Antivirus setup

Het stoort mij dat vele mensen/bedrijven niet eens weten hoe je op een deftige manier je computers/netwerk tegen virussen moet beschermen.

Zelfs een aantal zogezegde "security bedrijven" doen het vaak verkeerd.
De beste oplossingen zijn namelijk bijna altijd de simpelste, maar dat ziet er natuurlijk niet zo indrukwekkend uit, en dan kan je niet zo veel geld van klanten aftroggelen.

Dus hier even een aantal mythes op een rij i.v.m. bescherming tegen virussen:

Mythes:

• AV software is veilig en foutloos
• AV software maakt het netwerk en servers veiliger
• AV software wordt geprogrammeerd door securityexperten
• Ik heb AV software, dus ik kan niet geinfecteerd raken
• Mijn AV software detecteert onbekende virussen

Dit gezegd zijnde, laten we eens kijken naar een typische AV structuur. Vaak wordt die uitgewerkt als een "Security in Depth" structuur, bijvoobeeld voor email:

• AV software op de frontend servers
• AV software op de backend server
• AV software op de clients

Vaak met AV software van verschillende vendors.
Nu denk je mischien dat dit een goede manier van werken is, maar in feite heb je de situatie verergerd.

"Security in Depth" op een goede manier is een "multi layered" aanpak. "Multi layered" wil niet zeggen dezelfde oplossing na elkaar gebruiken, maar verschillende oplossingen voor hetzelfde probleem in serie uitrollen.

Verkeerd: 2 firewalls (van verschillende vendors) na elkaar zetten om je netwerk te beveiligen. Want het zijn 2 dezelfde technieken.
Goed: Een FW en een IPS gebruiken als beveiliging.

"Security in Depth" met dezelfde techniek wordt enkel en alleen gebruikt om tijd te winnen. (Bijvoorbeeld 2,3,4,... hekken in een gevangenis. Als je over 1 hek kan klimmen, kan je ook over 2 hekken klimmen. Het kost alleen meer tijd.)

Tijd winnen bij AV software is weliswaar een goed idee omdat AV signatures nu eenmaal geupdate moeten worden, maar tijd winnen kan veel makkelijker met bijvoorbeeld greylisting.

Waarom maak je de situatie nu erger door overal AV software te installeren?
Je bent 1 heel belankrijk ding vergeten: Hoe wordt je AV software beschermd tegen aanvallen?

Net zoals andere software, is ook AV software een point of attack.
AV software inspecteert veel data, in veel verschillende formaten en dit is een ideale plaats om buffer overflows te vinden en te misbruiken. (En om alle files te kunnen scannen, draait AV software vaak met veel te veel rechten.)

Van dergelijk fouten in AV software wordt misbruik gemaakt, en dus is de AV software zelf ook een veiligheidsrisico.
Natuurlijk kan je dit risico beperken, je heb namelijk een keuze:

• Je draait AV software op een appliance met hardened O.S.
• Je draait AV software op een "gewone" server

Het grootste risico van AV software, is niet dat je geinfecteerd raakt door een virus. (Je hebt backups, je kan meestal files cleanen, je kan geïnfecteerde hosts automatisch van het netwerk laten verwijderen, enz...)

Het grootste risico van AV software is dat je server, via die AV software, gecompromised kan worden.

Denk daar maar eens over na.

Ik zeg natuurlijk niet dat je geen AV software moet gebruiken, ik zeg alleen dat alle extra geïnstalleerde software ook een risico met zich meebrengt. Als je dit risico kan mitigeren door een andere oplossing, is dat natuurlijk ook goed.

En dan heb ik het nog niet gehad over al die bedrijven die op alle clients wel AV software hebben, maar niet kunnen bewijzen dat deze ook de laatste versie, met de laatste signatures hebben.
In het beste geval geeft dit een vals gevoel van veiligheid, maar helaas is dat wat managers willen: Een gevoel van veiligheid, want op papier klopt het allemaal...