Ooit was het makkelijk: een cybercrimineel stuurt een besmet bestand naar het slachtoffer, in de hoop dat hij of zij het uitvoert. Een beetje antivirus weet dit echter te onderscheppen omdat deel van de code voorkomt in een malwaredatabase, en houdt deze tegen. Omdat securityleveranciers hun werk steeds meer delen, kunnen gebruikers ook steeds meer putten uit omvangrijke databases.
Cybercriminelen zijn net vliegtuigkapers
In stukken binnensmokkelen
Maar anno 2019 werkt dit soort verstuurde malware geniepiger, zo zegt Luc Eeckelaert, Regional Sales Director EMEA North bij SonicWall. “Ze zetten slechts een klein deel van de code in het bestand”, legt hij uit. “Dat deel is onherkenbaar als malware, en het doet ook niet direct iets kwaadaardigs. Wat het wel doet, is dat het contact maakt met servers en andere delen van de malware naar binnen haalt, via html en versleutelde https bijvoorbeeld. De code wordt vervolgens direct in geheugen uitgevoerd, wat heel moeilijk te detecteren is.”
De methode lijkt op hoe vliegtuigkapers te werk kunnen gaan: ieder smokkelt een deel van een wapen voorbij de douane, om het in het vliegtuig te monteren. Het zijn dit soort malwareontwikkelingen waarom SonicWall sinds begin vorig jaar inzet op zijn beveiligingsplatform. “We combineren al onze oplossingen en zetten het onder één paraplu: Capture Security Center”, zegt Eeckelaert.
“Het bevat onder meer Capture Advance Threat Protection, waarbij alle oplossingen op het platform dezelfde technologie delen.” Daaronder zitten ook weer technologieën als Secure Mobile Access, Secure Wireless, e-mailsecurity en Cloud Application Security (CAS) voor het beveiligen van cloudapplicaties als Office 365, G Suite en Dropbox.
Patenten
“Capture Advance Threat Protection handelt enerzijds artifacts en signatures ter plekke af, dus op de traditionele manier”, legt Eeckelaert uit. “Maar anderzijds reageert de technologie ook op verdachte acties, dingen die een pdf of word-document niet hoort te doen. Dat onderscheppen we dan en sturen het naar een sandboxomgeving voor tests met verschillende engines.” Daar bovenop voert SonicWall ook een eigen unieke, gepatenteerde techniek om de meest geniepige malware op te sporen. “We hebben patent op Real Time Deep Memory Inspection (RTDMI), waardoor we ieder jaar duizenden dreigingen kunnen vinden die eerder niet waren waargenomen”, zegt Eeckelaert. “Het kijkt direct in het geheugen. Een excelbestand doet bij uitvoer altijd hetzelfde, dus bij afwijkingen weet je dat er iets mis is.” Zo is SonicWall ook in staat om zogenaamde side-channel attacks, misbruik van imperfecties in computercomponenten, te blokkeren, aldus Eeckelaert.
“Partners krijgen door de platformaanpak de mogelijkheid om meerdere beveiligingstechnologieën onder te brengen onder één look and feel, of “Single Pane of Glass”, zegt Eeckelaert. “Wat voorheen niet duidelijk en niet geïntegreerd was, is dat met Capture Security Center wel. Dat helpt ze hun klanten te overtuigen van het nut van deze oplossing.”
[Dit artikel is eerder gepubliceerd in het Security Dossier 2019]