Endpoint protection: anti-malware gaat verder dan antivirus

In mijn vorige blogs ben ik ingegaan op NextGen firewalls en de database firewall. De meeste NextGen firewall-leveranciers bieden ook beschermingsproducten aan voor endpoints, waaronder anti-malware. Hoe werken deze producten en zijn ze een goed alternatief voor de traditionele antivirus oplossingen? Dit bespreek ik in mijn blog.

Antivirus vs. Anti-malware

Antivirus producten bestaan al jaren. Ze bieden bescherming op het endpoint, zoals pc, laptop en mobiel, door alle lees- en/of schrijfbewerkingen van bestanden te controleren. Daarnaast voeren ze periodiek een scan uit op alle bestanden die zich op alle lokale schijven bevinden. De bestanden worden gecontroleerd door ze te vergelijken met een database met signatures van bekende virussen, trojans en worms. Deze database bevindt zich op het endpoint en moet regelmatig worden geüpdatet. Antivirus beschermt vooral tegen de klassieke, al langer bestaande, bedreigingen. Anti-malware daarentegen richt zich juist meer op de nieuwere zaken zoals zero-day exploits en de meer geavanceerde bedreigingen zoals ransomware. De dynamiek van anti-malware oplossingen is dan ook veel hoger dan bij antivirus en zij opereren veel meer in de frontlinie.

Anti-malware staat in verbinding met clouddiensten

Kenmerkend van anti-malware producten is dat zij vrijwel altijd online in verbinding staan met een ondersteunende clouddienst vanuit de leverancier. Dit kan een rechtstreekse verbinding zijn vanuit het endpoint of via een tussenliggende hardware appliance of firewall, die zich binnen het bedrijfsnetwerk bevindt en als proxy fungeert. Op deze manier ontstaat er een grid-netwerk waarin aanvullende en up-to-date intelligentie geboden wordt. Via geavanceerde-, statistische- en analysetools worden per dag miljoenen malware samples bekeken. Ook wordt er 24/7 een actueel en real-time beeld gevormd van de heersende bedreigingen. Updates van deze informatie worden continu gepushed richting de anti-malware clients.

Snel alarm bij besmette endpoint

De anti-malware oplossing analyseert alle nieuwe bestanden die op het endpoint terecht komen. Denk aan mailings, websites, downloads of USB-devices. Bestanden worden op basis van een signature hash vergeleken met een lokale database van reeds bekende malware. Onbekende bestanden worden ter analyse aangeboden bij het grid-netwerk. Dit gebeurt rechtstreeks bij het netwerk of op de lokaal geïnstalleerde appliance die met dit netwerk in contact staat.

De lokaal geïnstalleerde appliance zorgt ervoor dat er geen vertrouwelijke informatie buiten het bedrijf terecht komt. Het bestand wordt geanalyseerd en uitgevoerd binnen een afgeschermde omgeving, ook wel sandboxing genoemd. Wanneer een bestand is geïnfecteerd met malware, dan is dit uiteraard te laat voor het reeds besmette endpoint. In zo’n situatie kan er nog wel een alarm worden gegenereerd. Zo kan het endpoint snel van het netwerk gehaald worden of in quarantaine worden gezet. De nieuw ontdekte malware wordt direct toegevoegd aan de intelligentie van het grid-netwerk en verspreid naar alle deelnemende clients.

Deze beveiliging werkt ook met terugwerkende kracht. Als een bestand in eerste instantie geen kwaadaardig gedrag vertoont, maar dit later alsnog blijkt te doen, dan kan er alsnog een alarm gegenereerd worden. Doordat bekend is waar het bestand vandaan komt en op welke endpoints het zich bevindt, kunnen er alsnog maatregelen worden genomen.

De snelheid waarmee anti-malware producten reageren vormen het grote pluspunt in vergelijking met antivirus oplossingen. Anti-malware acteert proactief en antivirus is altijd reactief. Aan de andere kant voeren anti-malware producten meestal geen periodieke scan uit op alle lokale schijven en bestanden. Tevens zijn anti-malware producten vaak duurder dan de traditionele antivirus oplossingen. Indien je echter toch van plan bent om de antivirus oplossing te vervangen en je de kosten van een security breach via malware in ogenschouw neemt, dan is de business case voor een anti-malware oplossing waarschijnlijk snel gemaakt.