Er gaat nauwelijks een week voorbij zonder de nodige media-aandacht voor de nieuwste bedreigingen van de digitale wereld. Phishing-mails, Trojaanse paarden, ransomware en andere gevaren liggen op de loer voor bedrijven en particulieren. Het lijkt wel of het gevaar steeds toeneemt en de schade steeds groter wordt. Cyberaanvallers richten zich op de grote klappers – gevoelige klantgegevens, het platleggen van hele systemen of spionage. Eind 2016 bijvoorbeeld braken hackers in bij het datanetwerk van de Duitse overheid, een aanval die pas een jaar later als zodanig werd erkend. Ook de tot nu toe grootste aanval van de ransomware WannaCry haalde het nieuws toen grote internationale bedrijven zoals het Spaanse telecombedrijf Telefónica en diverse Engelse ziekenhuizen werden getroffen.
Gezien deze situatie moet het bij cybersecurity-bedrijven feest zijn. Er zijn specifieke cybersecurity-oplossingen voor eindpunten, netwerken, applicaties, e-mails, IoT en servers, er zijn anti-malware programma’s, firewalls, Intrusion Prevention Systems en Disaster Recovery-oplossingen voor het geval het toch een keer mis gaat. Het is niet vreemd dat voor de meeste mensen de wereld van beveiligingsoplossingen net zo complex is als het dreigingslandschap. Het is lastig om te beoordelen wat je echt nodig hebt.
Cybersecurity – back to basics
Wat moet je zeker in huis hebben om je te beschermen tegen het groeiende aantal cyberaanvallen? Hoeveel systemen zijn er echt nodig? Het antwoord is: één, namelijk een geavanceerde firewall met geïntegreerde sandbox die gebruik maakt van kunstmatige intelligentie.
Toegegeven: het is een nogal banale term voor een zeer complexe en efficiënte testomgeving. Sandboxes (zandbakken) zijn geïsoleerde omgevingen, speciaal ontworpen om nieuwe bedreigingen op te sporen die de netwerkbeveiliging proberen te omzeilen. In principe is het met een sandbox mogelijk om software te draaien in een afgesloten omgeving zonder toegang tot de productieve systeemomgeving. Het grote voordeel hiervan is duidelijk. Iets wat aanvankelijk onschuldig lijkt, kan in een veilige omgeving worden gedraaid zonder dat kwaadaardige software bijvoorbeeld toegang krijgt tot het besturingssysteem. Idealiter wordt dit gecombineerd met een cloud-service die zichzelf updatet. De voordelen van een sandbox zijn legio: bestanden worden gecontroleerd, verdachte software heeft geen onzichtbare toegang tot systeem-gegevens en de toegang tot het productieve systeem is geblokkeerd. In de strijd tegen ransomware en andere gevaren wordt de firewall met geïntegreerde sandbox een onmisbare schakel.
Spelen in het zand
De werking van de sandbox is fascinerend. Het verdachte bestand of programma wordt geplaatst in een omgeving die alle gebruikelijke functies van een gewoon besturingssysteem biedt. De indringer wordt misleid en verraadt zichzelf bij zijn activiteiten. De bestanden worden uitgevoerd in een beveiligde cloud-omgeving waar het gedrag wordt geanalyseerd om te zien welke schade of wijzigingen aan het systeem zouden kunnen ontstaan.
Een bestand wordt als verdacht beschouwd als het probeert toegang te krijgen tot delen van het systeem waarvoor het geen rechten heeft. Aan het einde van het proces moet de sandbox een beslissing nemen die een bedrijf kan behoeden voor economische schade. Is het gecontroleerde bestand gevaarlijk? Of kan het zonder risico worden geopend?
Deze beoordeling bepaalt of het bestand wordt geaccepteerd of geblokkeerd door de firewall. Wat vooral handig is, is dat de sandbox de analyse naar de firewall stuurt en als patroon opslaat voor toekomstige bestanden van hetzelfde type. Op deze manier zijn sandbox-oplossingen in staat om verschillende bestandstypen en toepassingen te analyseren. Ze zijn uiterst veelzijdig en ondersteunen verschillende besturingssystemen. Dit is vooral belangrijk omdat malware zich op Windows, Linux of Android heel anders gedraagt.
Schaap met vijf poten
De sandbox helpt zo om het hele netwerk vanaf een centraal punt te beveiligen en voorkomt internetaanvallen op alle bedrijfsonderdelen. Dit alles kan nauwkeurig worden afgestemd op de behoeften van jouw organisatie.
Is de firewall met geïntegreerde sandbox nu echt het schaap met vijf poten? Ja, eigenlijk wel. Afhankelijk van jouw bedrijf en IT-infrastructuur zal je gericht ook naar andere systemen moeten kijken. Een anti-virus-programma voor laptops en andere computers kan zeker geen kwaad. Maar met de sandbox kom je al een heel eind. De basis heb je daarmee op orde en dat leert de ervaring van de afgelopen jaren zeker. Ook cybercriminelen zijn op zoek naar efficiëntie en volgen vaak de weg van de minste weerstand. En die open je niet voor hen als je een firewall met geïntegreerde sandbox implementeert. De meeste cyberboeven zullen dus verder kijken naar slachtoffers die de basis niet op orde hebben.
Christian Schallenberg, CTO en security expert bij Lancom Systems
