Als samen informatie delen en bedreigingen herkennen de enige oplossing is

Malware plant zich in rap tempo voort en past zich vliegensvlug aan. Hoewel de onderzoeksresultaten onderling nogal verschillen, staat vast dat we nu worden geconfronteerd met een vloedgolf aan ‘slangachtige’ bedreigingen. Ze kronkelen zich langs het detectiesysteem en bereiken ongemerkt het hart van je IT-infrastructuur. Of ze persen simpelweg slachtoffers af om toegang tot de door hen begeerde data af te dwingen.

New-zeroday-threats-have-been-detected-and-patched-_459_40123132_0_14097467_300-300x200

Je kunt (on)gerust stellen dat dit pas het begin is.

Er zijn twee oplossingen om dergelijke bedreigingen het hoofd te bieden. Óf je gelooft in de kerstman en vertrouwt op die ene ‘silver bullet’ – de voor honderd procent gegarandeerde standalone-oplossing – óf je vertrouwt op het bundelen van krachten en ziet meer heil in een mondiale benadering van het probleem.

Wanneer je gelooft in technologische magie of wonderen, hoef je niet verder te lezen. Dan heb je de juiste remedie gevonden en wensen wij je verder veel geluk.

Aan de andere kant kan een korte mijmering helpen het grotere geheel van het probleem volledig te begrijpen.

Om te beginnen is het belangrijk te bedenken dat malware-aanvallen in vier fasen verlopen:

  • blootstelling, door de vectoren die malware helpen zijn doel te bereiken;
  • infectie, die kan worden gezien als de ‘landing’ van de aanvalscode in het systeem;
  • executie, of de concrete uitvoering van het schadelijke script op de besmette host;
  • clean-up, noodzakelijk om de sporen van de eerste drie fasen op te ruimen.

Dit is het vertrekpunt van een betrouwbare analyse, omdat iedere fase nu eenmaal sporen nalaat. Dat geldt voor een wereldwijde spamaanval, een bekende virusnaam of een URL om mee te linken; of juist subtiel, zoals heel specifiek gedrag op een geïnfecteerd systeem, gecamoufleerde netwerkverbindingen of stealth-injecties in legitieme programma’s. In alle gevallen zijn er bewijzen van kwaadaardige activiteiten – de perfecte misdaad bestaat niet in IT. Internetcriminelen laten sporen na. Sommige aanvallen blijven zich herhalen, andere hebben familie, versie of variant met elkaar gemeen. Daarnaast zijn er die vluchtig zijn en snel verdwijnen, of die juist blijven. Hoe dan ook, er is altijd een zwakste schakel in de infectieketen en op die plek moet je toeslaan.

Daarom is de enige methode waarmee je de strijd wint – en de bedreiging vóór de poort naar je infrastructuur tegenhoudt – het verzamelen, analyseren en vergelijken van stukjes code. Op die manier vind je de zwakke plek van de malware. En die wórdt gevonden. Er liggen miljoenen ‘sondes’ in het digitale luchtruim op de loer om malware, die de wereld wordt ingestuurd om de massa te infecteren, te betrappen. En specifieke analyse-tools liggen in corporate netwerken in een hinderlaag om doelgerichte aanvallen op te sporen. Uiteindelijk wordt de malware herkend en zijn zwakte onthuld.

Het voorgaande maakt exact duidelijk waarom het zinvol is informatie wereldwijd met elkaar te delen.

Alles wat van belang is, moet worden gedeeld tussen de onderdelen van de totale IT-infrastructuur. En die moeten automatisch met elkaar communiceren. Elke indicatie van een nieuwe bedreiging moet worden verspreid over het netwerk naar elk systeem dat ten aanzien van een infectie kan ontdekken, waarschuwen, blokkeren en herstellen. Geen enkele nul zou moeten zijn geïsoleerd van de rest van de wereld, in het slechtste geval nog wel.

Er is één voorwaarde zowel noodzakelijk als afdoende: een gemeenschappelijke taal.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.