• FINAAL CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Malwarebeveiliging

    Een robuuste beveiliging tegen malware is van essentieel belang om informatie en informatiesystemen te beschermen, naast preventieve, detectieve en reactieve maatregelen is ook een goede bewustmaking van medewerkers hierin onmisbaar.

    Inhoud

     

     

    Doel

     

    Malware is een verzamelnaam voor kwaadaardige software die is ontworpen om schade toe te brengen aan computersystemen en netwerken. Cybercriminelen gebruiken malware om gegevens te stelen, systemen te verstoren of toegang te krijgen tot vertrouwelijke informatie. De potentiële schade en risico's van malware zijn aanzienlijk. Malware kan leiden tot gegevensverlies, bedrijfsonderbrekingen en reputatieschade. Daarom is het van cruciaal belang dat de organisatie de nodige maatregelen neemt om zich tegen malware te beschermen.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.04

      We beschermen informatie en bedrijfsmiddelen tegen malwaredreigingen.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

     

    Malware

     

    Malware is een verzamelnaam voor software die is ontworpen om schade te veroorzaken aan een computersysteem of netwerk. De term is een samentrekking van "malicious software" (kwaadaardige software). Malware kan worden gebruikt om gegevens te stelen, systemen te verstoren of toegang te krijgen tot gevoelige informatie.

    Er zijn veel verschillende soorten malware, een aantal van de meest voorkomende vormen:

    • Virus: Stukjes code die zich kunnen vermenigvuldigen en verspreiden naar andere bestanden of systemen. Ze kunnen schadelijk zijn door bestanden te versleutelen, gegevens te verwijderen of systemen te lam te leggen.

    • Worm: Een soort virus dat zichzelf kan verspreiden via netwerken. Ze kunnen schadelijk zijn door bandbreedte te verbruiken, systemen onbruikbaar te maken of gevoelige informatie te stelen.

    • Trojaans paard (Trojan): Kwaadaardige programma's die zich voordoen als legitieme programma's. Ze kunnen schadelijk zijn door toegang te krijgen tot systemen, gegevens te stelen of schadelijke activiteiten uit te voeren.

    • Spyware: Een soort malware die wordt gebruikt om informatie te verzamelen over gebruikers zonder hun toestemming. Deze informatie kan worden gebruikt voor marketingdoeleinden of voor kwaadaardige doeleinden.

    • Adware: Een soort malware die advertenties op systemen plaatst. Adware kan ongewenst zijn en kan ook worden gebruikt om malware te verspreiden.

    • Ransomware: Een soort malware die systemen vergrendelt of versleutelt en losgeld eist om ze te ontgrendelen. Ransomware kan zeer schadelijk zijn, omdat het kan leiden tot gegevensverlies of bedrijfsonderbrekingen.

    • Zero-day malware: Zero-day malware is malware die misbruik maakt van een kwetsbaarheid in software die nog niet bekend is bij de softwareontwikkelaar. Deze malware is bijzonder moeilijk te detecteren en te verwijderen.

    • Rootkit: Een set softwaretools die een onbevoegde gebruiker beheerders- of rootniveau toegang tot een computer of netwerk geeft.

    • Botnet: Een netwerk van geïnfecteerde computers die onder controle staan van een aanvaller en gebruikt kunnen worden voor malafide activiteiten zoals DDoS-aanvallen.

    • Keylogger: Software of hardware die toetsaanslagen van een gebruiker registreert, vaak met kwaadaardige bedoelingen.

    • Fileless malware: Maakt gebruik van legitieme programma's om kwaadaardige activiteiten uit te voeren, waardoor het moeilijker wordt om te detecteren.

     

    Elke vorm van malware heeft zijn eigen unieke kenmerken en werkingswijze en kan op verschillende manieren het netwerk binnenkomen, bijvoorbeeld via:

    • E-mailbijlagen: Malware kan worden verspreid via e-mailbijlagen die zijn gekoppeld aan phishing-e-mails. Deze e-mails lijken vaak afkomstig te zijn van een betrouwbare bron, zoals een bank of een overheidsinstantie. Als een gebruiker op de bijlage klikt, wordt de malware op het apparaat geïnstalleerd.

    • Downloads: Malware kan worden verspreid via downloads van websites, torrents of andere online bronnen.

    • USB-sticks en andere mobiele media: Malware kan worden verspreid via USB-sticks of andere mobiele media die zijn aangesloten op een computer.

    • Programma's: Malware kan worden verspreid via programma's die zijn gedownload van websites, torrents of andere online bronnen (Bvb. appstore).

    Aangezien bovendien meer en meer toestellen op het netwerk worden aangesloten, zoals smartphones, laptops, tablets en mobiele media, IoT, neemt het risico op infectie toe.

     

    Bescherming tegen malware

     

    Er is een breed scala aan maatregelen die bijdragen aan een betere bescherming tegen malware. Het is belangrijk om zich ervan bewust te zijn dat geen enkele maatregel malware volledig kan voorkomen. Daarom is het essentieel om een gelaagde verdedigingsstrategie te hanteren, waarbij meerdere beveiligingsmaatregelen samenwerken om potentiële bedreigingen te bestrijden en te minimaliseren.

    Niet alle van deze beveiligingsmaatregelen worden in detail in dit beleid besproken, maar voor de volledigheid worden ze hieronder wel opgesomd, met waar nodig een referentie naar het desbetreffende beleidsdocument.

    Antimalware-oplossingen

    Een antimalware-oplossing is een softwareprogramma dat specifiek is ontworpen om kwaadaardige software of malware te detecteren, te blokkeren en te verwijderen. Dit staat in contrast met een traditionele antivirus-oplossing die voornamelijk gericht is op het detecteren en verwijderen van virussen, en daardoor niet voldoende is voor het bestrijden van diverse malwarevarianten.

    Ontwerp van malwarebescherming

    Er zijn heel wat factoren om rekening mee te houden bij het opzetten van een effectieve malwarebescherming, het is daarom belangrijk om bij de keuze en positionering van verschillende antimalware-oplossingen hier voldoende bij stil te staan.

    Voor optimale bescherming tegen malware is het cruciaal om antimalware-oplossingen te implementeren op sleutelpunten binnen het netwerk zoals:

    • E-mail gateway;

    • Proxyserver;

    • Webserver;

    • Applicatieserver;

    • Eindgebruikersapparatuur (zoals desktops, laptops, smartphones, tablets, …).

    Antimalware-oplossingen kunnen verschillende methodes gebruiken om malware te detecteren, te blokkeren en te verwijderen:

    • Signature-gebaseerde detectie (patroondetectie): Identificeert malware op basis van een bekende set van schadelijke code. Deze methode is afhankelijk van regelmatige updates van de malware-signaturendatabase.

    • Heuristische analyse: In plaats van te vertrouwen op bekende malware signatures, evalueert deze methode het gedrag van bestanden en zoekt naar patronen (zoals manier van verpakken van code) om te bepalen of ze schadelijk zijn. Hierdoor kan het ook nieuwe of onbekende malwarevarianten detecteren.

    • Sandboxing: Voert bestanden uit in een geïsoleerde omgeving om hun gedrag te observeren zonder het daadwerkelijke systeem in gevaar te brengen.

    • Real-time bescherming: Monitort het systeem actief op verdachte activiteiten en grijpt in zodra een potentieel schadelijk proces wordt gestart.

    • Cloud-gebaseerde detectie: Maakt gebruik van cloudgebaseerde analyse om nieuwe malwarevarianten te detecteren, vaak in combinatie met machine learning.

    • Behavioural Blocking: Blokkeert bestanden of processen die gedrag vertonen dat typisch is voor malware (bestanden wijzigen, communicaties opzetten met externe servers), zelfs als het bestand zelf niet is geïdentificeerd als schadelijk.

    • Fileless Malware Detectie: Detecteert malware die in het geheugen wordt uitgevoerd en traditionele bestandssystemen omzeilt.

    Installatie en configuratie

    De gekozen antimalware-oplossingen dienen aan volgende minimale eisen te voldoen.

    Functionaliteit
    Toepassingsgebied
    Configuratie en scanning
    Beheer
    Updates

    Netwerkbeveiliging

    Een aantal netwerkbeveiligingstechnieken als bijkomende beveiligingsmaatregel tegen malware:

    • Firewalls: Een firewall fungeert als een barrière tussen het vertrouwde interne netwerk en onvertrouwde externe netwerken. Het reguleert het netwerkverkeer en voorkomt ongeautoriseerde toegang door gebruik te maken van vooraf bepaalde beveiligingsregels.

    • Netwerk segmentatie: Het segmenteren (opdelen) van het netwerk, betekent dat als malware een deel van het netwerk infecteert, het niet noodzakelijkerwijs in staat is om zich naar andere delen van het netwerk te verspreiden. Bijvoorbeeld door middel van VLAN’s.

    • Netwerktoegangscontrole (NAC): Beperkt de toegang tot het netwerk door apparaten te controleren vooraleer ze toegang krijgen en zorgt ervoor dat ze voldoen aan de beveiligingsstandaarden. NAC helpt bij het voorkomen dat geïnfecteerde of niet-conforme apparaten het netwerk betreden en potentiële bedreigingen verspreiden.

    • Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS): deze oplossingen monitoren het netwerkverkeer en identificeren en reageren op ongewone verkeerspatronen of gedrag dat kan wijzen op een malware-infectie of een poging daartoe.

    • Preventie van data-exfiltratie (DLP Data Loss Prevention): Naast het voorkomen van ongewenste inkomende verbindingen, kunnen bepaalde oplossingen ook helpen bij het detecteren en blokkeren van pogingen om gevoelige gegevens vanuit het netwerk te exfiltreren.

    • Web Filtering: Het filteren op specifieke inhoud, zoals bekende kwaadaardige websites of bestandstypes die vaak malware bevatten, waardoor gebruikers beschermd worden tegen het per ongeluk downloaden van schadelijke inhoud. Bijvoorbeeld door middel van een proxy.

    • E-mail Filtering: Oplossingen om phishing-pogingen, spam en kwaadaardige bijlagen te blokkeren. E-mail is een veelgebruikte vector voor malware-aanvallen.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging.

    Patch management

    Malware maakt vaak misbruik van bekende kwetsbaarheden in software, besturingssystemen en applicaties. Door het tijdig toepassen van beveiligingspatches worden deze kwetsbaarheden gedicht, waardoor het risico op een succesvolle malware-aanval afneemt.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Kwetsbaarhedenbeheer.

    Hardening

    Veel besturingssystemen en applicaties worden geleverd met extra diensten en functies die standaard zijn ingeschakeld, ook al zijn ze niet altijd nodig. Door deze onnodige diensten en functies te deactiveren, wordt het aanvalsoppervlak verminderd, waardoor er minder toegangspunten zijn voor malware.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging en Digitale werkplek.

    Software allowlisting

    Software allowlisting is een beveiligingstechniek die alleen software toestaat om te worden uitgevoerd die is opgenomen in een vooraf gedefinieerde lijst van vertrouwde software. Alle andere software wordt geblokkeerd. Malware is vaak ontworpen om zich te verspreiden door zich voor te doen als een legitieme applicatie. Door alleen software uit te voeren die is opgenomen in een allowlist, kan malware worden geblokkeerd voordat het een apparaat kan infecteren.

    Software allowlisting kan echter te restrictief zijn en is alleen mogelijk op bedrijfsmiddelen die volledig onder het beheer van de organisatie vallen. Een alternatief is om een lijst van goedgekeurde en/of verboden software te publiceren en medewerkers te instrueren deze te volgen.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Infrastructuurbeveiliging en Digitale werkplek.

    Toegangscontrole

    • Principe van least privileges: Door gebruikers alleen de minimale rechten te geven die ze nodig hebben en het gebruik van administratieve accounts te beperken, kan worden voorkomen dat malware volledige toegang krijgt tot informatie en systemen.

    • Multifactorauthenticatie: Een authenticatiemethode waarbij twee of meer verificatiemethoden worden gebruikt, maakt het moeilijker voor aanvallers om toegang te krijgen tot systemen, zelfs als ze in het bezit zijn van inloggegevens.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Toegangsbeveiliging.

    Detectieve maatregelen

    Detectieve maatregelen zijn ontworpen om potentiële beveiligingsincidenten te identificeren, zodat de organisatie er snel op kan reageren. Een aantal maatregelen met betrekking tot malware omvatten:

    • Log Monitoring en Analyse: Het verzamelen, opslaan en analyseren van logboeken van verschillende systemen en applicaties op zoek naar ongebruikelijke activiteiten. Helpt bij het identificeren van malware-activiteiten door het analyseren van ongebruikelijke patronen in logboeken.

    • Security Information and Event Management (SIEM): Een gecombineerde oplossing die real-time analyse van beveiligingswaarschuwingen levert door log- en event data te evalueren. Detecteert geavanceerde bedreigingen door gegevens uit verschillende bronnen te correleren.

    • Threat Intelligence: Informatie over de nieuwste bedreigingen en indicatoren van compromittering. Stelt de organisatie in staat om proactief te zoeken naar tekenen van nieuwe en opkomende malwarebedreigingen in het netwerk. Bijvoorbeeld Indicators of Compromise (IoC).

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument IT service management.

    Response- en herstelmaatregelen

    Response- en herstelmaatregelen zijn strategieën en acties die worden uitgevoerd na de detectie van een malware-infectie. Deze maatregelen zijn bedoeld om de impact van de infectie te beperken, de bedreiging te neutraliseren en de normale bedrijfsvoering te herstellen.

    Het is hierbij belangrijk om een Incident Response Plan (IRP) op te stellen, een vooraf gedefinieerd en gestructureerd plan dat stapsgewijze instructies bevat over hoe te reageren op beveiligingsincidenten. Dit zorgt voor een snelle en gecoördineerde reactie om de impact van malware te minimaliseren en herstelprocessen te versnellen.

    Het regelmatig maken van back-ups van kritieke gegevens en systemen en het testen van herstelprocedures stelt de organisatie in staat snel te herstellen van een malware-aanval door getroffen systemen te herstellen naar een bekende goede staat.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument ICT-continuïteit.

    Mensgerichte maatregelen

    Ondanks alle technische maatregelen ter bescherming tegen malware is de medewerker vaak de zwakste schakel in de beveiligingsketen. Het implementeren van mensgerichte maatregelen is daarom absoluut noodzakelijk om het risico op malware-infecties aanzienlijk te verminderen.

    Implementatiemaatregel

    • Training en bewustwording: De organisatie MOET regelmatig training en bewustmakingscampagnes voorzien voor medewerkers over malware-dreigingen en hoe ze kunnen worden herkend en vermeden.

    • Simulatie van phishing-aanvallen: De organisatie MOET regelmatig phishing-aanvallen simuleren om medewerkers op een praktische manier te testen en hun weerstand tegen echte aanvallen te verhogen.

    • Procedures en richtlijnen: De organisatie MOET procedures en richtlijnen kenbaar maken naar de medewerkers en herhalen indien nodig.

    Voor meer informatie over de toepasselijke implementatiemaatregelen en aanbevelingen, raadpleeg het beleidsdocument Personeelsbeveiliging.

     

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

    Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

    Zie 3.2. Minimale maatregelen - ICT (maatregelen antimalware) voor meer informatie.

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Beleid voor malwarebeveiliging

    Fabrice Meunier

    3/11/2023

    1.0

    concept

     

    Beleid voor malwarebeveiliging

    Fabrice Meunier

    14/06/2024

    1.0

    finaal concept

    feedback van reviewers verwerkt

    Dit is een document voor publiek gebruik.