Wederom voor de presentatie van morgen, heb ik een onderzoek gedaan naar bronnen van virusdetecties bij onze klanten. Uit de organisaties waar wij het beheer voor McAfee anti-virus software voor doen, heb ik een selectie gemaakt en daar eens door de hele lijst van detecties in het afgelopen jaar heen geploegd.
Management Summary: Removable Storage is de belangrijkste uiteindelijk bron van detecties. Wanneer dat teruggeleid zou worden naar de oorspronkelijk infectiebron, dan is echter alles natuurlijk inmiddels zo goed als zeker afkomstig van het Internet. Op kantoor en daarbuiten moet dus goed worden nagedacht over de beveiliging van internetgebruik. Tevens moet worden nagedacht hoe systemen en removable storage die eerst binnen het netwerk worden gebruikt en dan weer erbuiten, continu worden gemonitoord of het gebruik ervan wordt gereguleerd.
De reden om dit inzichtelijk te maken, is dat het evident wordt voor organisaties om in te zien dat Anti-Virus Software op de Endpoint veel te weinig zekerheid geeft. Dat het daarom nodig is om de plekken waar AV op de Endpoint de enige laag van verdediging is, in kaart te hebben en waar nodig extra te beveiligen.
In totaal hebben in 1 jaar tijd op 18.750 systemen in totaal 3499 unieke detecties voorgedaan. Een unieke detectie is 1 benoemd virus op 1 systeem vanaf 1 lokatie. Meervoudige detecties heb ik dus uitgefilterd.
De volgende bronnen van detectie heb ik onderscheiden:
1. Internet: Detectie in de directories Temp. Internet Files, Downloads of Java cache
2. Remote: Detectie op E:\ t/m Z:\ (dus cd-rom, usb of mapped network)
3. SourceIP: Detectie op C:\ of D:\, rechtstreeks weggeschreven naar dit systeem, vanaf een ander systeem
4. Lokaal: Detectie op C:\ of D:\ schijf, maar ZONDER Source IP
Om commentaar voor te zijn: ik weet heel goed dat deze metingen dus zeker niet waterdicht zijn, maar ze zijn wel consequent toegepast en geven m.i. een redelijk beeld van de verdeling in detecties. De verhoudingen zijn als volgt:
Internet: 9%
De meest eenvoudige manier van verspreiden van Malware is het internet. Waarschijnlijk vinden detecties in de andere categorieën in eerste instantie ook hun oorsprong op internet.
Oplossingen: Filteren van internet is geen keuze meer, maar een absolute noodzaak. Blokkeer toegang tot websites die gewoon bekend zijn met een slechte reputatie. Daar val je echt niemand onnodig mee lastig en levert direct een verhoogd beveiligingsniveau. Daarnaast kan je ook aan de gateway de content van webverkeer scannen zodat je maar 1 device up-to-date hoeft te houden met AV definities voor dat basis niveau van veiligheid. Out-of-date AV op de endpoints is natuurlijk zeer gevaarlijk, maar tegelijkertijd bijna niet voor 100% te voorkomen (ok, met NAC wel). Tenslotte is ook een vervanging van de firewall een quick win. De oude firewalls stonden poort 80 toe omdat het http was. Daar kan je al voldoende discussie over hebben, los van de ontwikkelingen van de laatste tijd waarbij op het internet steeds meer actieve componenten draaien met alle risico van dien. Next Generation Firewalls kunnen bijv Facebook toestaan maar de games/applicaties daarbinnen blokkeren.
Remote: 20%
De meting in dit geval is op basis van driveletter. Alle detecties rechtstreeks op E: t/m Z:, tellen mee. Je zou zeggen dat dit dan removable storage EN mapped network drives kunnen zijn, maar McAfee scant (by default) niet op mapped network drives dus het is toch echt grotendeels removable storage.
Oplossing: Reguleer het gebruik van removable storage middels een stuk port controle software. Laat bijvoorbeeld alleen USB sticks toe die je zakelijk ondersteunt en of een embedded virusscanning engine bevatten. Zet On-Read scanning AAN in je virusscanner!!! Voor detecties die toch plaatsvinden op mapped network drives: ten eerste is dit onhandig want heel vertragend dat je over het netwerk aan het scannen bent. Ten tweede zou je goed moeten kijken of je storage devices zelf ook on-access virusscanning toepassen. McAfee heeft bijvoorbeeld al jaren een perfecte oplossing om systemen als NetApp van virusscanning te voorzien: VirusScan for Storage. Echt een noodzaak zoiets: non-windows storage systemen zijn 1 van de grootste verspreiders van file-infectors zoals het vreselijke Sality virus.
SourceIP: 16%
Dit betekent feitelijk dat een geinfecteerd systeem in het netwerk, op afstand jouw systeem probeert te infecteren. Dat kan een worm zijn, een file-infector, of zelfs een doelbewuste hackpoging.
Oplossing: wormen die misbruik maken van beveiligingslekken kunnen op netwerkniveau geblokkeerd worden door middel van IPS. IPS kan host-based worden ingezet op network-based. Het laatste sluit aan bij een netwerk-segmentatie strategie, en dat juichen wij ten zeerste: Scheid je servers van je desktops (fysiek dan wel middels VLANs) en plaats een IPS tussen je netwerksegmenten. File-Infectors hebben alleen kans van slagen als met de rechten van de aangemelde user, het bestand kan worden weggeschreven naar remote systemen. Voorkom dit in rechtenniveaus dus zoveel mogelijk! Netwerkbeheerders: werk niet met een account dat domain admin is totdat je die functionaliteit echt nodig hebt. Dus een account jantje voor normale werkzaamheden en adm_jantje als je iets in het domein moet doen. Voor doelbewuste hackpogingen EN om wormen te blokkeren is belangrijk dat je weet wat er op je netwerk voorkomt. Als een systeem ingeplugd wordt dat je niet herkend, zou je dat liefst ZSM willen weten. Dat kan eenvoudig middels Rogue System Detection maar dat is dan alleen alarmering. Wil je ook systemen actief van je netwerk afgooien, dan heb je Network Access Control (NAC) nodig.
Lokaal: 55%
Alle overige detecties vinden lokaal hun oorsprong. Daar zitten in de lijst met detecties nog gewoon locaties tussen van minder voor de hand liggende internet-applicaties, zoals internet boekhouden. Maar goed, ik heb ergens de grens getrokken. Lokale detecties zijn het gevolg van een applicatie die iets probeert te openen (maar dan niet vanaf E: t/m Z: of vanaf het internet), OF, en dat is hier veel vaker het geval, van een reeds aanwezige infectie. Rootkit infecties verbergen zich voor het OS en kunnen dus aanwezig zijn zonder dat de AV software het weet. Als die rootkit vervolgens iets lokaal probeert uit te voeren (extra infectie van bijv een keylogger), dan kan dus alsnog worden herkent.
Oplossingen: Een feitelijke infectie kan nog altijd het best worden opgelost middels herinstallatie van een systeem. Zorg er dus voor, dat je goede re-image mogelijkheden voorhanden hebt in geval van calamiteiten.
Geen opmerkingen:
Een reactie posten