De traditionele methode van malwarebestrijding werkt niet meer. Virussen worden technologisch geavanceerder, en daarom zijn nieuwe methodes nodig om ze efficiënter en slimmer tegen te gaan.
Wil je na het lezen van dit artikel meer weten over Next Generation Sexurity? Download dan de gratis minigids onderaan dit artikel!
Ook cybercrime gaat met zijn tijd mee. Voor criminelen wordt het bijvoorbeeld steeds makkelijker om malware online te kopen. Dat is niet duur; al voor een paar tientjes kun je een lucratieve ransomwarecampagne opzetten. Er is daardoor veel minder technische kennis nodig om een virus te versturen. Tegelijkertijd worden de virussen zelf technologisch steeds geavanceerder.
Handtekeningen
De bedreigingen op cybersecuritygebied veranderen daarom in rap tempo. De methode die beveiligingsbedrijven daar op dit moment voor gebruiken is inmiddels alweer achterhaald. Die methode bestaat uit het maken van ‘handtekeningen’ van bekende malware, die vaak wordt gebaseerd op eerdere ontdekte virussen. Die worden vervolgens in een gigantische database verzameld. Als er dan een verdacht bestand op de computer van de gebruiker verschijnt wordt dat door beveiligingssoftware vergeleken met bestanden uit de database, en als er dan (te) veel overeenkomsten zijn wordt dat bestand verwijderd. Dat werkte jarenlang prima, maar ook de criminele sector verandert snel. De handtekeningenmethode is steeds makkelijker om de tuin te leiden.
Vreemd gedrag
In plaats van te kijken naar die handtekeningen kijkt de nieuwe generatie antivirus vooral naar gedrag. Wat doet een bestand, en is dat normaal gedrag wat je mag verwachten? Ransomware is daar een bekend voorbeeld van. Dat gebruikt malafide scripts om bestanden te versleutelen. Goede antivirussoftware herkent dat gedrag automatisch. Worden er ineens op grote schaal bestanden versleuteld in de Mijn Documenten-map? Dan is de kans groot dat dat niet de bedoeling is. Natuurlijk kan dat wel - een gebruiker kan er uiteraard zelf voor kiezen zijn bestanden te versleutelen, want dat is nu eenmaal erg veilig - maar hoe vaak gebeurt dat in de praktijk? Je kunt in zo’n geval beter één waarschuwing te veel geven dan vertrouwen dat alles in orde is. Zo zijn er tientallen andere manieren om te herkennen wanneer er iets op de computer gebeurt dat niet pluis is. Zo zijn er programma’s die scripts maken waardoor het programma automatisch opstart. Of programma’s die iets proberen te veranderen aan Windows’ registry. Los van elkaar zijn al die zaken niet automatisch verdacht, maar als je ze combineert kunnen er patronen ontstaan die dat wél zijn. Als er een patroon wordt gevonden gaan er allerlei virtuele alarmbellen rinkelen – dit is verdacht!
Nader onderzoek
Toch is het niet genoeg om in zo’n geval lukraak processen te blokkeren. Wat nou als het juist de bedoeling van de gebruiker was om zijn bestanden te versleutelen? Een zogeheten ‘false positive’ is dan juist extreem irritant. Misschien werkt het zelfs wel averechts en zet hij zijn beveiliging helemaal uit! Daarom moet er in zo’n geval nog een extra analyse worden gedaan. Waar was de gebruiker op dat moment? Wat probeerde hij te doen? Hoe is hij op zijn netwerk gekomen? Met zulke vragen kan antivirussoftware een nóg beter beeld geven of iets een bedreiging is of niet. G DATA ontwikkelde daarvoor een nieuwe technologie genaamd DeepRay, die kijkt naar ruim 150 van zulke indicatoren.
Machine learning en kunstmatige intelligentie
Dat is natuurlijk makkelijker gezegd dan gedaan. DeepRay maakt daarom gebruik van machine learning en kunstmatige intelligentie. De software hoeft daardoor niet langer door gigantische databases te graven voor een match met een bekende handtekening, maar kan dat op intelligente en daardoor veel snellere wijze doen. Nieuwe dreigingen komen en gaan in recordtempo. Het is net als de mythische draak waar je het ene hoofd afhakt maar waarvoor er weer drie in de plaats komen. Er is altijd wel een nieuwe ransomwarefamilie die nét iets anders is en zo de beveiligingssoftware om de tuin probeert te leiden.
Bestandsloze malware
Bestandsloze malware is ook zo’n nieuwe dreiging waar beveiligingssoftware op moet inspelen. Daarbij worden bestanden niet meer geïnstalleerd op de harde schijf waar ze vervolgens lang kunnen blijven staan. In plaats daarvan draait de malware volledig in het werkgeheugen, zodat het moeilijker te detecteren is door een virusscanner die alleen de harde schijf afloopt. Moderne technologieën zoals DeepRay zijn dan nodig om dat soort methodes te herkennen en te doorgronden. Scripts die via het werkgeheugen draaien worden namelijk alsnog in leesbare tekst uitgevoerd. Zo zijn ze alsnog te lezen door de beveiligingssoftware en worden ze makkelijker tegengehouden. Ook het idee om malware te versleutelen om het zo voor de beveiligingssoftware onherkenbaar te maken is in theorie een goed idee, maar ook daar is DeepRay op voorbereid. DeepRay kijkt naar patronen, en dan maakt het niet veel uit of de inhoud zelf versleuteld is. Het is belangrijk dat antivirus kan blijven inspelen op nieuwe ontwikkelingen, maar van de andere kant moet dat nooit in de weg gaan zitten van hoe gebruikers hun computers en netwerken gebruiken. Want ook zij gaan met hun tijd mee, en dan telt alleen de beste beveiliging.
Meer weten over Next Generation Security? Download de gratis quickstart!
E-mailadres * Wij gaan zorgvuldig met je gegevens om (zie onze privacyverklaring). Door het downloaden van de minigids meld je je aan voor onze nieuwsbrief en aanbiedingen van Computer!Totaal. Je kunt je hier altijd weer voor afmelden.