Dagelijks worden naar schatting 560.000 nieuwe vormen van malware op de bedrijfswereld losgelaten. Een tot vijf procent daarvan wordt niet onderschept door de klassieke edr-programma’s. Tenzij je elke potentiële bedreiging kan afzonderen vooraleer ze schade kan toebrengen – wat precies is wat Xcitium wil doen met zijn ZeroDwell Containment.
In een recent rapport, ‘Predicts 2023 – Enterprises Must Expand From Threat to Exposure Management’, komen de analisten van marktonderzoeker Gartner tot de vaststelling dat tegen 2027 organisaties die niet continu hun remote access architectuur en processen monitoren drie keer meer risico lopen op inbraken. Cybersecurity Ventures drukt het plastischer uit: de jaarlijkse kosten van cybercrime zal dit jaar de kaap van acht triljoen dollar overschrijden – en dat zou nog een onderschatting zijn, zo staat in hun jongste ‘2022 Official Cybercrime Report’ te lezen. Het volgt daarmee de stelling van IBM dat vorig jaar in zijn rapport ‘Cost of Data Breach 2022‘ er al op gewezen had dat de kostprijs om van een data-inbraak te herstellen gemakkelijk meer dan zeven cijfers kan bedragen, met een gemiddelde van 4,35 miljoen dollar per bedrijf. Het is dan ook niet verwonderlijk dat de wereldwijde cybersecuritymarkt dit jaar volgens Gartner met 11,3 procent zal groeien tot meer dan 188 miljard dollar.
Er zijn altijd nog gaatjes
Om malware een halt toe te roepen zijn de voorbije jaren heel wat systemen uitgedacht, met wisselend succes. Voorop staan endpoint detection and response (edr)-systemen die meestal uit drie elementen bestaan: antivirussoftware, een host firewall, en een hips of host intrusion protection system. De antivirussoftware maakt gebruik van patronen om gekende malware te ontdekken, de firewall kan in- en uitgaande connecties blokkeren op basis van richtlijnen die de beheerder heeft opgesteld, en hips stelt beheerders in staat regels te definiëren rond welke applicaties en bestanden al dan niet op de computer mogen draaien.
‘Maar hoe gesofisticeerd je securitystack ook moge zijn, toch zullen er altijd nieuwe bedreigingen zijn die door de gaatjes glippen’, zegt Ken Levine, ceo van Xcitium, de Amerikaanse specialist van endpoint-protectie die tot voor kort bekend was onder de naam Comodo Security Solutions. ‘Het probleem is dat de klassieke antivirustechnologie gebaseerd is op de kennis van bestaande malware maar dat malware-ontwikkelaars nu hun software precies schrijven om die antivirus- en intrusiedetectie te omzeilen. Een systeem dat louter gebaseerd is op detectie kan dan ook nooit alle malware detecteren en uitschakelen vóór ze schade kan berokkenen.’
Schuldig tot het tegendeel is bewezen
Xcitium hanteert daarom een andere aanpak. ‘Heel eenvoudig’, zegt Ken Levine. ‘Ons vertrekpunt is dat elk onbekend element dat op een netwerk komt, slecht is, onbetrouwbaar. En dus gaan we dat element afzonderen, het gaat in quarantaine en wordt voor analyse doorgestuurd naar onze clouddiensten. We schuiven hier als het ware een virtualisatielaag tussen het onbekende stukje software en het filesysteem, de kernel, het register, de com-interface en alle andere componenten van het hostsysteem. Voor de potentiële malware lijkt het alsof ze gewoon toegang heeft tot de bedoelde diensten maar intussen wordt ze geblokkeerd en kan ze geen schade berokkenen op het netwerk, we gaan ze bij wijze van spreken uithongeren. Blijkt ze na analyse oké, dan wordt ze losgelaten, anders wordt ze gewoon uitgeschakeld en verwijderd.’
ZeroDwell Containment is de term die Xcitium voor zijn endpoint security-oplossing bedacht heeft – en die term dekt de lading perfect. Dwell time is immers de tijd die nodig is voor de eerste detectie op het moment dat malware een systeem binnendringt, en hoe langer de dwell time hoe hoger de kans op schade, diefstal, phishing, ransomware of andere vormen van cyberaanval. Door alle verdachte code onmiddellijk te isoleren wordt dat gevaar bezworen zonder dat lopende toepassingen daar hinder van ondervinden. Eindgebruikers kunnen de onbekende applicatie zelfs gebruiken zonder dat ze al toegang heeft tot de rest van het netwerk – en zonder dat het een impact heeft op de productiviteit van een organisatie. Voor marktonderzoeker Frost & Sullivan reden genoeg om Xcitium vorig jaar uit te roepen tot 2022 Competitive Strategy Leader of the Endpoint Security Industry.
Ook voor bestaande edr-oplossingen
Uiteraard biedt Xcitium wel wat meer dan louter die ZeroDwell Containment, het bedrijf beschikt al jaren over een volledig endpoint platform inclusief antivirus, edr en intrusiepreventie. Het is onlangs wel een stap verder gegaan door ter gelegenheid van de NetEvents conferentie in San Jose zijn ZeroDwell Containment ook aan te bieden aan bedrijven die al concurrerende edr-oplossingen in gebruik hebben. ‘Niet elk bedrijf heeft immers Xcitium geïnstalleerd en we kunnen dan ook niet verwachten dat iedereen zomaar zijn bestaande oplossing aan de deur zal zetten om ZeroDwell Containment te gebruiken’, zegt Ken Levine. ‘Vandaar dat we onze technologie nu ook via alvast negen endpointleveranciers op de markt zetten. Als je een implementatie van bijvoorbeeld CrowdStrike of Sentinel One of Microsoft Defender hebt draaien en hun endpoint gebruikt, dan kunnen wij er gewoon een laag bovenop leggen met ZeroDwell Containment.’
Omdat de malware-ontwikkelaars zich nu in toenemende mate richten op het mkb-segment – erg kwetsbaar en met te weinig middelen om zware preventieprogramma’s te kunnen aankopen – biedt Xcitium zijn oplossing nu ook aan onder de vorm van een managed service, zonder dat eindgebruikers nog moeten investeren in een eigen soc (security operations center). ‘Een saas-oplossing die nu in snel tempo bij steeds meer msp’s gehoor vindt’, besluit Levine.
Er zijn steeds meer endpoints…
Bij het woord ‘endpoint’ denken we in securitytermen meestal spontaan aan bedrijfsnetwerken. Maar uiteraard is dat vandaag maar een beperkt deeltje van het arsenaal aan endpoints dat we ter beschikking hebben. Thuiscomputers, smartphones, iot-apparaten, allemaal zijn het eindpunten die kwetsbaar zijn voor cyberaanvallen.
De wereldwijde endpoint securitymarkt die in 2020 12,93 miljard dollar waard was, zou tegen 2028 groeien naar 24,58 miljard of een gemiddelde jaarlijkse groei van ruim 8 procent. Vooral Covid-19 en het daarbij horende thuiswerk hebben de nood aan endpoint security een serieuze boost gegeven, en sedert de inval van Rusland in Oekraïne is het aantal cyberaanvallen nog sterk toegenomen, niet alleen in die regio maar ook in in Navo-lidstaten die handel drijven met Oekraïne zoals Estland, Litouwen en Montenegro. Ook de enorme groei van IoT-apparatuur brengt nieuwe uitdagingen mee voor endpoint protectie omdat elk nieuw toestel ook nieuwe kansen schept voor cyberinbrekers. Hackers maken daarbij in toenemende mate gebruik van machine learning en kunstmatige intelligentie om gesofisticeerde cyberaanvallen uit te voeren op bedrijfsnetwerken, vaak via endpoints van eindgebruikers om op die manier de beveiliging van zo’n netwerk te omzeilen.
Uit een studie van het Ponemon Institute, The Third Annual Study on the State of Endpoint Security Risk, blijkt dat 68 procent van de ondervraagde bedrijven het slachtoffer was geweest van een of meer endpoint-aanvallen die data of de it-infrastructuur beschadigd hadden. Niet echt zo verwonderlijk als je weet dat 49 procent van de deelnemers aan een recent onderzoek van Osirium Technologies verklaarde dat er in hun bedrijf geen sprake was van beheer van endpoint security. Volgens Forst & Sullivan zijn de meeste cybersecurity oplossingen maximaal voor 99 procent doeltreffend – een kloof van 1 procent die Xcitium met zijn ZeroDwell Containment technologie wil dichten. Dat het aanbod in de sector op de nodige erkenning mag rekenen, bewijst de AV-Test Best Advanced Protection 2022 Award under Windows die het bedrijf einde maart mocht ontvangen van het gerenommeerde AV-Test Institute.
https://cybersecurityventures.com/cybercrime-to-cost-the-world-8-trillion-annually-in-2023/
https://nl.wikipedia.org/wiki/Triljoen 1 trillion = 1 biljoen
Inderdaad, er zijn meerdere interpretaties van bijvoorbeeld trillion / triljoen. Dat heeft te maken met de korte en de lange schaal voor grote getallen. Vanaf een miljard gaat het “letterlijk” vertalen mis. Zie https://nl.wikipedia.org/wiki/Lijst_van_machten_van_tien.
In Amerika gebruikt men meestal de korte schaal, op het Europese continent de lange schaal. In het VK worden die schalen de laatste jaren door elkaar gebruikt en vaak zonder aan te geven welke schaal men bedoelt (“American billion” of “British billion”).
Het stomme is dat Google het woord triljoen (10 tot de macht 18) in het Engels vertaalt met trillion (10 tot de macht 12) in plaats van quintillion. Vraag je Google quintillion (10 tot de macht 18) in het Nederlands te vertalen, dan krijg je quintiljoen (10 tot de macht 30) in plaats van triljoen. Vertaal je een paar keer heen en weer, dan krijg je totaal verkeerde getallen. Dus AI is zo goed niet en wordt het SI-stelsel vernacheld.
Het omgekeerde filter bij ZeroDwell Containment is overigens een interessant concept in de wereld van EDR, NDR, XDR, MDR. Natuurlijk kunnen er gaten in de beveiliging zijn, die zonder malware misbruikt kunnen worden of pas later met malware kunnen misbruikt worden.