In het NRC van 29 juni wordt beschreven hoe de Rabobank zich in het verleden beschermd heeft en in de toekomst wil beschermen tegen DDOS aanvallen. In het artikel stelt NRC redacteur Mark Hijink dat het blokkeren van verkeer uit bepaalde landen mogelijk uitkomst had geboden tegen recente aanvallen. Een dergelijke reactie lijkt wellicht iets wat altijd alleen in samenwerking met de Internet Service Provider kan worden ingezet, maar dat is niet per sé het geval.
De nieuwste generatie firewalls ("Next Generation Firewalls") is namelijk in staat om op basis van het IP-adres van de aanvaller diens afkomst te bepalen. Zo kan eenvoudig en snel een regel worden ingesteld dat alle verbindingen vanuit een bepaald land of bepaalde regio zonder meer moeten worden geblokkeerd. De eenvoudigste modellen van firewalls die dit soort technologie bevatten, kosten slechts een fractie van de 15.000 euro die in het NRC artikel vermeld staat. Daarmee is weliswaar geen 100% oplossing tegen DDOS aanvallen in het algemeen getroffen, maar het is, zoals het artikel aangeeft, wel een echt paardenmiddel in geval van calamiteiten.
Voor een uitgebreidere discussie over een zo compleet mogelijke oplossing tegen DDOS aanvallen zijn wij graag beschikbaar!
donderdag 30 juni 2011
donderdag 23 juni 2011
Schrijvers van nep Anti-Virus verdienen 52 miljoen euro
De FBI heeft bekend gemaakt een bende opgerold te hebben die actief was in het schrijven van nep anti-virus software (ook wel FakeAV of Scareware genoemd). Dit soort software geeft een gebruiker de indruk geïnfecteerd te zijn en biedt direct de oplossing, ... tegen betaling uiteraard! Meer dan een miljoen computergebruikers wereldwijd zijn er helaas in getrapt.
Voorbeeld: Fake AV ziet er ontzettend herkenbaar uit.
Wij worden regelmatig gevraagd wat nu de intentie van een virusschrijver is. Vroeger was dat voornamelijk de "kick", maar tegenwoordig wordt er serieus geld verdiend aan het schrijven van malware. Denk aan het verhuren van een Botnet om spam te versturen of een ddos aanval uit te voeren en het verkopen van een "Malware Toolkit". Dat laatste is iets waar zelfs de EU zich druk over maakt. Het FakeAV-businessmodel is een trend van de laatste jaren, en blijkt erg succesvol. Het is zelfs aan te nemen dat er in veel gevallen uiteindelijk sprake is van een gevoelsmatige win-win situatie. Het slachtoffer betaalt en heeft daarna een "virus-vrije" PC.
Klassieke Anti-Virus software heeft de grootste moeite om de ontwikkeling van nieuwe FakeAV varianten bij te houden. Dat betekent dat gebruikers een redelijke kans hebben tegen een nieuwe variant aan te lopen als ze zicht te vrij op het internet begeven. De introductie van nieuwe varianten op het internet gaat in een moordend tempo, en vereist een extra, meer pro-actieve manier van beveiliging.
Proactief beveiliging van uw internetverkeer kan bijvoorbeeld op de volgende manieren:
1. URL Filtering; blokkeer schadelijke sites
De meest eenvoudige manier om het internetgebruik aan banden te leggen, is door te bepalen welk type websites voor u een zakelijk karakter hebben, of anders gezegd: gewenst zijn. Bijkomend voordeel is minder afleiding en dus verhoogde productiviteit alhoewel er al snel een discussie kan ontstaan over wat zakelijk en niet-zakelijk, bijvoorbeeld als het gaat om Social Media. Feit is dat het bijna noodzakelijk is om een bepaald niveau van URL filtering toe te passen. Het zal nooit een probleem zijn als websites met een schadelijke reputatie worden geblokkeerd. Een heel simpele "quick-win" en het hoeft niet duur te zijn.
Ons Advies: endpoint / gateway
2. Intrusion Prevention
De Nep Virusscanners worden vaak (automatisch) geïnstalleerd wanneer een gebruiker op een schadelijke website komt. Dat automatische zit hem in het misbruiken van een beveiligingslek in bijvoorbeeld Internet Explorer. Internet Explorer wordt in voorbeelden van beveiligingslekken vaak aangehaald, maar het is een feit dat Adobe (Flash Player, Acrobat Reader, etc.) en Java tegenwoordig steeds vaker worden aangevallen. Wanneer al die (internet-gerichte) software op elk moment volledig up-to-date is met de laatste beveiligingspatches, dan is de kans op besmetting vele malen kleiner. Echter: het is haast niet te doen om dat voor al die software onder controle te houden, om maar niet te spreken over de tijd en dus geld die je daarvoor uit zou moeten trekken.
Een oplossing voor dit probleem is Intrusion Prevention (IPS). Die technologie kent de lekken op het systeem en plaatst daar een virtueel vangnet voor. We spreken dan wel van "Virtual Patching": u patcht niet, maar bent toch veilig.
Wanneer FakeAV en soortgelijke programma's geen gebruik kan maken van dit soort lekken, dan zal de infectiekans bij toekomstige versie afnemen - of ze nu wel of niet als zodanig herkend worden door Anti-Virus.
Ons advies: endpoint / gateway.
3. User Awareness
En natuurlijk niet te onderschatten is om begrip te kweken bij gebruikers. Dit gaat echter hand in hand met technologie want de aanvallen zijn dusdanig dat gebruikersinteractie soms niet eens nodig is om geïnfecteerd te raken of dat zelfs de systeembeheerders erin zouden kunnen trappen.
Het is natuurlijk belangrijk dat gebruikers gewaarschuwd worden voor dit soort trucs. Laat hen zien welk merk Anti-Virus u gebruikt. Druk hen op het hart dat zij alleen van dat merk Anti-Virus serieuze meldingen zullen ontvangen en zeg dat ze nooit - maar dan ook nooit - zelfstandig in moeten gaan op verzoeken om te betalen voor software.
Extra Uitleg
Goede uitleg over "Scareware" is hier te vinden, inclusief een video. Weliswaar in het Engels.
Voorbeeld: Fake AV ziet er ontzettend herkenbaar uit.
Wij worden regelmatig gevraagd wat nu de intentie van een virusschrijver is. Vroeger was dat voornamelijk de "kick", maar tegenwoordig wordt er serieus geld verdiend aan het schrijven van malware. Denk aan het verhuren van een Botnet om spam te versturen of een ddos aanval uit te voeren en het verkopen van een "Malware Toolkit". Dat laatste is iets waar zelfs de EU zich druk over maakt. Het FakeAV-businessmodel is een trend van de laatste jaren, en blijkt erg succesvol. Het is zelfs aan te nemen dat er in veel gevallen uiteindelijk sprake is van een gevoelsmatige win-win situatie. Het slachtoffer betaalt en heeft daarna een "virus-vrije" PC.
Klassieke Anti-Virus software heeft de grootste moeite om de ontwikkeling van nieuwe FakeAV varianten bij te houden. Dat betekent dat gebruikers een redelijke kans hebben tegen een nieuwe variant aan te lopen als ze zicht te vrij op het internet begeven. De introductie van nieuwe varianten op het internet gaat in een moordend tempo, en vereist een extra, meer pro-actieve manier van beveiliging.
Proactief beveiliging van uw internetverkeer kan bijvoorbeeld op de volgende manieren:
1. URL Filtering; blokkeer schadelijke sites
De meest eenvoudige manier om het internetgebruik aan banden te leggen, is door te bepalen welk type websites voor u een zakelijk karakter hebben, of anders gezegd: gewenst zijn. Bijkomend voordeel is minder afleiding en dus verhoogde productiviteit alhoewel er al snel een discussie kan ontstaan over wat zakelijk en niet-zakelijk, bijvoorbeeld als het gaat om Social Media. Feit is dat het bijna noodzakelijk is om een bepaald niveau van URL filtering toe te passen. Het zal nooit een probleem zijn als websites met een schadelijke reputatie worden geblokkeerd. Een heel simpele "quick-win" en het hoeft niet duur te zijn.
Ons Advies: endpoint / gateway
2. Intrusion Prevention
De Nep Virusscanners worden vaak (automatisch) geïnstalleerd wanneer een gebruiker op een schadelijke website komt. Dat automatische zit hem in het misbruiken van een beveiligingslek in bijvoorbeeld Internet Explorer. Internet Explorer wordt in voorbeelden van beveiligingslekken vaak aangehaald, maar het is een feit dat Adobe (Flash Player, Acrobat Reader, etc.) en Java tegenwoordig steeds vaker worden aangevallen. Wanneer al die (internet-gerichte) software op elk moment volledig up-to-date is met de laatste beveiligingspatches, dan is de kans op besmetting vele malen kleiner. Echter: het is haast niet te doen om dat voor al die software onder controle te houden, om maar niet te spreken over de tijd en dus geld die je daarvoor uit zou moeten trekken.
Een oplossing voor dit probleem is Intrusion Prevention (IPS). Die technologie kent de lekken op het systeem en plaatst daar een virtueel vangnet voor. We spreken dan wel van "Virtual Patching": u patcht niet, maar bent toch veilig.
Wanneer FakeAV en soortgelijke programma's geen gebruik kan maken van dit soort lekken, dan zal de infectiekans bij toekomstige versie afnemen - of ze nu wel of niet als zodanig herkend worden door Anti-Virus.
Ons advies: endpoint / gateway.
3. User Awareness
En natuurlijk niet te onderschatten is om begrip te kweken bij gebruikers. Dit gaat echter hand in hand met technologie want de aanvallen zijn dusdanig dat gebruikersinteractie soms niet eens nodig is om geïnfecteerd te raken of dat zelfs de systeembeheerders erin zouden kunnen trappen.
Het is natuurlijk belangrijk dat gebruikers gewaarschuwd worden voor dit soort trucs. Laat hen zien welk merk Anti-Virus u gebruikt. Druk hen op het hart dat zij alleen van dat merk Anti-Virus serieuze meldingen zullen ontvangen en zeg dat ze nooit - maar dan ook nooit - zelfstandig in moeten gaan op verzoeken om te betalen voor software.
Extra Uitleg
Goede uitleg over "Scareware" is hier te vinden, inclusief een video. Weliswaar in het Engels.
woensdag 22 juni 2011
Cyberstorm III: Overheid niet voorbereid op hackers vanwege ontbreken coördinatie en daadkracht
Een interessant artikel in het AD vandaag over de status van beveiliging bij onze overheid. Blijkbaar is eindelijk eens vastgesteld dat een goed werkende IT beveiliging begint met coördinatie, en dat juist dat stuk ontbreekt bij de overheid. Hear hear!
Medusoft is inmiddels al weer een aardige tijd bezig met het structureel verkondigen van het Security Risk Management proces. Dat is een schematische weergave van hoe idealiter de IT Security zou moeten zijn georganiseerd. Is niet door ons bedacht, maar een algemeen door de industrie geaccepteerde weergave.
SRM begint met het bepalen van beleid, en dat is direct het punt waarop op grote schaal de fout in wordt gegaan. Het security beleid is er namelijk heel vaak niet, is niet up-to-date of is het eigendom van mensen op een laag niveau van de organisatie. Dat laatste sluit overigens aan op een meer algemeen probleem dat laatst nog eens benadrukt werd door Neelie Kroes: namelijk het ontbreken van een "CIO" bij veel organisaties. Iemand die op het allerhoogste niveau de verantwoordelijkheid heeft voor het coördineren van de ICT, en als onderdeel daarvan dus ook de beveiliging.
Stap 1 is dus het bepalen van beleid. Dat beleid mag geschreven worden door een specialist, maar het bestaan ervan moet bekend zijn op het hoogste niveau, en de inhoud ervan moet gedragen worden op datzelfde niveau. Dat biedt namelijk voor het eerst de mogelijkheid aan de IT afdeling om de beveiliging langs bepaalde voorgedefinieerde lijnen in te richten. Uitzonderingen op het beleid kunnen dan ook via het hoogste niveau verlopen: daar wordt dan de verantwoordelijkheid gedragen als iemand vind dat een bepaald systeem bijvoorbeeld geen Anti-Virus software hoeft te hebben. Nu is het vaak zo dat die anti-virus software wordt verwijderd zonder dat iemand verantwoordelijk is voor de potentiele risico's die dat met zich meebrengt. Slechte zaak.
SRM gaat na stap 1 nog een stuk verder, en daar mag je me naar vragen, maar begin maar eens met stap 1. Succes!
Medusoft is inmiddels al weer een aardige tijd bezig met het structureel verkondigen van het Security Risk Management proces. Dat is een schematische weergave van hoe idealiter de IT Security zou moeten zijn georganiseerd. Is niet door ons bedacht, maar een algemeen door de industrie geaccepteerde weergave.
SRM begint met het bepalen van beleid, en dat is direct het punt waarop op grote schaal de fout in wordt gegaan. Het security beleid is er namelijk heel vaak niet, is niet up-to-date of is het eigendom van mensen op een laag niveau van de organisatie. Dat laatste sluit overigens aan op een meer algemeen probleem dat laatst nog eens benadrukt werd door Neelie Kroes: namelijk het ontbreken van een "CIO" bij veel organisaties. Iemand die op het allerhoogste niveau de verantwoordelijkheid heeft voor het coördineren van de ICT, en als onderdeel daarvan dus ook de beveiliging.
Stap 1 is dus het bepalen van beleid. Dat beleid mag geschreven worden door een specialist, maar het bestaan ervan moet bekend zijn op het hoogste niveau, en de inhoud ervan moet gedragen worden op datzelfde niveau. Dat biedt namelijk voor het eerst de mogelijkheid aan de IT afdeling om de beveiliging langs bepaalde voorgedefinieerde lijnen in te richten. Uitzonderingen op het beleid kunnen dan ook via het hoogste niveau verlopen: daar wordt dan de verantwoordelijkheid gedragen als iemand vind dat een bepaald systeem bijvoorbeeld geen Anti-Virus software hoeft te hebben. Nu is het vaak zo dat die anti-virus software wordt verwijderd zonder dat iemand verantwoordelijk is voor de potentiele risico's die dat met zich meebrengt. Slechte zaak.
SRM gaat na stap 1 nog een stuk verder, en daar mag je me naar vragen, maar begin maar eens met stap 1. Succes!
maandag 20 juni 2011
Noodkreet @NL.gov, het is menens!!! #AntiSec komt u halen en u maakt geen schijn van kans...
Hackersgroep LulzSec (omg wat een exposure, GJ) heeft de oorlog verklaard aan overheden, banken en andere grote instanties. "Operation Anti-Security" #AntiSec is gelanceerd in de vorm van een oproep aan iedereen die wil om mee te doen aan een grootschalige en voortdurende poging zoveel mogelijk geheime informatie te verkrijgen. Anonymous doet alvast mee...
Het is een soort Wikileaks 2.0. Waar Julian Assange de informatie aangeleverd kreeg, gaat LulzSec het gewoon halen. En in tegenstelling tot hun eerdere acties niet gewoon-omdat-het-kan (voor de Lulz), maar echt met een ideologische inslag, zo lijkt het. Ik had eerlijk gezegd best een beetje sympathie voor deze beweging. Ze legden feilloos bloot hoe gevaarlijk het internet is, wat inderdaad nodig is omdat mensen het maar niet willen begrijpen. Met deze actie krijgt het wel een iets andere draai en verliest de club mijn sympathie. Ik ben er namelijk van overtuigd dat geheimen soms noodzakelijk zijn en een buitenstaander kan het noodzakelijke niet van het vermijdbare scheiden; althans het lijkt niet eens de bedoeling te zijn het te proberen. Niet van Julian Assange en dus ook niet van LulzSec of Anonymous.
Nu wil ik deze dreiging voor onze overheid eens afzetten tegen een ervaring die ik heel recent had bij 1 van onze ministeries (ik zal maar geen namen noemen om het nog een beetje spannend te houden). Daar stond de beheerder van hun desktop beveiliging op het punt van vertrekken en die had zichzelf afgevraagd wie dat eigenlijk van hem over moest nemen. Hij had zelf dat beheer min of meer er altijd een beetje bij gedaan, wat neerkwam op hooguit 1 controlemoment per week en dat is nog hoog ingeschat. De vraag of dat voldoende aandacht voor endpoint beveiliging is, moest nog beantwoord worden. Even voor de duidelijkheid mijn antwoord: neeneeNEEN! Vooral niet als je zoals bij dit ministerie je gebruikers compleet vrij op het internet laat: geen content-scanning in http, en ook geen url-filtering. De enige beveiliging = anti-virus, die tegenwoordig elke dag 75.000 nieuwe virussen moet leren kennen in de vorm van een update. 1 gemiste update in 2011 staat gelijk aan een half jaar gemiste updates 10 jaar geleden. En dat controleer je dus NIET 1x per 2 weken maar gewoon elke dag, 7 dagen per week, 365 dagen per jaar. Inderdaad ja.
Het controleren van je beveiligingstechnologie is zoals het bekijken van de beelden van een bewakingscamera. Als je niet zeker weet dat die camera het nog doet: wat is dan het nut? Een grove fout is dat men in de IT Security vaak calamiteiten denkt op te lossen door technologie aan te schaffen. Weer in vergelijk met die camera: als je mazzel hebt, wordt ie opgehangen...
Nee NL overheid, u kunt maar beter direct beginnen in actie te komen. Als ze bij de N zijn is het te laat.
Het is een soort Wikileaks 2.0. Waar Julian Assange de informatie aangeleverd kreeg, gaat LulzSec het gewoon halen. En in tegenstelling tot hun eerdere acties niet gewoon-omdat-het-kan (voor de Lulz), maar echt met een ideologische inslag, zo lijkt het. Ik had eerlijk gezegd best een beetje sympathie voor deze beweging. Ze legden feilloos bloot hoe gevaarlijk het internet is, wat inderdaad nodig is omdat mensen het maar niet willen begrijpen. Met deze actie krijgt het wel een iets andere draai en verliest de club mijn sympathie. Ik ben er namelijk van overtuigd dat geheimen soms noodzakelijk zijn en een buitenstaander kan het noodzakelijke niet van het vermijdbare scheiden; althans het lijkt niet eens de bedoeling te zijn het te proberen. Niet van Julian Assange en dus ook niet van LulzSec of Anonymous.
Nu wil ik deze dreiging voor onze overheid eens afzetten tegen een ervaring die ik heel recent had bij 1 van onze ministeries (ik zal maar geen namen noemen om het nog een beetje spannend te houden). Daar stond de beheerder van hun desktop beveiliging op het punt van vertrekken en die had zichzelf afgevraagd wie dat eigenlijk van hem over moest nemen. Hij had zelf dat beheer min of meer er altijd een beetje bij gedaan, wat neerkwam op hooguit 1 controlemoment per week en dat is nog hoog ingeschat. De vraag of dat voldoende aandacht voor endpoint beveiliging is, moest nog beantwoord worden. Even voor de duidelijkheid mijn antwoord: neeneeNEEN! Vooral niet als je zoals bij dit ministerie je gebruikers compleet vrij op het internet laat: geen content-scanning in http, en ook geen url-filtering. De enige beveiliging = anti-virus, die tegenwoordig elke dag 75.000 nieuwe virussen moet leren kennen in de vorm van een update. 1 gemiste update in 2011 staat gelijk aan een half jaar gemiste updates 10 jaar geleden. En dat controleer je dus NIET 1x per 2 weken maar gewoon elke dag, 7 dagen per week, 365 dagen per jaar. Inderdaad ja.
Het controleren van je beveiligingstechnologie is zoals het bekijken van de beelden van een bewakingscamera. Als je niet zeker weet dat die camera het nog doet: wat is dan het nut? Een grove fout is dat men in de IT Security vaak calamiteiten denkt op te lossen door technologie aan te schaffen. Weer in vergelijk met die camera: als je mazzel hebt, wordt ie opgehangen...
Nee NL overheid, u kunt maar beter direct beginnen in actie te komen. Als ze bij de N zijn is het te laat.
donderdag 16 juni 2011
LulzSec legt de ene na de andere website plat. Wat te doen?
Hackersgroep LulzSec heeft zich als doel gesteld om aan te tonen dat de beveiliging van websites vaak zwaar ondermaats is. Zij slagen er dan ook in om de één na de andere website plat te leggen. Het hoogtepunt was afgelopen nacht, toen ze de CIA hebben aangepakt.
Rijst de vraag: wat moeten we hier nu weer mee?
Welnu. De website is bereikbaar op 1 extern ip-adres. Er zijn tal van dienstverleners die in staat zijn om een gedegen Penetration Test (PenTest) uit te voeren op dat ip-adres. Zo'n PenTest resulteert in een rapport waaruit blijkt op welke vlakken het IP-adres, en dan met name de website, kwetsbaar is vanaf het internet. Die kwetsbaarheden worden door een partij als LulzSec gebruikt om hun trucje te doen. Wegnemen van de kwetsbaarheden is dus de sleutel, maar dan moet je wel weten op welke punten je nu feitelijk kwetsbaar bent, en die punten veranderen van dag tot dag. Om de gewenste informatie op dagelijkse basis middels een gemiddelde PenTest te verkrijgen, is nogal kostbaar.
Een dergelijke PenTest zou bijvoorbeeld jaarlijks kunnen worden uitgevoerd, waarbij tussentijds een geautomatiseerd systeem het ip-adres monitort. McAfee biedt een dergelijke geautomatiseerde scan op kwetsbaarheden aan in de vorm van SaaS Vulnerability Assessment. Kosten zijn rond de 415 euro per ip-adres per jaar (commerciële prijzen, gaan omlaag bij meerdere ip-adressen). Vandaag aanschaffen is morgen het eerste rapport.
Interesse in een PenTest of de McAfee service? Contact me!
Rijst de vraag: wat moeten we hier nu weer mee?
Welnu. De website is bereikbaar op 1 extern ip-adres. Er zijn tal van dienstverleners die in staat zijn om een gedegen Penetration Test (PenTest) uit te voeren op dat ip-adres. Zo'n PenTest resulteert in een rapport waaruit blijkt op welke vlakken het IP-adres, en dan met name de website, kwetsbaar is vanaf het internet. Die kwetsbaarheden worden door een partij als LulzSec gebruikt om hun trucje te doen. Wegnemen van de kwetsbaarheden is dus de sleutel, maar dan moet je wel weten op welke punten je nu feitelijk kwetsbaar bent, en die punten veranderen van dag tot dag. Om de gewenste informatie op dagelijkse basis middels een gemiddelde PenTest te verkrijgen, is nogal kostbaar.
Een dergelijke PenTest zou bijvoorbeeld jaarlijks kunnen worden uitgevoerd, waarbij tussentijds een geautomatiseerd systeem het ip-adres monitort. McAfee biedt een dergelijke geautomatiseerde scan op kwetsbaarheden aan in de vorm van SaaS Vulnerability Assessment. Kosten zijn rond de 415 euro per ip-adres per jaar (commerciële prijzen, gaan omlaag bij meerdere ip-adressen). Vandaag aanschaffen is morgen het eerste rapport.
Interesse in een PenTest of de McAfee service? Contact me!
iOS 5 & iCloud = Data Anarchy
Met de release van iOS 5 zal straks definitief het doek vallen voor het gemiddelde bedrijf als het gaat om databeveiliging. Complete anarchie, wanneer de data op zakelijk gebruikte privé iPhones op de servers van Apple zal worden opgeslagen. En om het allemaal nog spannender te maken, vertelt Apple lekker helemaal niks over hoe ze de beveiliging hebben geregeld totdat iedereen de upgrade al gemaakt heeft en de eerste hacks hebben plaatsgevonden. Jaja. De systeembeheerder raakt definitief hopeloos achterop en als er iets mis gaat dan is ie nog de Sjaak ook.
Noem me een doemdenker, maar op dit moment is zowat geen enkele organisatie goed in staat om om te gaan met de nieuwe hype-term "BYOD" (Bring Your Own Device). En "niet goed in staat" betekent natuurlijk: niks geregeld, nooit bij stil gestaan. Dus die prachtige ongeëvenaarde iPhone is lekker de mailbox en documenten van de manager aan het synchroniseren zonder dat men controleert of af kan dwingen dat de iPhone wel is beveiligd met een wachtwoord. Vervolgens kan diezelfde manager nog alle apps installeren op diezelfde iPhone die hij wilt ook. Komt een beetje overeen met iedereen Admin-rechten geven op de PC, zonder wachtwoord. Terug naar de middeleeuwen.
Neenee, we zijn nog niet klaar voor BYOD. En al helemaal niet voor iClouds, Dropboxen en Cloud Drives. Dit gaat fout. Of de mensen die het voor het zeggen hebben moeten HEEEEEEEEEEEEEEL snel het gebruik van die Own Devices gaan reguleren.
Onze oplossing? McAfee Enterprise Mobility Management (EMM).
Noem me een doemdenker, maar op dit moment is zowat geen enkele organisatie goed in staat om om te gaan met de nieuwe hype-term "BYOD" (Bring Your Own Device). En "niet goed in staat" betekent natuurlijk: niks geregeld, nooit bij stil gestaan. Dus die prachtige ongeëvenaarde iPhone is lekker de mailbox en documenten van de manager aan het synchroniseren zonder dat men controleert of af kan dwingen dat de iPhone wel is beveiligd met een wachtwoord. Vervolgens kan diezelfde manager nog alle apps installeren op diezelfde iPhone die hij wilt ook. Komt een beetje overeen met iedereen Admin-rechten geven op de PC, zonder wachtwoord. Terug naar de middeleeuwen.
Neenee, we zijn nog niet klaar voor BYOD. En al helemaal niet voor iClouds, Dropboxen en Cloud Drives. Dit gaat fout. Of de mensen die het voor het zeggen hebben moeten HEEEEEEEEEEEEEEL snel het gebruik van die Own Devices gaan reguleren.
Onze oplossing? McAfee Enterprise Mobility Management (EMM).
woensdag 15 juni 2011
McAfee opent prachtig democentrum in Schiphol-Rijk
Zo ik begreep was de plaatsing van dit centrum in ons landje 1 van de wensen van de nieuwe (Nederlandse) President EMEA, Gert-Jan Schenk. Goed werk!
(sessie bijwonen in het EBC? contact me :))
woensdag 1 juni 2011
Gevolgen Malware Q1 2011: Whitelisting, Mobile Security & Web Regulering
McAfee heeft het rapport uitgebracht over bedreigingen in het eerste kwartaal van 2011. Daaruit blijken een aantal opvallende zaken:
Gemiddeld 65.000 nieuwe malware samples per dag
De telkens terugkerende conclusie is dat Anti-Virus in de klassieke vorm, de strijd gaat verliezen. Het tempo waarin nieuwe virussen vandaag de dag uitkomen leidt tot: steeds grotere kans op non-detectie, virusdatabase groeit in omvang met gevolgen voor performance en distributiesnelheid, steeds grotere kans op false-positives wegens druk op ontwikkeling anti-virussen. HET antwoord op dit probleem: Application Whitelisting.
Groei van malware voor Android
Voor mobile devices worden steeds meer virussen geschreven, en mobile devices die op Android draaien, zijn een steeds populairder doelwit. De beveiliging op dit soort devices is doorgaans beperkt, en ook de bewustwording van gebruikers van Mobiles ligt achter op die van Windows PC's. Logische doelwit is, en langzamerhand begint de noodzaak van security op mobiles toch echt dringende vormen aan te nemen. Onze oplossing: Enterprise Mobility Management.
Toename Fake AV varianten
Ook Social Engineers ala Kevin Mittnick hebben tegenwoordig de automatisering uitgevonden. Resultaat: Fake AV. Dit soort malware kent een interessant verdienmodel en blijft succesvol. Inmiddels worden ook Macintosh gebruikers hiermee bestookt, en is dit fenomeen dus niet meer weg te denken. De verspreiding van Fake AV vindt voornamelijk plaats, net als veel malware natuurlijk, via het internet. Het beveiligingsniveau van alleen Anti-Virus op de Desktop tegen bedreigingen op het internet, is ontoereikend. Gebruik van internet moet dus worden gereguleerd, en de eerste stap is simpelweg blokkeren van websites met een schadelijke reputatie. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Groei Schadelijke Websites, daling SPAM
Het oprollen van grote botnets heeft geleid tot een forse neergang van de hoeveelheid Spam. Tegelijkertijd stijgt de hoeveelheid schadelijke content op het internet. Deze verschuiving is om nog een reden verklaarbaar. Waar e-mail vandaag de dag vaak goed beveiligd is en wel door 3 filters heen loopt voordat de ontvanger het te zien krijgt, is Webverkeer vaak nog ongelimiteerd toegestaan en dat weten de malwareschrijvers maar al te goed. De tijd dat dit zonder zorgen mogelijk was is echt wel voorbij. Iedereen trapt in de "scams" die tegenwoordig worden uitgehaald, of kan tegen drive-by downloads aanlopen die misbruik maken van zero-day attacks. Waar "spamberichten" vroeger altijd e-mails waren, zijn sites als Facebook, Twitter, LinkedIN etc. nu veel beter resulterende distributiekanalen. Dus nogmaals en deze keer rijmend: reguleer uw internetverkeer. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Het rapport is hier te downloaden:
rp-quarterly-threat-q1-2011.pdf
Gemiddeld 65.000 nieuwe malware samples per dag
De telkens terugkerende conclusie is dat Anti-Virus in de klassieke vorm, de strijd gaat verliezen. Het tempo waarin nieuwe virussen vandaag de dag uitkomen leidt tot: steeds grotere kans op non-detectie, virusdatabase groeit in omvang met gevolgen voor performance en distributiesnelheid, steeds grotere kans op false-positives wegens druk op ontwikkeling anti-virussen. HET antwoord op dit probleem: Application Whitelisting.
Groei van malware voor Android
Voor mobile devices worden steeds meer virussen geschreven, en mobile devices die op Android draaien, zijn een steeds populairder doelwit. De beveiliging op dit soort devices is doorgaans beperkt, en ook de bewustwording van gebruikers van Mobiles ligt achter op die van Windows PC's. Logische doelwit is, en langzamerhand begint de noodzaak van security op mobiles toch echt dringende vormen aan te nemen. Onze oplossing: Enterprise Mobility Management.
Toename Fake AV varianten
Ook Social Engineers ala Kevin Mittnick hebben tegenwoordig de automatisering uitgevonden. Resultaat: Fake AV. Dit soort malware kent een interessant verdienmodel en blijft succesvol. Inmiddels worden ook Macintosh gebruikers hiermee bestookt, en is dit fenomeen dus niet meer weg te denken. De verspreiding van Fake AV vindt voornamelijk plaats, net als veel malware natuurlijk, via het internet. Het beveiligingsniveau van alleen Anti-Virus op de Desktop tegen bedreigingen op het internet, is ontoereikend. Gebruik van internet moet dus worden gereguleerd, en de eerste stap is simpelweg blokkeren van websites met een schadelijke reputatie. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Groei Schadelijke Websites, daling SPAM
Het oprollen van grote botnets heeft geleid tot een forse neergang van de hoeveelheid Spam. Tegelijkertijd stijgt de hoeveelheid schadelijke content op het internet. Deze verschuiving is om nog een reden verklaarbaar. Waar e-mail vandaag de dag vaak goed beveiligd is en wel door 3 filters heen loopt voordat de ontvanger het te zien krijgt, is Webverkeer vaak nog ongelimiteerd toegestaan en dat weten de malwareschrijvers maar al te goed. De tijd dat dit zonder zorgen mogelijk was is echt wel voorbij. Iedereen trapt in de "scams" die tegenwoordig worden uitgehaald, of kan tegen drive-by downloads aanlopen die misbruik maken van zero-day attacks. Waar "spamberichten" vroeger altijd e-mails waren, zijn sites als Facebook, Twitter, LinkedIN etc. nu veel beter resulterende distributiekanalen. Dus nogmaals en deze keer rijmend: reguleer uw internetverkeer. Aan de gateway middels een Web Gateway. Op de endpoint middels SiteAdvisor.
Het rapport is hier te downloaden:
rp-quarterly-threat-q1-2011.pdf
Abonneren op:
Posts (Atom)