De tijd dat je smartphone de subtiele achterdeur is van je bedrijfsnetwerk en bijhorende bedrijfsgegevens, ligt achter ons. De achterdeur is een voordeur geworden, en ze staat wagenwijd open volgens Check Point. Wannacry heeft 300.000 pc’s besmet, notPetya 500.000 toestellen, maar nieuwe mobiele malware maakt 16 miljoen slachtoffers. En dan hebben we het nog niet over cloud en zero day gehad.
Vandaag moet een bedrijf heel wat meer beveiligen dan 20 jaar geleden. Laptops en desktops zijn niet meer genoeg, een firewall dekt niet de lading en de cloud wordt steeds meer een pijnpunt. Mobiele telefoons gooien extra olie op het vuur, waardoor totale veiligheid steeds moeilijker wordt. We spreken met Tom Van Ginneken, SE Team Leader bij Check Point.
Zero Day Threat Protection
Van Ginneken gaat verder wat de belangrijkste pijlers zijn binnen een veilig bedrijfsnetwerk. “Drie belangrijke elementen vandaag de dag zijn Zero Day Threat Protection, mobiele beveiliging en cloud. Alle drie vormen elke dag een nieuwe uitdaging, maar ze zijn essentieel om veilig te kunnen werken.” Vooral Zero Day-aanvallen zijn voor zowat elke partij bijzonder taaie klanten. Een bedreiging waar je nog geen gegevens over hebt, kan je moeilijk analyseren en daarna veilig loslaten.
Check Point heeft voor Zero Day-aanvallen Sandblast ontwikkeld; een totaalproduct dat zowel endpoint, gateway als cloud analyseert op zulke aanvallen. De meeste eenvoudige manier om een Zero Day-aanval te vernietigen, is na analyse in een sandbox. Deze veilige omgeving geeft de malware de tijd om zijn actie te voltooien, waarna het laat weten aan de service dat het betrouwbaar is of niet. Een traditionele sandbox heeft één tot drie minuten nodig voor een volledige analyse, maar niemand wacht graag zolang.
“Wanneer je een Word-document in een emailbijlage wil openen, heb je geen zin om minuten te wachten. Wij zorgen ervoor dat je instant een PDF of Word-doc zonder macro’s kan downloaden, zodat je direct de inhoud kan bekijken. Moet je toch het bestand bewerken of aanpassen? Dan kan je aan Sandblast vragen om een downloadlink wanneer de scan afgerond is.”
Mobiele veiligheid
De tweede pijler is mobiele beveiliging, iets waar vandaag de dag veel te weinig bedrijven actief werk van maken. Tom Van Ginneken benadrukt opnieuw dat heel wat bedrijven niet genoeg beseffen hoe belangrijk mobile security is. Wannacry besmet 300.000 pc’s, mobiele ransomware vat 16 miljoen devices. “Hackers weten vandaag dat laptops voorzien zijn van endpointbeveiliging en achter een firewall zitten. Ze focussen zich daarom steeds meer op smartphones of tablets om een weg te vinden binnen een bedrijfsnetwerk. Eens binnen, breekt de hel los.”
Check Point maakt gebruik van een mobiele app die verbonden is met de cloud. Van zodra de IT-admin verdachte handelingen ziet op je mobiele toestel, kan die direct ingrijpen. “Heel wat malware wordt sowieso automatisch door de app tegengehouden zonder manuele handeling,” zegt Van Ginneken.
IaaS en SaaS
De derde pijler, cloud, speelt volgens Check Point een belangrijke rol voor bedrijven die nu pas de overstap maken. “Bedrijven zoals Uber zitten vanaf dag één in de cloud. Die luxe kennen de meeste bedrijven niet. Zij moeten hun workload naar de cloud verhuizen, maar die moeten daar ook worden beveiligd. Daarvoor hebben we CloudGuard binnen ons portfolio.”
Check Point voorziet CloudGuard in twee smaken: IaaS en SaaS. Met de IaaS-kant bedoelen ze diensten als Microsoft Azure, Amazon Web Services of Google Cloud Platform. Daar zijn de nodige API’s beschikbaar om optimaal bestanden te analyseren zodat ze veilig bewaard worden. Bij SaaS (bv: Google Drive, Dropbox) heeft Check Point die vrijheid niet. Daar maakt het gebruik van een eigen cloud met een aparte sandbox om bestanden vooraf te scannen wanneer ze naar de cloud worden geüpload.
Machine learning
Een breed portfolio aan oplossingen is belangrijk om de veiligheid te garanderen. Van Ginneken: “Lagen zijn belangrijk, maar er bestaat niet één universeel product dat alles tegenhoudt. Je hebt traditionele antivirus nodig, zero day-bescherming, sandbox, al die elementen zijn noodzakelijk. Endpoint- en cloudbeveiliging vormen een degelijke securitybasis voor elk bedrijf.”
Wat betreft machine learning kan Van Ginneken kort zijn. “Machine learning is een buzzword, iedereen gebruikt het te pas en te onpas. Het bestaat al lang, maar de hardware en software laat ons pas toe de afgelopen drie jaar om er echt iets mee te doen. Vandaag de dag wordt ongeveer 10 procent van de malwaredatabase gevoed door machine learning.”
Machine learning is belangrijk wanneer er bijvoorbeeld executables moeten worden geanalyseerd. Die mag in principe alles doen binnen het systeem, maar sommigen gedragen zich net iets anders dan de rest. Machine learning kan dat analyseren en gegevens zoals CPU-gebruik en OS-veranderingen binnen of buiten een sandbox voeden de machine continu. “Het is van cruciaal belang dat deze machine vanaf dag één goed leert. Een paar fouten maken zorgt dat de automatische foutherkenning escaleert, en dan is de gebruiker daar altijd de dupe van,” sluit Van Ginneken af.