3.2.3.7. Antimalware als maatregel
Antimalware is een preventieve en een reactieve maatregel.
De letterlijke betekenis van malware is ‘kwaadaardige programma’s’. Antimalware is een verzamelwoord voor programma’s die een computer kan beschermen tegen malware.
Een oudere term voor antimalware is antivirus. Een virus is een bepaald type malware, namelijk een kwaadaardig programma dat zich op een bepaalde manier gedraagt en zich verspreidt. Het gedrag van een virus verschilt van een rootkit, adware, Trojaanse paarden, wormen, drive-by downloads, browser hijacker, spyware en andere malware-soorten. Het landschap van malware is zo complex geworden en de aanvalshoeken zo divers dat de term antivirus niet meer accuraat is. De term antimalware dekt de lading beter aangezien een huidig antiviruspakket (of antimalware-pakket) een computer moet beschermen tegen alle soorten malware.
Malware komt via allerlei kanalen het netwerk binnen. Aangezien meer en meer toestellen (bv. smartphones, laptops, tablets, mobiele media, …) aanloggen op het netwerk, vergroot het risico op infectie. Malware kan vanuit verschillende invalshoeken opereren, bv.:
Een bijlage bij een mail bericht kan geïnfecteerd zijn;
Een download van een website kan malware bevatten
Een USB of ander mobiel medium kan schadelijke code bevatten; of
Een programma kan malware bevatten.
Het is dan ook belangrijk om antimalware-producten te installeren op de belangrijkste toegangspoorten tot het netwerk:
Proxyserver;
Webserver;
Gebruikersapparatuur (PC, laptop, smartphone, tablet, …).
Een antimalware-software bevat niet alleen een complete malwarescanner die alle type malware kan detecteren en verwijderen, maar ook andere preventieve waarschuwingstechnologie om bv. phishingaanvallen en besmette websites te vermijden. Als een extra aandachtspunt geldt dat een antimalwaresoftware best ook ransomware moet kunnen verwijderen.
De grootste oorzaak van malware-besmetting is kwetsbaarheden in de software en hardware. Deze kwetsbaarheden kunnen via een exploit misbruikt worden, waardoor kwaadwillende personen de computer kunnen infecteren.
De gebruiker kan ook zelf de oorzaak zijn van een malware-infectie, bijvoorbeeld door malafide websites te bezoeken of door gratis software te installeren. Vaak is deze software extra voorzien van – door de gebruiker onvermoede – aanwezigheid van malware-code.
Antimalware-pakketten zijn gebaseerd op volgende principes:
Signature-gebaseerde-detectie: werkt met een signature database, waarin de gekende exploits zijn opgenomen.
Heuristische analyse: scant malware door te kijken naar het gedrag van de gescande code om zo nieuwe en onbekende malware waarvoor nog geen signature bestaat, op te sporen. Wanneer het gedrag overeenkomt met gedrag van malware, neemt de scanner aan dat het om malware gaat.
Sandboxing: werkt door middel van het uitvoeren van de verdachte code in een afgeschermde omgeving (de sandbox). Door de code uit te voeren in een sandbox worden de andere processen niet verstoord.
Zeker wanneer gewerkt wordt met signature-gebaseerde-detectie is het van groot belang dat steeds de laatste versie van de malware database voorhanden is. Periodiek opladen van de laatste versie is hoe dan ook de boodschap.
Antimalware-pakketten voorzien in twee kernacties:
Detectie van malware; en
Reactie: het melden aan een beheerder en/of gebruiker, het verwijderen of in quarantaine plaatsen van het geïnfecteerd bestand.
Het dient opgemerkt te worden dat versleutelde data niet kan worden gescand op malware. Om dit te kunnen doen, moet de data eerst ontcijferd worden. Dit is een bijkomende reden om niet alleen malware scanners op de gateways en servers te plaatsen, maar ook op gebruikersapparatuur. Bij de plaatsing van antimalware-componenten moet dus rekening gehouden worden met al dan niet versleutelde trafiek.