effectief anti-virus is, maar whitelisting… als iemand op de whitelist nu slachtoffer wordt van een hack… wie wijst mij daar dan op?
Er is niet 1 oplossing voor secure werken, dat is een oversimplificatie en een gevaarlijke.
Wat nog het beste resultaat levert is mensen te leren wat echt gevaarlijk is en ze slechte gewoontes af te leren.
De mens is de zwakste schakel, het is verbazingwekkend hoe goed een instruktie van 2 a 3 uur aankomt en hoe zoiets aangenomen wordt, de meeste ontbreekt het aan een paar simpele gedragskodes op gebied van IT veiligheid.
Whitelisting is een mogelijkheid, maar werkt niet zonder een paar “eenvoudige” technische maatregelen. De belangrijkste hiervan is het intrinsiek veilig maken de communicatie door een aanpassing/uitbreiding in het OSI 7layer model. Door toevoeging van beveiliging in 2 lagen, bv laag 2 en/of 3 en 5 en/of 6. Dit heeft weliswaar consequenties voor de huidige communicatie software maar die zijn aanzienlijk minder dan de bedreigingen van allerlei mallware.
De kosten kunnen worden gedragen door de verzekeraars van de schade en/of door alle andere belanghebbenden.
De mallware die gebruik maakt van de “onoplettendheid/onwetendheid” van de gebruiker kan daardoor ook eenduidiger en dus eenvoudiger worden bestreden met de vraag of deze wil zenden en/of ontvangen terwijl dat niet de bedoeling is.
Helaas/gelukkig maakt dit ook een einde aan nog wat verdienmodellen van bedrijven die nu meevaren op de “gebrekkige beveiliging” van communicatiesoftware en internet. Dat is te overkomen met whitelisting van die bedrijven/organisaties. Techniek kun je uiteindelijk geen individuele morele keuzes laten maken…
De huidige bedreigingen komen niet meer via virussen, die zonder menselijke tussenkomst op je computer komen, maar via andere software (trojans) of phishing, dus door menselijke fouten.
Er is geen enkele reden om je moderne (en natuurlijk geheel up-to-date) OS te verzwakken door een virusscanner te installeren. Deze beschermen voornamelijk tegen bedreigingen uit de 20e eeuw, terwijl we nu alweer wat jaartjes in de 21e eeuw leven.
Beveiliging in de 21e eeuw bestaat uit het gebruiken van een bijgewerkt OS, bijgewerkte software, geen Java op de client, geen Flash, geen Silverlight, blacklisting, whitelisting, SSL/TSL, VPN, …, maar vooral: nadenken!
Gebruikers moeten nadenken.
Denk na voordat je ergens op klikt.
Denk na voordat je ergens je mailadres achterlaat.
Denk na voordat je ergens inlogt (Ziet de pagina er anders uit? Niet klakkeloos toch inloggen, denk na, controleer de URL, en pas als je zeker bent dat het de site is die je denkt dat het is, kun je eventueel inloggen, en niet eerder.)
Denk na voordat je voorwaarden accepteert.
Denk na voordat je iets vanuit een pop up installeert.
Denk na als je een mail krijgt dat je bankpas verlopen / geblokkeerd / … is.
Denk na als je een mail krijgt met een tegoedbon van 250 euro.
Denk na voordat je ergens toestemming voor geeft.
Denk na als …
Vroeger, in het virus-tijdperk, was het heel simpel: je installeerde een virusscanner, en je hoefde nergens op te letten, dat deed de virusscanner wel voor jou.
Nu, in het post-virus-tijdperk, is het niet meer zo simpel. De aanval is niet meer gericht op de computer, maar op degene die de computer bedient. Risicoloos gedachteloos op het internet rondklikken is er niet meer bij, je moet continu alert zijn. Antivirussoftware geeft je een onterecht gevoel van veiligheid.
Conclusie: vertrouw niet op een stukje nutteloze software, maar DENK NA!
Whitelisten van toegestane applicaties is een toverstokjes-maatregel. De mail-client wordt gewhitelist (want we moeten toch kunnen mailen), de rekenvel-applicatie met macro-mogelijkheid wordt gewhitelist (want de boekhouder heeft de boekhouding nou eenmaal in zo’n applicatie met macro’s).
Mooi. Nu ontvangt iemand een mail met een rekenvel en een macro die zou worden gekenmerkt als virus. Geen enkele virusscanner in place en drie keer raden wat er gebeurt.
Virusscanners hebben hun plaats en hun functie. Er zijn tegenwoordig dingen die niet met virusscanners worden gevangen (en dat wordt geloof ik niet ontkend, maar zeker niet benadrukt), en dat zal zo blijven. Zoals iemand anders al schreef is de mens (of liever gezegd: het gedrag van de onwetende of onkundige) nu de belangrijkste veroorzaker van problemen.
Whitelisting alleen is niet afdoende. Whitelisting gebeurt ook al veel door websites als vertrouwde websites aan te merken, echter je hebt (vind ik) toch nog een antiviruspakket nodig om ook tegen besmette email en websites te beschermen. Daarnaast, wie gaat jou vertellen dat de vertrouwde website van vandaag morgen niet gehacked is?
Anti-virus werkt wel degelijk. Alleen is het niet altijd voldoende tegen de huidige threats.
Het whitelisten van toegestane applicaties is ook al een oud idee. Het blijkt niet beheersbaar en geeft teveel werklast.
Advanced Endpoint Protection oplossingen (zoals Traps van Palo Alto networks), zijn een goede stap in de richting. Je voorkomt hiermee niet alle besmettingen, maar de gevolgen van een grote deel van de moderne threats (o.a. ransomware) worden gemitigeerd.
Ik geloof in de samenwerking van een keten aan producten, van firewall (perimeter) tot End Point Protection en alles wat daar tussen zit. Deze producten wisselen dan onderling informatie uit, die ook wordt gedeeld met een centraal punt (in de cloud, zo u wilt) en vanaf daar wordt verspreidt naar de rest van de werekd. Na patient Zero is de threat geen threat meer.
Het hele concept van een chronisch lek besturingssysteem proberen op te lappen met wat “slechtheidsdetectie” heeft nooit echt gewerkt. Dus hetzelfde doen maar omgekeerd… gaat ‘m ook niet worden.
Levert wel meer rompslomp op en is in feite een mooi stukje landjepik van grootbedrijven die de witte lijsten beheren.
Dit is dus gewoon weer een politieke zet, net zoals “secure boot” ook verkocht wordt als veiligheidsmaatregel maar in feite een machtsoverdracht is van computereigenaar naar… een zekere grote softwarefabrikant.
Hoe het wel op te lossen? Wat dacht je van besturingssystemen en applicatiesoftware die niet voortdurend de broek laten zakken? En dat kan best. Je moet het alleen wel willen.