Managed hosting door True

Discussie

‘Antivirus is nutteloos geworden’

 

Antivirus is ineffectief tegen moderne dreigingen. Whitelisting moet security overnemen. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.

De notie dat antivirus dood is, is an sich niet nieuw. Alleen wordt het heengaan van het oude securitymiddel nu niet gepredikt door een excentrieke figuur als John McAfee. Nee, in plaats van een securitypionier die al enkele jaren niet meer in de industrie zit, komt de kritiek op antivirus nu van een expert die met zijn laarzen in de modder staat. Senior security engineer Darren Bilby van Google stelt dat traditionele antivirus grotendeels nutteloos is.

'Antivirus doet wel een paar nuttige dingen, maar het is meer als een kanarie in de kolenmijn. We staan allemaal bij een dode kanarie en zeggen ‘Godzijdank dat de kanarie al het giftige gas heeft ingeademd’.' Hij bestempelt veel bestaande securitytools als ‘magie’ die ineffectief is. Toch installeren it’ers deze nutteloze bescherming omdat ze door compliance-regels daartoe gedwongen worden. Bilby roept op om hiermee te stoppen: 'Alsjeblieft geen magie meer. We moeten stoppen met investeren in die dingen waarvan we al hebben aangetoond dat ze niet werken.' Wat volgens hem wél werkt, is strak whitelisten van toegestane, veilige applicaties. Wat vind jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5897678). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Het is zorgelijk dat commerciële bedrijven inmiddels hofleverancier zijn geworden aan niet alleen dictaturen maar ook de westerse overheden van software die op of over het randje van de wet gaat en zeer stevige kritiek krijgt van digitale burgerrechten bewegingen.
Met whitelisten ga je ook dat probleem niet echt oplossen.

Leuk bedacht dat Whitelisten, maar het probleem met de grootste bedreigingen (oa ransomware) zit in het feit dat deze reguliere processen (mis/ge-)bruiken voor niet-legitieme doelen. Ik betwijfel of je dat soort problemen tackelt met whitelisten.

Overigens ben ik het wel eens met het feit dat traditionele antivirus achterhaald is.

Laatst kwam ik iemand tegen die niet aan antivirus deed omdat hij nog nooit een virus had gehad.

Zulke mensen maken mij heel bang. Ik weet niet precies hoe effectief anti-virus is, maar whitelisting... als iemand op de whitelist nu slachtoffer wordt van een hack... wie wijst mij daar dan op?

Er is niet 1 oplossing voor secure werken, dat is een oversimplificatie en een gevaarlijke.

Wat nog het beste resultaat levert is mensen te leren wat echt gevaarlijk is en ze slechte gewoontes af te leren.
De mens is de zwakste schakel, het is verbazingwekkend hoe goed een instruktie van 2 a 3 uur aankomt en hoe zoiets aangenomen wordt, de meeste ontbreekt het aan een paar simpele gedragskodes op gebied van IT veiligheid.

Whitelisting is een mogelijkheid, maar werkt niet zonder een paar "eenvoudige" technische maatregelen. De belangrijkste hiervan is het intrinsiek veilig maken de communicatie door een aanpassing/uitbreiding in het OSI 7layer model. Door toevoeging van beveiliging in 2 lagen, bv laag 2 en/of 3 en 5 en/of 6. Dit heeft weliswaar consequenties voor de huidige communicatie software maar die zijn aanzienlijk minder dan de bedreigingen van allerlei mallware.

De kosten kunnen worden gedragen door de verzekeraars van de schade en/of door alle andere belanghebbenden.

De mallware die gebruik maakt van de "onoplettendheid/onwetendheid" van de gebruiker kan daardoor ook eenduidiger en dus eenvoudiger worden bestreden met de vraag of deze wil zenden en/of ontvangen terwijl dat niet de bedoeling is.

Helaas/gelukkig maakt dit ook een einde aan nog wat verdienmodellen van bedrijven die nu meevaren op de "gebrekkige beveiliging" van communicatiesoftware en internet. Dat is te overkomen met whitelisting van die bedrijven/organisaties. Techniek kun je uiteindelijk geen individuele morele keuzes laten maken...

De huidige bedreigingen komen niet meer via virussen, die zonder menselijke tussenkomst op je computer komen, maar via andere software (trojans) of phishing, dus door menselijke fouten.

Er is geen enkele reden om je moderne (en natuurlijk geheel up-to-date) OS te verzwakken door een virusscanner te installeren. Deze beschermen voornamelijk tegen bedreigingen uit de 20e eeuw, terwijl we nu alweer wat jaartjes in de 21e eeuw leven.

Beveiliging in de 21e eeuw bestaat uit het gebruiken van een bijgewerkt OS, bijgewerkte software, geen Java op de client, geen Flash, geen Silverlight, blacklisting, whitelisting, SSL/TSL, VPN, ..., maar vooral: nadenken!

Gebruikers moeten nadenken.
Denk na voordat je ergens op klikt.
Denk na voordat je ergens je mailadres achterlaat.
Denk na voordat je ergens inlogt (Ziet de pagina er anders uit? Niet klakkeloos toch inloggen, denk na, controleer de URL, en pas als je zeker bent dat het de site is die je denkt dat het is, kun je eventueel inloggen, en niet eerder.)
Denk na voordat je voorwaarden accepteert.
Denk na voordat je iets vanuit een pop up installeert.
Denk na als je een mail krijgt dat je bankpas verlopen / geblokkeerd / ... is.
Denk na als je een mail krijgt met een tegoedbon van 250 euro.
Denk na voordat je ergens toestemming voor geeft.
Denk na als ...

Vroeger, in het virus-tijdperk, was het heel simpel: je installeerde een virusscanner, en je hoefde nergens op te letten, dat deed de virusscanner wel voor jou.

Nu, in het post-virus-tijdperk, is het niet meer zo simpel. De aanval is niet meer gericht op de computer, maar op degene die de computer bedient. Risicoloos gedachteloos op het internet rondklikken is er niet meer bij, je moet continu alert zijn. Antivirussoftware geeft je een onterecht gevoel van veiligheid.

Conclusie: vertrouw niet op een stukje nutteloze software, maar DENK NA!

Whitelisten van toegestane applicaties is een toverstokjes-maatregel. De mail-client wordt gewhitelist (want we moeten toch kunnen mailen), de rekenvel-applicatie met macro-mogelijkheid wordt gewhitelist (want de boekhouder heeft de boekhouding nou eenmaal in zo'n applicatie met macro's).

Mooi. Nu ontvangt iemand een mail met een rekenvel en een macro die zou worden gekenmerkt als virus. Geen enkele virusscanner in place en drie keer raden wat er gebeurt.

Virusscanners hebben hun plaats en hun functie. Er zijn tegenwoordig dingen die niet met virusscanners worden gevangen (en dat wordt geloof ik niet ontkend, maar zeker niet benadrukt), en dat zal zo blijven. Zoals iemand anders al schreef is de mens (of liever gezegd: het gedrag van de onwetende of onkundige) nu de belangrijkste veroorzaker van problemen.

Whitelisting alleen is niet afdoende. Whitelisting gebeurt ook al veel door websites als vertrouwde websites aan te merken, echter je hebt (vind ik) toch nog een antiviruspakket nodig om ook tegen besmette email en websites te beschermen. Daarnaast, wie gaat jou vertellen dat de vertrouwde website van vandaag morgen niet gehacked is?

Anti-virus werkt wel degelijk. Alleen is het niet altijd voldoende tegen de huidige threats.
Het whitelisten van toegestane applicaties is ook al een oud idee. Het blijkt niet beheersbaar en geeft teveel werklast.
Advanced Endpoint Protection oplossingen (zoals Traps van Palo Alto networks), zijn een goede stap in de richting. Je voorkomt hiermee niet alle besmettingen, maar de gevolgen van een grote deel van de moderne threats (o.a. ransomware) worden gemitigeerd.

Ik geloof in de samenwerking van een keten aan producten, van firewall (perimeter) tot End Point Protection en alles wat daar tussen zit. Deze producten wisselen dan onderling informatie uit, die ook wordt gedeeld met een centraal punt (in de cloud, zo u wilt) en vanaf daar wordt verspreidt naar de rest van de werekd. Na patient Zero is de threat geen threat meer.

Het hele concept van een chronisch lek besturingssysteem proberen op te lappen met wat "slechtheidsdetectie" heeft nooit echt gewerkt. Dus hetzelfde doen maar omgekeerd... gaat 'm ook niet worden.

Levert wel meer rompslomp op en is in feite een mooi stukje landjepik van grootbedrijven die de witte lijsten beheren.

Dit is dus gewoon weer een politieke zet, net zoals "secure boot" ook verkocht wordt als veiligheidsmaatregel maar in feite een machtsoverdracht is van computereigenaar naar... een zekere grote softwarefabrikant.

Hoe het wel op te lossen? Wat dacht je van besturingssystemen en applicatiesoftware die niet voortdurend de broek laten zakken? En dat kan best. Je moet het alleen wel willen.

@Frank
Ook ik geloof in een keten van beveiligingsproducten. Kijk naar de (niet complete) opsomming die ik eerder al gaf. Antivirus (of beter: anti-malware) kan daar een klein onderdeel van zijn, bij voorkeur op centraal niveau, de mailserver.

Maar, je zegt het zelf ook al, het volstaat niet tegen de huidige bedreigingen. En dat maakt antivirus software gevaarlijk, want veel mensen, waaronder alle digibeten, wanen zichzelf veilig omdat ze een antivirus pakket gebruiken.

Om terug te gaan naar de discussie: "antivirus is nutteloos geworden" klopt helemaal, maar verschillende vormen van beveiliging in de hele keten is dat zeker niet! Zie bijvoorbeeld de lijst die ik eerder noemde, en de punten die door anderen genoemd zijn.

Virusscanners nutteloos noemen is hetzelfde als; "Laten we stoppen met Polio vaccinatie, want het is nutteloos geworden"

Als het nutteloos is en men denkt dat je dus wel zonder kan, dan komen de virussen gewoon weer terug. Net als spamfilters. De spam business is verplaatst naar phishing, maar als we nu spamfilters nutteloos vinden komt de spam vanzelf weer terug.

@Henri Koppen
Losse virusscanners, op individuele pc's, zijn nutteloos. Echter, computerbeveiliging is zeer nuttig! Maar daarvoor heb je geen McAfee of Norton of Kaspersky nodig.

DOS, alle Windows versies voor Windows 7, Mac OS 9 en ouder, zijn allemaal zo lek als een mandje, die kunnen niet veilig werken zonder antivirus. Moderne OS-en bieden uit zichzelf al bescherming waarvoor je vroeger antivirus software voor nodig had. Windows 10 en macOS Sierra kunnen prima veilig het internet op zonder Kaspersky en consorten. Sterker, ik vertrouw Microsoft en Apple meer dan Kaspersky!

Spam- en phishing filters zijn zeer nuttig (vele malen nuttiger dan virusscanners). Deze moeten helpen de grootste bedreiging voor de veiligheid van de computer, de persoon die de muis vasthoudt, voor domme acties te behoeden. Echter, deze filters zijn niet feilloos, dus moeten gebruikers altijd blijven nadenken.

Voor de liefhebbers van cyber criminaliteit is de uitzending van 'Opgelicht' van gisterenavond (13 december) een aanrader. Vanochtend stond er een stuk in de krant over het hacken van de Democratische partij in Amerika, hing ook van knulligheid aan elkaar. Pracht apparaat die computer maar of het een zegen is betwijfel ik inmiddels sterk. Daar helpt geen virusscanner tegen.

Ha Computable! De namen verschijnen weer bij de reacties. Mooi werk.

Niemand in voor een gedegen oplossing? We gaan dus nog even door met symptoombestrijding? Jammer...maar gezien het relatief grote aantal reacties toch een dingetje wat we hier bij de kop hebben...

@Dick van Elk
We zitten al voor een groot deel op een gedegen technische oplossing. Antivirus is tegenwoordig nutteloos, omdat de OS-en zoveel veiliger zijn geworden.

Nu moeten we nog een oplossing vinden voor de PEBKAC bedreigingen.
( https://en.wikipedia.org/wiki/User_error )

Tot die tijd moet je als internetter je gezonde boerenverstand aan laten staan!

Wat had je zelf als structurele gedegen oplossing bedacht, Dick?

@Frank

Verbeteringen aanbrengen in het OSI model geeft 3 mogelijkheden:
1. Blokkering van alle whitelisting is eenvoudig te realiseren
2. Een waarschuwing aan de gebruiker wanneer tòch - ongewenste - communicatie plaats vindt
3. Indien consequent doorgevoerd transparantie in de het adres van de intruder
Structurele oplossing die ook in de toekomst blijft werken. Lijkt me een heel eind in de goede richting.

@Frank

Verbeteringen aanbrengen in het OSI model geeft 3 mogelijkheden:
1. Blokkering van alle whitelisting is eenvoudig te realiseren
2. Een waarschuwing aan de gebruiker wanneer tòch - ongewenste - communicatie plaats vindt
3. Indien consequent doorgevoerd transparantie in de het adres van de intruder
Structurele oplossing die ook in de toekomst blijft werken. Lijkt me een heel eind in de goede richting.

Ik denk dat het voor veel gebruikers een kwestie van mindset is. Probeer eens een parallel te trekken met je gewone analoge wereld. Je loopt toch ook niet op straat tegen iedereen te zeggen dat je op vakantie gaat; waarom doe je het dan op Facebook wel ?
Je kinderen leer je als eerste om niets aan te nemen van vreemden; waarom doen we het dan vrijwel altijd wel als we achter de pc zitten?
Dat lastige password elke keer ingeven?? Je vraagt je bank toch ook niet om de pincode van je pas af te halen.
Ik ben het eens met de stelling dat de traditionele antivirus niet meer voldoet. We moeten anders leren denken is mijn stellige overtuiging. En heel belangrijk .. onze oren en ogen openhouden welke bedreigingen er op de loer leggen. Hier behoef je echt geen expert voor te zijn.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×