2. Voorkom virussen en malware

Malware is de verzamelnaam voor allerlei vormen van alle vormen van software met een opzettelijk kwaadaardige werking. In de basis is bescherming hiertegen het inzetten van technologie: gebruik een antimalware programma, installeer applicaties bewust en beperk de installatiemogelijkheden van software.

 

Duidelijke richtlijnen, maar traditionele antimalware-toepassingen zijn niet meer afdoende. Toevoeging van een ransomware-detectie en een EDR (endpoint detection and response) oplossing zijn wel het minste. Zo kun je zowel reactief als proactief een malware-besmetting tegengaan.

 

  • Antivirus scant op virussen en malware op bekende eigenschappen die we in het verleden al een keer hebben gezien.
  • Ransomware detectie scant minder op een specifiek proces of bestand, maar meer op wat de uitkomst daarvan is: dat alle data op slot wordt gezet bijvoorbeeld.
  • EDR scant naar gedrag over de langere termijn en inventariseert verdachte samenhangende activiteiten.

 

Processen die op de ene machine actief zijn en dan opeens de andere machine gaan aanvallen. Dat verdachte gedrag, daar zul je op moeten letten en veelal zul je zien dat antivirus oplossingen dit soort gedrag niet zien.

 

Een goede EDR-oplossing kijkt ook naar evasive (ontwijkende) manoeuvres. Dat zijn acties die uitgevoerd worden door het proces of door de aanvaller om vooral niet ontdekt te worden. Daarnaast zul je als EDR-oplossing verder moeten kijken dan dat ene endpoint en zul je de zogeheten Lateral Movement – de bewegingen tussen de verschillende devices – moeten opvallen. Om te voorkomen dat er geen single point of failure kan zijn met een EDR-oplossing, is het goed om een cloud/SaaS-gebaseerde EDR-oplossing te gebruiken. Verder moet een goede EDR-oplossing een forensisch spoor vastlegt, zodat terugdraaien of nalezen makkelijk te doen is.

Banner afbeelding