Malware is een verzamelnaam voor kwaadaardige software die is ontworpen om schade toe te brengen aan computersystemen en netwerken. Cybercriminelen gebruiken malware om gegevens te stelen, systemen te verstoren of toegang te krijgen tot vertrouwelijke informatie. De potentiële schade en risico's van malware zijn aanzienlijk. Malware kan leiden tot gegevensverlies, bedrijfsonderbrekingen en reputatieschade. Daarom is het van cruciaal belang dat de organisatie de nodige maatregelen neemt om zich tegen malware te beschermen.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen: |
Malware is een verzamelnaam voor software die is ontworpen om schade te veroorzaken aan een computersysteem of netwerk. De term is een samentrekking van "malicious software" (kwaadaardige software). Malware kan worden gebruikt om gegevens te stelen, systemen te verstoren of toegang te krijgen tot gevoelige informatie.
Er zijn veel verschillende soorten malware, een aantal van de meest voorkomende vormen:
Virus: Stukjes code die zich kunnen vermenigvuldigen en verspreiden naar andere bestanden of systemen. Ze kunnen schadelijk zijn door bestanden te versleutelen, gegevens te verwijderen of systemen te lamleggen.
Worm: Een soort virus dat zichzelf kan verspreiden via netwerken. Ze kunnen schadelijk zijn door bandbreedte te verbruiken, systemen lam te leggen of gevoelige informatie te stelen.
Trojaans paard (Trojan): Kwaadaardige programma's die zich voordoen als legitieme programma's. Ze kunnen schadelijk zijn door toegang te krijgen tot systemen, gegevens te stelen of schadelijke activiteiten uit te voeren.
Spyware: Een soort malware die wordt gebruikt om informatie te verzamelen over gebruikers zonder hun toestemming. Deze informatie kan worden gebruikt voor marketingdoeleinden of voor kwaadaardige doeleinden.
Adware: Een soort malware die advertenties op systemen plaatst. Adware kan ongewenst zijn en kan ook worden gebruikt om malware te verspreiden.
Ransomware: Een soort malware die systemen vergrendelt of versleutelt en losgeld eist om ze te ontgrendelen. Ransomware kan zeer schadelijk zijn, omdat het kan leiden tot gegevensverlies of bedrijfsonderbrekingen.
Zero-day malware: Zero-day malware is malware die misbruik maakt van een kwetsbaarheid in software die nog niet bekend is bij de softwareontwikkelaar. Deze malware is bijzonder moeilijk te detecteren en te verwijderen.
Rootkit: Een set softwaretools die een onbevoegde gebruiker beheerders- of rootniveau toegang tot een computer of netwerk geeft.
Botnet: Een netwerk van geïnfecteerde computers die onder controle staan van een aanvaller en gebruikt kunnen worden voor malafide activiteiten zoals DDoS-aanvallen.
Keylogger: Software of hardware die toetsaanslagen van een gebruiker registreert, vaak met kwaadaardige bedoelingen.
Fileless Malware: Maakt gebruik van legitieme programma's om kwaadaardige activiteiten uit te voeren, waardoor het moeilijker wordt om te detecteren.
Elke vorm van malware heeft zijn eigen unieke kenmerken en werkingswijze en kan op verschillende manieren het netwerk binnenkomen, bijvoorbeeld via:
E-mailbijlagen: Malware kan worden verspreid via e-mailbijlagen die zijn gekoppeld aan phishing-e-mails. Deze e-mails lijken vaak afkomstig te zijn van een betrouwbare bron, zoals een bank of een overheidsinstantie. Als een gebruiker op de bijlage klikt, wordt de malware op het apparaat geïnstalleerd.
Downloads: Malware kan worden verspreid via downloads van websites, torrents of andere online bronnen.
USB-sticks en andere mobiele media: Malware kan worden verspreid via USB-sticks of andere mobiele media die zijn aangesloten op een computer.
Programma's: Malware kan worden verspreid via programma's die zijn gedownload van websites, torrents of andere online bronnen (Bvb. appstore).
Aangezien bovendien meer en meer toestellen op het netwerk worden aangesloten, zoals smartphones, laptops, tablets en mobiele media, IoT, neemt het risico op infectie toe.
Er is een breed scala aan maatregelen die bijdragen aan een betere bescherming tegen malware. Het is belangrijk om zich ervan bewust te zijn dat geen enkele maatregel malware volledig kan voorkomen. Daarom is het essentieel om een gelaagde verdedigingsstrategie te hanteren, waarbij meerdere beveiligingsmaatregelen samenwerken om potentiële bedreigingen te bestrijden en te minimaliseren.
Niet alle van deze beveiligingsmaatregelen worden in detail in dit beleid besproken, maar voor de volledigheid worden ze hieronder wel opgesomd, met waar nodig een referentie naar het desbetreffende beleidsdocument.
Antimalware-oplossingen
Een antimalware-oplossing is een softwareprogramma dat specifiek is ontworpen om kwaadaardige software of malware te detecteren, te blokkeren en te verwijderen. Dit staat in contrast met een traditionele antivirus-oplossing die voornamleijk gericht is op het detecteren en verwijderen van virussen, en daardoor niet voldoende is voor het bestrijden van diverse malwarevarianten.
Ontwerp van malwarebescherming
Er zijn heel wat factoren om rekening mee te houden bij het opzetten van een effectieve malwarebescherming, het is daarom belangrijk om bij de keuze en positionering van verschillende antimalware-oplossingen hier voldoende bij stil te staan.
Voor optimale bescherming tegen malware is het cruciaal om antimalware-oplossingen te implementeren op sleutelpunten binnen het netwerk zoals:
E-mail gateway;
Proxyserver;
Webserver;
Applicatieserver;
Eindgebruikersapparatuur (zoals PC's, laptops, smartphones en tablets).
Antimalware-oplossingen kunnen verschillende methodes gebruiken om malware te detecteren, te blokkeren en te verwijderen:
Signature-gebaseerde detectie: Identificeert malware op basis van een bekende set van schadelijke code. Deze methode is afhankelijk van regelmatige updates van de malware-signaturendatabase.
Heuristische analyse: In plaats van te vertrouwen op bekende malware signatures, evalueert deze methode het gedrag van bestanden om te bepalen of ze schadelijk zijn. Hierdoor kan het ook nieuwe of onbekende malwarevarianten detecteren.
Sandboxing: Voert bestanden uit in een geïsoleerde omgeving om hun gedrag te observeren zonder het daadwerkelijke systeem in gevaar te brengen.
Real-time bescherming: Monitort het systeem actief op verdachte activiteiten en grijpt in zodra een potentieel schadelijk proces wordt gestart.
Cloud-gebaseerde detectie: Maakt gebruik van krachtige cloudgebaseerde analyse om nieuwe malwarevarianten te detecteren, vaak in combinatie met machine learning.
Behavioral Blocking: Blokkeert bestanden of processen die gedrag vertonen dat typisch is voor malware, zelfs als het bestand zelf niet is geïdentificeerd als schadelijk.
Fileless Malware Detectie: Detecteert malware die in het geheugen wordt uitgevoerd en traditionele bestandssystemen omzeilt.
Implementatiemaatregel
Procedures met betrekking tot malwarebescherming MOETEN worden opgesteld, met vermelding van:
Methoden voor het installeren en configureren van antimalware-oplossingen.
Updatemechanismen van antimalware oplossingen.
Processen die nodig zijn om de effectiviteit van de antimalware-oplossing te beoordelen.
Stappen die nodig zijn om het risico te verkleinen dat malware wordt gedownload of verspreid.
Definitie van toepassingsgebied en verantwoordelijkheden.
Installatie en configuratie
De gekozen antimalware-oplossingen dienen aan volgende minimale eisen te voldoen.
Functionaliteit
Implementatiemaatregel
De antimalware-oplossing MOET beschermen tegen alle vormen van malware, met inbegrip van computervirussen, wormen, Trojaanse paarden, spyware, rootkits, botnet software, toetsaanslag loggers, ransomware en kwaadaardige mobiele code. Naast patroon- en heuristische malwarescanning moet antimalware software ook scriptscanning, bufferoverflow beveiliging en anti-tampering functionaliteit ondersteunen.
Toepassingsgebied
Implementatiemaatregel
Een antimalware-oplossing MOET worden geïnstalleerd op alle bedrijfsmiddelen die kunnen worden blootgesteld aan malware, waaronder:
Servers (bijv. bestands- en printservers, applicatieservers, webservers en databaseservers)
Berichtengateways (bijv. e-mail- en webproxyservers);
Gebruikersapparatuur (bijv. desktopcomputers, laptops en andere mobiele apparaten, zoals tablets en smartphones);
Kantoorapparatuur (bv. netwerkprinters, multifunctionele apparaten);
Gespecialiseerde systemen die procesbesturingssystemen ondersteunen (bijv. SCADA-systemen, Distributed Control Systems, Programmeerbare Logic Controllers).
Configuratie en scanning
Implementatiemaatregel
Indien technisch mogelijk, MOET de antimalware-oplossing worden geconfigureerd om het volgende automatisch te scannen:
Computerfirmware (bv. het basisinvoer-/uitgangssysteem [BIOS] en het geheugen)
Master boot records van harde schijven;
Bestanden die meestal het doelwit zijn van malware, bijvoorbeeld uitvoerbare bestanden (executables), afbeeldingsbestanden, documentbestanden, macro's;
Bestanden die worden beschermd door compressie of wachtwoordbeveiliging;
Draagbare opslagmedia (bv. cd's, dvd's, USB-geheugensticks) onmiddellijk na het laden of aansluiten op enige vorm van computerapparatuur;
Netwerkmappen onmiddellijk na het delen/mounten;
Netwerkverkeer dat het bedrijfsnetwerk of soortgelijke omgevingen binnenkomt en verlaat.
De antimalware-oplossing MOET zo worden geconfigureerd dat:
Deze ten allen tijde actief is;
Deze enkel kan worden uitgevoerd met een toegewijde gebruiker met minimale rechten;
Geplande scans uitgevoerd worden op vooraf bepaalde tijdstippen;
Een melding wordt gegeven wanneer vermoedelijke malware wordt geïdentificeerd;
Bestanden worden uitgeschakeld of in quarantaine worden geplaatst waarvan wordt vermoed dat ze malware bevatten;
Belangrijke instellingen niet kunnen worden uitgeschakeld of dat de functionaliteit door gebruikers tot een minimum kan worden beperkt.
Beheer
Implementatiemaatregel
De antimalware-oplossing MOET gecentraliseerd, geautomatiseerd en zonder menselijke tussenkomst werken (gebruiker transparant).
Het deactiveren of omzeilen van de antimalware-oplossing door de gebruiker MOET worden verboden. Het mag niet mogelijk zijn om:
De antimalware-oplossing uit te schakelen;
Een geplande scan uit te schakelen of te annuleren;
Real-time scannen uit te schakelen;
Om de scan policy te wijzigen.
Centraal beheer MOET worden opgezet en uitgevoerd om op te volgen dat op alle bedrijfsmiddelen de antimalware-oplossing niet is uitgeschakeld, correct is geconfigureerd en up-to-date is.
Alle malwaredetectie events MOETEN worden verzonden naar centraal beheersysteem en event log servers. De waarschuwingen moeten automatisch naar het SOC worden verzonden.
Updates
Implementatiemaatregel
Antimalware software moet onmiddellijk worden bijgewerkt na release van updates door softwareleveranciers.
Signature updates: functies voor automatische updates voor signatures MOETEN worden geïmplementeerd. Controles op updates MOETEN ten minste dagelijks worden uitgevoerd. Na het toepassen van een update MOETEN geautomatiseerde systemen controleren of elk systeem zijn signature update heeft verwerkt
Updates van anti-malware engine: Naast de dagelijkse signature updates, MOET ook de anti-malware engine up-to-date worden gehouden. Als de antimalware-engine handmatig wordt bijgewerkt, MOET de website van de leverancier periodiek worden gecontroleerd op nieuwe updates. Na het toepassen van een update MOETEN geautomatiseerde systemen controleren of elk systeem de update heeft verwerkt.
Updates MOETEN automatisch worden bijgewerkt van zodra bedrijfsmiddelen rechtstreeks of vanop afstand op het bedrijfsnetwerk worden aangesloten. Bedrijfsmiddelen die gedurende 3 maanden of langer niet zijn aangesloten en bijgewerkt, MOETEN eerst worden bijgewerkt en gescand voordat een nieuwe verbinding is toegestaan.
Netwerkbeveiliging
Een aantal netwerkbeveiligingstechnieken als bijkomende beveiligingsmaatregel tegen malware:
Firewalls: Een firewall fungeert als een barrière tussen uw vertrouwde intern netwerk en onbetrouwbare externe netwerken. Het reguleert het netwerkverkeer en voorkomt ongeautoriseerde toegang door gebruik te maken van vooraf bepaalde beveiligingsregels.
Netwerk segmentatie: Het segmenteren (opdelen) van het netwerk, betekent dat als malware een deel van het netwerk infecteert, het niet noodzakelijkerwijs in staat is om zich naar andere delen van het netwerk te verspreiden.
Netwerktoegangscontrole (NAC): Beperkt de toegang tot het netwerk door apparaten te controleren vooraleer ze toegang krijgen en zorgt ervoor dat ze voldoen aan de beveiligingsstandaarden. NAC helpt bij het voorkomen dat geïnfecteerde of niet-conforme apparaten het netwerk betreden en potentiële bedreigingen verspreiden.
Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS): deze oplossingen monitoren het netwerkverkeer en identificeren en reageren op ongewone verkeerspatronen of gedrag dat kan wijzen op een malware-infectie of een poging daartoe.
Preventie van data-exfiltratie: Naast het voorkomen van ongewenste inkomende verbindingen, kunnen bepaalde oplossingen ook helpen bij het detecteren en blokkeren van pogingen om gevoelige gegevens vanuit het netwerk te exfiltreren.
Web Filtering: Het filteren op specifieke inhoud, zoals bekende kwaadaardige websites of bestandstypes die vaak malware bevatten, waardoor gebruikers beschermd worden tegen het per ongeluk downloaden van schadelijke inhoud.
E-mail Filtering: Oplossingen om phishing-pogingen, spam en kwaadaardige bijlagen te blokkeren. E-mail is een veelgebruikte vector voor malware-aanvallen.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging
Patch Management
Malware maakt vaak misbruik van bekende kwetsbaarheden in software, besturingssystemen en applicaties. Door het tijdig toepassen van beveiligingspatches worden deze kwetsbaarheden gedicht, waardoor het risico op een succesvolle malware-aanval afneemt.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Kwetsbaarhedenbeheer.
Hardening
Veel besturingssystemen en applicaties worden geleverd met extra diensten en functies die standaard zijn ingeschakeld, ook al zijn ze niet altijd nodig. Door deze onnodige diensten en functies te deactiveren, wordt het aanvalsoppervlak verminderd, waardoor er minder toegangspunten zijn voor malware.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging en Digitale werkplek.
Software whitelisting
Software whitelisting is een beveiligingstechniek die alleen software toestaat om te worden uitgevoerd die is opgenomen in een vooraf gedefinieerde lijst van vertrouwde software. Alle andere software wordt geblokkeerd. Malware is vaak ontworpen om zich te verspreiden door zich voor te doen als een legitieme applicatie. Door alleen software uit te voeren die is opgenomen in een whitelist, kan malware worden geblokkeerd voordat het een apparaat kan infecteren.
Software whitelisting kan echter te restrictief zijn en is alleen mogelijk op bedrijfsmiddelen die volledig onder het beheer van de organisatie vallen. Een alternatief is om een lijst van goedgekeurde en/of verboden software te publiceren en medewerkers te instrueren deze te volgen.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging en Digitale werkplek.
Toegangscontrole
Principe van least privileges: Door gebruikers alleen de minimale rechten te geven die ze nodig hebben en het gebruik van administratieve accounts te beperken, kan worden voorkomen dat malware volledige toegang krijgt tot informatie en systemen.
Multifactorauthenticatie: Een authenticatiemethode waarbij twee of meer verificatiemethoden worden gebruikt, maakt het moeilijker voor aanvallers om toegang te krijgen tot systemen, zelfs als ze in het bezit zijn van inloggegevens.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Toegangsbeveiliging.
Detectieve Maatregelen
Detectieve maatregelen zijn ontworpen om potentiële beveiligingsincidenten te identificeren, zodat de organisatie er snel op kan reageren. Een aantal maatrgelen met betrekking tot malware omvatten:
Log Monitoring en Analyse: Het verzamelen, opslaan en analyseren van logboeken van verschillende systemen en applicaties op zoek naar ongebruikelijke activiteiten. Helpt bij het identificeren van malware-activiteiten door het analyseren van ongebruikelijke patronen in logboeken.
Security Information and Event Management (SIEM): Een gecombineerde oplossing die real-time analyse van beveiligingswaarschuwingen levert door log- en event data te evalueren. Detecteert geavanceerde bedreigingen door gegevens uit verschillende bronnen te correleren.
Threat Intelligence: Informatie over de nieuwste bedreigingen en indicatoren van compromitering. Stelt de organisatie in staat om proactief te zoeken naar tekenen van nieuwe en opkomende malwarebedreigingen in het netwerk.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument IT Service management.
Response- en herstelmaatregelen
Response- en herstelmaatregelen zijn strategieën en acties die worden uitgevoerd na de detectie van een malware-infectie. Deze maatregelen zijn bedoeld om de impact van de infectie te beperken, de bedreiging te neutraliseren en de normale bedrijfsvoering te herstellen.
Het is hierbij belangrijk om een Incident Response Plan (IRP) op te stellen, een vooraf gedefinieerd en gestructureerd plan dat stapsgewijze instructies bevat over hoe te reageren op beveiligingsincidenten. Dit zorgt voor een snelle en gecoördineerde reactie om de impact van malware te minimaliseren en herstelprocessen te versnellen.
Het regelmatig maken van back-ups van kritieke gegevens en systemen en het testen van herstelprocedures stelt de organisatie in staat snel te herstellen van een malware-aanval door getroffen systemen te herstellen naar een bekende goede staat.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument ICT-continuïteit.
Mensgerichte maatregelen
Ontdanks alle technische maatregelen ter bescherming tegen malware is de medewerker vaak de zwakste schakel in de beveiligingsketen. Het implementeren van mensgerichte maatregelen is daarom absoluut noodzakelijk om het risico op malware-infecties aanzienlijk te verminderen.
Implementatiemaatregel
Training en Bewustwording: De organisatie MOET regelmatig training en bewustmakingscampagnes voorzien voor medewerkers over malware-dreigingen en hoe ze kunnen worden herkend en vermeden.
Simulatie van phishing-aanvallen: De organisatie MOET regelmatig phishing-aanvallen simuleren om medewerkers op een praktische manier te testen en hun weerstand tegen echte aanvallen te verhogen.
Procedures en richtlijnen: De organisatie MOET procedures en richtlijnen kenbaar maken naar de medewerkers en herhalen indien nodig.
Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument /wiki/spaces/ISMS/pages/6329501018 en Personeelsbeveiliging.
Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.
Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.
Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.
Type | Controle |
---|---|
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert: Lijst geinstalleerde applicaties en operaties systemen |
OPZET | Wanneer de afdeling kwetsbaarheden beheert: Systeem configuratie evaluatie |
OPZET | Wanneer de afdeling kwetsbaarheden beheert: Kwetsbaarheden beheer proces en procedure |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert: Kwetsbaarheden scan platform |
WERKING | Wanneer de afdeling kwetsbaarheden beheert: KPIs kwetsbaarheden beheer |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert: Systemen zijn voorzien van een virus en malware beheer pakket |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert: Abonnement op dreigings informatie |
WERKING | Wanneer de afdeling kwetsbaarheden beheert: KPIs incidenten door te verbeteren bescherming |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert: Schema periodieke evaluatie dreigingsinformatie |
WERKING | Wanneer de afdeling kwetsbaarheden beheert of mitigatie uitrolt: Patches worden uitgerold met inachtname van risico |
OPZET | Wanneer de afdeling kwetsbaarheden beheert of mitigatie uitrolt: Procedures bijwerken software en systemen |
OPZET | Wanneer de afdeling kwetsbaarheden beheert of mitigatie uitrolt: Procedure aanvraag omzeilen of uitschakelen maatregel |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert of mitigatie uitrolt: Continuiteitsplannen met specifieke stappen voor cyber aanvallen.
|
BESTAAN | Trainingsprogramma: omgaan met kwetsbaarheden personeel |
BESTAAN | Wanneer de afdeling kwetsbaarheden beheert of mitigatie uitrolt: Trainingsprogramma: omgaan met kwetsbaarheden incident behandelend personeel |
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Zie 3.2. Minimale maatregelen - ICT (maatregelen antimalware) voor meer informatie.
Processen
Oplossingen
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
---|---|---|---|---|---|
Beleid voor malwarebeveiliging | Fabrice Meunier | 3/11/2023 | 1.0 | IN REVIEW |