Stateful Application Control maakt malwaredetectie overbodig

Malware is ‘bad’, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutteloos zijn gebleken. “Maar nog niet alle hoop is verloren”, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek ‘Stopping Zero-Day Exploits for Dummies’. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met ‘Stateful Application Control’. “Het is een van de meest veelbelovende ontwikkelingen in lange tijd.”

Steeds vaker zijn het juist de leveranciers van antimalwareproducten die verkondigen dat we de strijd tegen de toenemende cybercriminaliteit verliezen. In mei van dit jaar riep Symantec nog de nodige verontwaardiging over zich af toen Brian Dye, bij het beveiligingsconcern chef informatiebeveiliging, tegenover The Wall Street Journal verkondigde dat antivirus ‘dood’ is. Het leveren van antivirusoplossingen zou geen geld meer opleveren.

Het is een boodschap waarin Peter H. Gregory, die zich onder andere Certified Information Systems Auditor en Certified Information Systems Security Professional mag noemen, zich ongetwijfeld kan vinden. In ‘Stopping Zero-Day Exploits for Dummies’ stelt Gregory dan ook dat het detecteren van dreigingen niet langer voldoende is om datadiefstal te voorkomen. “De effectiviteit van de traditionele detectiesystemen neemt af. Antimalwareprogramma’s detecteren nog maar een klein deel van de malware.”

Geraffineerde cybercriminelen

Volgens Gregory heeft de afnemende effectiviteit van de traditionele beveiligingsmaatregelen alles te maken met de steeds geraffineerdere werkwijze van de cybercriminelen. Zo maken criminele organisaties steeds vaker gebruik van ‘zero-day exploits’ waarbij misbruik wordt gemaakt van een nog onbekend gat in de beveiliging om de machine van de gebruiker te besmetten met malware. Omdat er voor deze onbekende gaten – de zogenaamde ‘zero-day vulnerabilities – nog geen bescherming beschikbaar is, vormen ze een populair doelwit voor aanvallers.

Met een succesvolle exploit kunnen aanvallers iedere willekeurige vorm van malware op de machine van het slachtoffer plaatsen. Waar de exploit is bedoeld om de malware op het systeem van het slachtoffer te krijgen, is de malware zelf een stukje code die wordt gebruikt om een systeem onder controle te krijgen en informatie te stelen. De auteur merkt daarbij op dat moderne vormen van malware inmiddels veel meer doen dat het loggen van toetsaanslagen, kopiëren van gebruikersschermen en het ontvreemden van informatie die staat opgeslagen op de besmette machine. Als voorbeelden noemt Gregory de Remote access Trojans om een systeem onder controle te krijgen, botnets voor het uitvoeren van grootschalige aanvallen en malware die specifiek is ontworpen voor het stelen van uiterst gevoelige informatie zoals inloggegevens en creditcardinformatie.

Aanvallers maken niet alleen gebruik van geavanceerdere technieken, maar gaan ook hardnekkiger te werk (respectievelijk de ‘A’ en de ‘P’ in APT, oftewel Advanced Persistent Threat). Een aanval kan weken tot zelfs een jaar of langer in beslag nemen. Tijdens die periode doorloopt de aanvaller globaal zes stappen. De eerste stap is het verzamelen van informatie over het slachtoffer waarna in stap twee de aanval kan worden gepland en de tools voor het uitvoeren van de aanval kunnen worden ontwikkeld. In stap drie vindt de eerste aanval plaats, door medewerkers te verleiden om een kwaadaardig document te openen of een besmette website te bezoeken. De malware die op die manier wordt geïnstalleerd, is meestal bedoeld om de aanvaller toegang te verschaffen tot het interne netwerk. Eenmaal binnen kan de aanvaller in stap vier verder op onderzoek uit door het e-mailverkeer te monitoren, het netwerkverkeer te observeren of het interne netwerk in kaart te brengen en indien nodig nieuwe tools ontwikkelen waarmee de aanval kan worden voortgezet. Uitgerust met de juiste kennis en tools kan de aanvaller in stap vijf eindelijk doen waarvoor hij gekomen was, zoals het stelen van data en intellectueel eigendom of het saboteren van systemen.

Verloren gevechten

Aanvallers kunnen uiteenlopende redenen hebben om een organisatie aan te vallen, variërend van het uiten van ongenoegen over de sociale of ideologische koers van een organisatie (‘hacktivisme’) tot industriële of politieke sabotage. De meeste cybercriminelen is het echter om geld te doen, en dat doen ze niet onverdienstelijk. Volgens het Amerikaanse ministerie van Financiën gaat in de wereldwijde cybercriminaliteit inmiddels meer geld om dan in de handel in drugs.

Volgens Gregory zijn er dan ook ‘verloren gevechten’ gevoerd tegen cybercriminaliteit. “Organisaties hebben vele tools, technieken en processen ontwikkeld en geadopteerd om malware en cyberaanvallen af te kunnen slaan. Sommige technieken zijn min of meer succesvol geweest, maar deze successen hebben er alleen maar toe geleid dat de aanvallers werden aangemoedigd om nog betere technieken te ontwikkelen om onze verbeterde defensiemaatregelen te omzeilen.”

Volgens de auteur hebben we de ‘slag’ met de cybercriminelen op meerdere fronten verloren. De opvoeding van de gebruikers, middels security awareness-trainingen, is een van die fronten. Dergelijke trainingen zijn bedoeld om medewerkers bewust te maken van de gevaren, in de hoop dat ze niet meer op een verdachte link of document klikken. “Je hebt echter maar een paar mensen nodig die uit haast, onwetendheid, vergeetachtigheid of door een inschattingsfout of gewoon nieuwsgierigheid toch een phishing- of spear-phishing openen met als resultaat dat het werkstation van de gebruiker wordt gecompromitteerd.” Even zinloos zijn de pop-upberichten waarin gebruikers wordt gevraagd of bepaalde acties moeten worden toegestaan of geblokkeerd. “De meeste gebruikers hebben geen idee en het kan ze ook niet schelen. Ze willen gewoon hun werk doen.”

Ook zijn we volgens Gregory weinig succesvol geweest in het voorkomen van kwetsbaarheden door effectief te patchen. In de praktijk is het bijna niet te doen om alle security-patches die beschikbaar worden gesteld uit te rollen, zeker nu er door de Bring Your Own Computer-trend steeds meer onbeheerde computers inpluggen op het netwerk. Jezelf beschermen tegen een zero-day vulnerability is bovendien onmogelijk. En ook op het gebied van malwaredetectie hebben we de slag met de cybercriminelen verloren. “Door de opkomst van geavanceerdere malware en ontwijkingstechnieken zijn de traditionele beveiligingsmaatregelen een stuk minder effectief geworden.”

Stateful Application Control

Als lezer van ‘Stopping Zero-Day Exploits For Dummies’ zou je bijna denken dat we volstrekt kansloos zijn in de strijd tegen cybercriminaliteit. De eerste drie hoofdstukken – en daarmee ruim de helft van het boek – staan dan ook volledig in het teken van de ongelijke strijd tussen aanval en verdediging. Pas in hoofdstuk 4 blijkt dat deze uitgebreide schetst van het dreigingslandschap de opmaat vormt naar de introductie van ‘Stateful Application Control’, een nieuwe benadering die moet voorkomen dat malware ook daadwerkelijk wordt uitgevoerd en schade toebrengt aan de endpoints van de gebruiker. In dit hoofdstuk blijkt ook waarom ‘Stopping Zero-Day Exploits For Dummies’ is geschreven ‘met en voor Trusteer, an IBM Company’, zoals al in de inleiding wordt opgemerkt. Stateful Application Control wordt namelijk toegepast in Trusteer Apex.

Stateful Application Control maakt gebruik van het gegeven dat een gecompromitteerde applicatie afwijkend gedrag zal vertonen. Trusteer Apex monitort daarom de ‘status’ van een applicatie op het moment dat er een gevoelige handeling wordt verricht, zoals het schrijven naar het filesysteem of het openen van een communicatiekanaal. Op het moment dat de applicatie een applicatie-interface gebruikt, wordt Stateful Application Control getriggerd om de actuele status van de applicatie te vergelijken met alle bekende applicatiestatussen. Als er geen ‘match’ is, duidt dat erop dat er sprake is van een exploit. Trusteer Apex zal dan ook voorkomen dat de gedownloade file wordt uitgevoerd en er schade wordt toegebracht aan de machine. Diefstal van data wordt voorkomen door het Command & Control (C&C)-communicatieverkeer te blokkeren.

Dit gedachtengoed wordt in het boek verder verduidelijk aan de hand van enkele voorbeelden. Als bijvoorbeeld een gebruiker een browser gebruikt om een website te bezoeken en een file te downloaden, is dat een legitieme actie waar een bekende applicatiestatus bij hoort. Als de bezochte website echter een verborgen exploitcode bevat die misbruik maakt van een ongepatchte kwetsbaarheid in een browser om vervolgens een drive-by download uit te voeren, is er sprake van een onbekende, niet gevalideerde applicatiestatus die niet kan worden gematcht met een bekende status. Er is kortom afwijkend gedrag wat erop duidt dat er een exploit heeft plaatsgevonden.

Advanced Threat Protection

Stateful Application Control biedt een effectieve bescherming tegen zero-day exploits en andere Advanced Persistent Threats die normaliter onder de radar blijven, zo concludeert de auteur. “Doordat het geen poging doet om een dreiging te detecteren, maar in plaats daarvan de status van de applicatie valideert, is Stateful Application Control in staat om dreigingen accuraat te blokkeren, of die nu bekend of onbekend zijn.” Daardoor is de nieuwe benadering ook niet afhankelijk van een bijgewerkte signature-database of van informatie die op voorhand beschikbaar is over een dreiging.

‘Stopping Zero-Day Exploits For Dummies’ gaat nog dieper in op Stateful Application Control door onder andere te laten zien hoe Trusteer Apex kan worden geïmplementeerd en beheerd en hoe met ‘Real-Time Threat Intelligence’ de beveiliging nog verder kan worden aangescherpt. Het boek wordt afgesloten met een ‘top tien overwegingen’ voor een effectieve ‘Advanced Threat Protection’. Want zoals de auteur het zelf stelt: “Een For Dummies-boek is niet compleet zonder een top tien-hoofdstuk.”

  • Titel: Stopping Zero-Day Exploits For Dummies, Trusteer Special Edition
  • Auteur: Peter H. Gregory, met bijdragen van Dana Tamir, Director of Enterprise Security bij Trusteer, an IBM Company
  • Pagina’s: 53
  • ISBN: 978-1-118-75850-2

Over de auteur: Peter H. Gregory (CISA, CISSP, CRISC) is security- en riskmanager, universitair docent en auteur van ruim dertig boeken over security en opkomende technologieën.

Ferry Waterkamp is freelance journalist

 
Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.