Toen computer-malware voor het eerst verscheen aan het einde van de jaren tachtig - met name de beruchte Morris Worm - leidde de veroorzaakte schade tot de geboorte van de cybersecurity-industrie. Vroeger betekende cybersecurity vrijwel altijd antivirus (AV) software.

Sinds zijn debuut heeft AV vooral vertrouwd op het detecteren van de handtekeningen van al-geïdentificeerde malware om te voorkomen dat bekende, slechte bestanden worden uitgevoerd.

In de afgelopen 25 jaar was antivirussoftware de eerste en soms enige verdediging die door veel bedrijven werd gebruikt in een poging om hun computers en de kritische informatie over hen te beschermen tegen de steeds verwoestende gevolgen van malware.

AV werkt door periodieke punt-in-tijd scans uit te voeren op specifieke eindpunten of systeemcomponenten. Het beste dat de meeste van deze oplossingen kunnen bieden, is een gedeeltelijke, en meestal achteraf, weergave van wat al is gebeurd.

Tijd is echter een kritieke factor bij het detecteren en voorkomen van geavanceerde bedreigingen. Met een op scannen gebaseerd systeem is er een aanzienlijke "stilstandtijd" gedurende welke de malware resident en actief is. Zelfs als een scan het toevallig opraapt, is de vraag hoe lang het al op het systeem is geweest en wat het heeft gedaan sinds het is aangekomen?

Zelfs als de verblijftijd niet lang is, is deze vaak lang genoeg om een ​​geavanceerde cyberaanval gevaarlijke gevolgen te hebben. Alle aanvallers hebben voldoende tijd om uit te bellen en instructies te krijgen over hoe u ergens anders in uw systeem kunt komen, terwijl u strategieën invoert die voorkomen dat u de malware detecteert.

Het probleem met de op scannen gebaseerde antivirussoftware is dus dat de makers van geavanceerde malware geen bestaande software met bekende handtekeningen gebruiken om hun chaos los te laten..

Geavanceerde bedreigingsactoren

Deze geavanceerde actoren van bedreigingen zetten enkele van de meest getalenteerde softwareontwikkelaars ter wereld in om cyberaanvallen uit te voeren en hun missie is om hun doelen te bereiken met unieke software die nog nooit eerder is gezien - zero-day attacks - om bedrijven en regeringen te stelen door te stelen geld, gegevens en andere bedrijfseigen informatie en over het algemeen ravage aanrichten.

Om de geavanceerde aanvallen van vandaag effectief te kunnen bestrijden, hebben bedrijven realtime inzicht nodig in elk eindpunt en iedere server die "altijd actief is" met continue bewaking, zodat u elke gebeurtenis kunt zien zoals deze zich voordoet. Point-in-time scans en snapshots creëren gaten in zichtbaarheid die u kwetsbaar maken.

U moet verdachte gebeurtenissen zien in de context van wat er gebeurt op al uw eindpunten, in plaats van geïsoleerde incidenten op individuele eindpunten. Om dat te doen, hebt u een oplossing nodig die kan controleren:

  • De aankomst en uitvoering van elk bestand met uitvoerbare code (programma's, scripts, etc.)
  • Elke essentiële systeembron (geheugen, processen, etc.)
  • Systeemregisterwijzigingen
  • USB-apparaten
  • Kritieke bestanden

En om effectief te zijn, moet de zichtbaarheid in realtime en continu zijn, omdat de meeste malware binnen een kwartier zijn schade oplost en vervolgens morphs of zichzelf verwijdert. U moet nu weten wat er woont en loopt.

Als Adobe Acrobat of Microsoft Excel bijvoorbeeld een onbekend uitvoerbaar bestand op uw computer plaatsen, is dit waarschijnlijk schadelijk. Uitvoerbare bestanden mogen geen JPEG- of PDF-extensies hebben en processen mogen nooit uit de prullenbak komen.

Realtime zichtbaarheid en continue bewaking

Een van de grootste tekortkomingen van traditionele beveiligingsbenaderingen is dat de meeste slachtoffers alleen weten dat ze zijn geschonden en dat waardevolle gegevens zijn beschadigd of gestolen nadat de dader het virtuele gebouw heeft verlaten.

Dus in plaats van te werken aan het voorkomen van aanvallen door realtime zichtbaarheid en doorlopende bewaking te gebruiken om aanvallen te voorkomen, besteden bedrijven die zich baseren op traditionele antivirus als hun primaire beveiligingsmethode het grootste deel van hun tijd om de omvang van de schade te bepalen die wordt veroorzaakt door een aanval en erachter te komen hoe het te verhelpen.

Waar het op neer komt is dat aanvallen in real time gebeuren. Dus de beveiliging moet ook in real time gebeuren. Beveiliging moet op zijn kop worden gezet en proactief worden in plaats van reactief.

Als dat niet het geval is, zullen bedrijven voor altijd vastzitten in hun eigen versie van de film Groundhog Day, waarbij ze de pijn terugkrijgen die wordt veroorzaakt door zero-day en gerichte aanvallen die traditionele beveiligingsoplossingen gemakkelijk en telkens weer omzeilen. En opnieuw.

  • Harry Sverdlove, de Chief Technology Officer van Bit9, put uit bijna twee decennia van applicatieontwerp en -analyse met toonaangevende IT-bedrijven om een ​​nieuwe laag van technische expertise en strategische visie toe te voegen aan Bit9's Trust-based Security Platform.