Help, mijn antivirus detecteert niets

Help, mijn antivirus detecteert niets

DearBytesBlogHelp, mijn antivirus detecteert niets

DBDrawing 015 - NCSC_AIVD MonitoringBij DearBytes krijgen we nog weleens de melding dat een virus niet wordt gedetecteerd en hoe dit kan. Een logische vraag, immers: Als ik een product koop, verwacht ik ook dat het werkt. Meestal ligt de oorzaak in een nieuwe variant van malware die nog niet is gedetecteerd in de wereld (ook virus schrijvers maken gebruik van antivirus om hun malware te testen op effectiviteit) en dus niet bekend bij de virus-scan leverancier.

Een conclusie die ik echter uit deze vraag haal is dat blijkbaar niet alleen antivirus heeft “gefaald”, maar dat alle andere preventieve en detectieve maatregelen ook niets hebben waargenomen. Of is de virusscanner uw enige defensie mechanisme tegen malware? Ik hoop van niet.

Want betekent het niet detecteren door een virusscanner immers niet dat al uw andere defensieve maatregelen hebben gefaald? Om een vergelijking te maken: Als een passagier aan boord van een vliegtuig zou kunnen komen met een wapen, zou u dan alleen de schuld geven aan de laatste controle voordat deze persoon op het vliegtuig stapt of zo u zich ook afvragen waarom dit wapen niet eerder was gevonden? Voordat de malware op het systeem heeft kunnen nestelen heeft het een pad moeten afleggen van buiten uw organisatie tot aan het systeem. Een route waarbij veel verschillende technieken, processen en een goede dosis gezond verstand al een infectie hadden kunnen voorkomen.

Defense in Depth

Er is echter geen “silver bullet” die alle dreigingen tegenhoudt. Alleen een virusscanner is allang niet meer afdoende om de laatste dreigingen zoals ransomware tegen te houden. Er zijn meerdere lagen van beveiliging nodig om uw organisatie weerbaar te maken. En dat zijn niet alleen technische maatregelen. Denk bijvoorbeeld aan user awareness of een uitvoerend beleid. Een user awareness training had uw medewerker misschien 2 maal doen denken voordat deze op de Zip bijlage klikte en een uitvoerend beleid voor het blokkeren van niet werk gerelateerde websites had ook mogelijk de malware infectie kunnen voorkomen.

Zie het als een kasteel in de middeleeuwen: Om de koning of schat te beveiligen tegen de vijand zijn er meerdere lagen van beveiliging. De gracht om het kasteel (optioneel met krokodillen), hoge muren, wachters op de muren of torens, binnenmuren, soldaten, sloten op deuren, beperkte toegang tot ruimtes, etc. Dit alles betekent niet dat een aanval onmogelijk is maar wordt wel lastiger gemaakt en geeft ook meer tijd om de koning of schat in veiligheid te brengen bij een daadwerkelijke aanval.

Een aantal tips

Om u even op weg te helpen met een aantal zaken die buiten de virusscanner om uw omgeving beter kan beveiligen tegen malware, hier de volgende tips:

  • Gebruik beperkte accounts voor dagelijks werk. Ik heb in de praktijk meegemaakt dat een virus zich had verspreid over het hele netwerk en dit kwam doordat er gebruik was gemaakt van een admin account voor dagelijkse werkzaamheden;
  • Schakel accounts uit die niet meer worden gebruikt en reset hiervan de passwords. Dit is niet alleen voor medewerkers die uit dienst gaan maar ook bijvoorbeeld serviceaccounts die niet meer actief zijn.
  • Gebruik een account met adminrechten NOOIT op het internet. Gebruik van admin accounts is niet te vermijden maar gebruik deze alleen voor het betreffende doel zoals het aanpassen van een configuratie of installatie van software;
  • Verwijder zoveel mogelijk extensies uit de browser. Flash en java zijn de meest gebruikte manieren om uw systeem binnen te komen om daarna malware te installeren. Als een applicatie deze plugins nodig heeft, en u kunt ze niet vervangen, gebruik een aparte browser zonder internettoegang of bied de applicatie via bijv. Citrix aan;
  • Beperk privégebruik van internet voor medewerkers. Ik ken klanten die inmiddels alle mailsites zoals Gmail, Hotmail of Ziggo niet meer toestaan op hun netwerk omdat deze infectiebron nummer 1 waren voor ransomware. Tevens, iedereen kan tegenwoordig mailen via hun smartphone;
  • Patch uw systemen en applicaties. Weet welke kwetsbaarheden in uw netwerk aanwezig zijn en dicht deze op prioriteit.
  • Gebruik additionele sandbox of behavior analytics achtige tooling om onbekende bestanden die het netwerk binnenkomen te analyseren en waar verdacht deze te blokkeren voordat ze worden uitgevoerd op een systeem;
  • Doe aan netwerksegmentering. Door uw omgevingen te segmenteren en te scheiden via firewalls is eventuele verspreiding van malware beperkt;
  • Geef uw medewerkers voorlichting over beveiliging. Niet iedereen is computerexpert en zal dat ook niet worden. Geef uw medewerkers echter wel tips, trucs, do’s en don’ts wat betreft phishing, social engineering en internet gebruik;
  • Maak continu backups van uw data en test restore functionaliteiten met regelmaat. Kijk hierbij goed naar hoeveel verlies u kunt lijden (Recovery Point Objective) en hoe snel u weer up and running moet zijn (Recovery Time Objective);
  • En misschien het belangrijkste: monitor uw netwerk op signalen van infecties. Niet alle malware is zo zichtbaar als ransomware en monitoren van verdachte activiteiten kan u inzicht geven in een mogelijke inbraak in uw netwerk. Als alle maatregelen falen, kan dit uw redding zijn om zo snel mogelijk in te zien dat het mis is gegaan.

Stel uzelf de vraag

Dit lijstje is niet volledig en additionele maatregelen zijn nodig, afhankelijk van uw organisatie en de volwassenheid van informatiebeveiliging maar hopelijk zet het u aan het denken. Antivirus is uw laatste linie in defensie en zou niet uw enige mogen zijn. Als u de volgende keer een virusdetectie krijgt die succesvol is afgevangen, vraagt u dan bij zichzelf eens af: ”Hoe heeft deze detectie plaats kunnen vinden en hadden we deze eerder kunnen stoppen?” DearBytes helpt u met het beantwoorden van die vraag!