Antivirus werkt voor geen meter meer

Het is waar: het tijdperk van AV had al achter ons moeten liggen. Met blacklisten loop je constant achter de feiten aan. Vroeger leidde whitelisten tot last voor eindgebruikers, maar in dit cloudtijdperk ligt dat anders.

Een beveiligingsontwerper van Google heeft op een hackerscongres verteld dat traditionele antivirussoftware nutteloos is en dat we weer naar methodes als whitelisting van applicaties moeten kijken. Op Kiwicon X vertelde Darren Bilby dat IT’ers vaak gedwongen worden ‘magische’ ineffectieve tools te installeren om aan compliance-regels te voldoen, wat ten koste gaat van echte beveiliging.

Blacklisten en heuristiek onvoldoende

“Laten we alsjeblieft ophouden met magie”, zei hij, volgens The Register. “We moeten niet meer investeren in dingen waarvan we weten dat het niet werkt. Antivirussoftware doet een paar nuttige dingen, maar het is in de praktijk een kanarie in een kolenmijn. Nee, het is zelfs erger. Het is alsof we om een dode kanarie heen gaan staan en zeggen: ‘Godzijdank heeft het alle giftige gassen ingeademd.'”

De blacklisttechnologie van AV, leveranciers noemen het definities, is in feite een catalogus aan bekende virussen die worden vergeleken met onbekende code die de software tegenkomt. Een inherent probleem van die methodologie is dat je niet herkent wat je niet eerder bent tegengekomen. Vandaar dat er heuristische methodes zijn om te kijken wat verdachte code doet en zijn er technieken als het isoleren van code en het verwittigen van analisten bij verdacht gedrag. Op deze manier wordt malafide software opgemerkt.

Andere technieken

Bilby wil dat we meer kijken naar tools als hardwaresleutels, whitelisten en dynamische toegangscontroles, waar Google onderzoek naar doet in zijn Beyond Corp-project. Zoals je weet is whitelisten het tegenovergestelde van hoe AV-applicaties werken: alleen vooraf goedkeurde en op een lijst geplaatste software mag draaien, van de rest wordt uitvoering geblokkeerd.

Dat is verre van nieuw, maar het was vroeger nier erg praktisch toen we nog niet zoveel in de browser draaiden en cloud-applicaties gebruikten. In de jaren 90, in het tijdperk van shareware, zat mijn computer vol met obscure software. Het whitelisten van alle shareware/freeware via plekken als Tucows zou onbegonnen werk zijn geweest.

Nu heb je een stuk minder software nodig en grote delen van de benodigde pakketten op kantoor, incusief office-applicaties, draaien tegenwoordig in de browser, waardoor het whitelisten van installatiepakketten beter mogelijk lijkt.

Verantwoordelijkheid eindgebruiker

Volgens de Google-onderzoeker is het een heel slecht idee dat we gebruikers over veilig internetgebruik willen leren met lessen over phishing en verdachte executables. Daarmee verschuif je de verantwoordelijkheid weg van producenten van hardware en software en leg je die voor de voeten van de gebruiker. “We geven ze systemen die niet veilig te gebruiken zijn en geven vervolgens de gebruiker de schuld”, aldus Bilby.

Daar ben ik het niet mee eens. De gebruiker heeft ook een verantwoordelijkheid. Beveiligingshardware en -software vangt onmogelijk alle phishingaanvallen en mensen dienen een beetje gezond verstand te gebruiken als ze een bijlage of snelkoppeling tegenkomen. Mensen weten toch ook een beetje hoe ze hun auto onderhouden zodat het geen gevaar vormt op de weg, dus waarom zou dat niet gelden voor computers?


Comments are closed.