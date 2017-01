Worden zowel oude dreigingen als nieuwe malware voldoende opgepikt door scanners? Vorige week keek CEO van securitybewustwordingsbedrijf KnowBe4 Stu Sjouwerman naar nieuwe data die is gepubliceerd door Virus Bulletin. Deze site houdt de detectieratio's van antimalwaresoftware bij en de huidige cijfers zijn niet erg positief.

Niet bijbenen

De gemiddelde detectieratio ging tussen 2015 en 2017 enkele procentpunten omlaag, maar detectie van zerodays daalde van 80 procent naar 70 procent. "Het is een slecht teken als de sector met tien a vijftien punter slechter presteert met pro-actieve beveiliging", zegt hij. De tests van Virus Bulletin zijn uitgebreid en jaarlijks hetzelfde, zodat je daadwerkelijk kunt vergelijken.

Verschillende grote leveranciers zijn niet meegenomen in de statistieken, omdat ze weigeren mee te werken. De implicatie is dat daar een reden voor is. Sjouwerman suggereert dat deze makers de criminelen die malware bewerken voor elke aanval niet kunnen bijbenen. "De slechteriken hebben dat proces volledig geautomatiseerd", zegt hij. "Er zijn elke dag miljoenen nieuwe varianten met als doel de huidige AV-engines te overstelpen met gegevens en dat lijkt te werken."

False positives

Ook andere deskundigen zijn het eens met de analyse van Sjouwerman. "Dit is een aspect waar de sector niet graag over praat", zegt Qualys-directeur Amol Sarwate. "Het is ook geen makkelijk probleem om aan te pakken. Als de software te agressief wordt, krijg je te veel false positives. De hoop voor de toekomst is een combinatie van meerdere technologieën. AV alleen is onvoldoende."

Detectieratio's zijn laag en dat gaat alleen maar slechter worden, denkt directeur Justin Fier van beveiligingsbedrijf Darktrace. "Ik zal een klant nooit vertellen om geen AV aan te schaffen", stelt hij voorop. "Maar op de vraag of het nog werkt denk ik: nee, niet echt." Beveiliging draait in de kern om defensief reageren op schadelijke events. "Het is lastig om te voorspellen welke malwaregolf of welk aanvalsplatform groot gaat worden."

Door de beveiliging heen

Vooral ransomware zorgt nog steeds voor problemen, zegt Sjouwerman, omdat criminelen investeren in resources voor blijven ontwikkelen, omdat het zo winstgevend is. Vorig jaar verdienden ze bij elkaar ongeveer een miljard euro aan gijzelsoftware, wat ook nog eens aangeeft dat blijkbaar deze malware een grote succesratio heeft in het penetreren van beveiligingsmaatregelen van bedrijven.