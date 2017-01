Virusscanners op eindpoints - tegenwoordig noemen producenten het liever antimalware-oplossingen - krijgen in de regel weinig liefde, onder meer vanwege het inpikken van resources, de licentiekosten, complexiteit van de pakketten, de druk op performance en twijfels over de effectiviteit van het programma. Wat voor nut heeft AV als het alsnog zoveel malware doorlaat, vroeg IDG-collega Andy Patrizio zich hier onlangs af.

De aanleiding daarvoor was een presentatie van Google-ontwikkelaar Darren Bilby, die vond dat veel organisaties zich te veilig wanen door de bescherming van dergelijke software. Hij vergeleek het met een kanarie in de kolenmijn, waarbij het ook nog eens zo is dat mensen blij zijn dat de kanarie is overleden, omdat daaruit blijkt dat de giftige gassen zijn weggenomen. Als je kijkt naar de reacties bij een Register-artikel over dit onderwerp, zie je ook nog heftige discussies over de zin of onzin van AV.

Geld in je zak houden

Bilby en Patrizio zijn zeker niet de eersten die het nut van antivirussoftware in twijfel trekken. Jaren geleden stelde beveiligingsbedrijf Imperva dat IT-organisaties licentiegeld voor AV beter in hun zak konden houden. Diverse tools bleken nieuwe malware over het hoofd te zien en wanneer bijvoorbeeld heuristische algoritmes iets nieuws wél opmerkten, konden ze de schadelijke bestanden niet aanpakken.

Volgens Imperva toen konden bedrijven net zo goed een gratis product gebruiken. Avast, McAfee (Intel Security) en Emisoft waren toen het snelst in het detecteren van malware, maar de uitslag van zulke effectiviteitstests varieert zo wild per maand, dat er geen pijl op te trekken valt welk AV-product 'het beste' is.

Tegenwoordig wordt er hechter samengewerkt door verschillende leveranciers. Zo zitten onder meer Kaspersky, Barracuda en Intel Security in een verbond om ransomware te bestrijden en Symantec, Palo Alto Networks en Fortinet in een groep om standaarden, regels en deelplatformen te ontwikkelen en zijn er diverse leverancier-agnostische Threat Intelligence Platforms. Het idee is dat als één leverancier een malware-plaag bemerkt, de andere hier ook op gaan letten.

ENISA: bescherm endpoints

Het nut van een apart antimalwareproduct bovenop al aanwezige bescherming als in Windows Defender, daar kun je natuurlijk over discussiëren, maar dat er een nut is voor AV staat buiten kijf. Het Europese informatiebeveiligingsorgaan ENISA stelde vorig jaar bijvoorbeeld nog dat malwaredetectie een cruciaal onderdeel is van beveiligingsbeleid (PDF) en dat het moet worden toegepast op alle kanalen (netwerk, web, applicaties) en op alle hardwareplatforms die aanwezig zijn in een organisatie.

Om onder meer identiteitsfraude tegen te gaan stelt de organisatie zelfs onomwonden: "Installeer endpointbescherming in de vorm van antivirusprogramma's, maar blokkeer ook de uitvoer van bestanden in bepaalde situaties (bijvoorbeeld vanuit de map Temp)."

AV heeft zijn nut, getuige het feit dat het grootste virus ter wereld met gemak kan worden buitengehouden door een scanner met bijgewerkte definities. Vraag: wat is de malware die op dit moment de meeste systemen infecteert? Cryptolocker? Citadel? Een Zeus-variant? Onderzoek vorig jaar stelde, voor het zoveelste jaar op een rij, dat Conficker wereldwijd de meeste pc's besmet.

Blast from the past

"Het is niet het enige voorbeeld; Nimda waart nog steeds rond en ik geloof dat Blaster er ook nog altijd is", zegt Intel Security-CTO Raj Samani. Antivirusprogramma's houden die tegen en het feit dát deze virussen nog steeds pc's veroveren, geeft niet alleen aan dat er gebruikers zijn die geen AV gebruiken, maar ook dat het nog duidelijk nut heeft om die vijftien jaar oude zooi buiten te houden.

IT-beveiliging is vaak een abstract onderwerp met veel jargon, maar de daadwerkelijke gevolgen als we steken laten vallen merken we allemaal. Intel Security's Samani sprak eind vorig jaar op Amazons re:Invent over onder meer de daadwerkelijke maatschappelijke impact van cybercrime: fysieke onveiligheid omdat infrastructuren niet betrouwbaar functioneren, ziekenhuizen die patiënten moeten weigeren, webdiensten die platliggen, het OV-bedrijf in San Francisco dat tienduizenden dollars verliest. Samani: "Laten we elkaar geen angst aanjagen, maar samenwerken om hier iets aan te doen."

