De afgelopen kwart eeuw is het oorlog tussen kwaadwillende programmeurs en securityprofessionals. Geen van beide partijen wenst de strijd op te geven: na iedere nieuwe tegenmaatregel weten hackers it-afdelingen weer nerveus te maken.

“Bijna alle malware komt binnen via internet en dat terwijl we juist steeds meer doen op het web", zegt Gartner-analist Peter Firstbrook. Hij doelt op het bedrijfsleven, dat in toenemende mate voor zaken afhankelijk is van sites als Salesforce.com. Volgens Firstbrook is echter 60 procent van alle openbaar toegankelijke websites besmet met malware. Bedrijven moeten dus nog intelligentere systemen ontwikkelen om zich tegen deze bedreiging te wapenen.

Intussen werken 's werelds beste security-onderzoekers - zoals Symantec, VeriSign, McAfee, Kaspersky en Kindsight - aan innovatieve tegenmaatregelen die binnenkort zullen worden gebruikt in datacenters. Hier volgen vijf manieren waarop veiligheidsexperts de bedreiging van cybercriminelen willen aanpakken:

1. Houdt de tweets van hackers in de gaten om verdachte sites te herkennen

In de film Minority Report gebruiken agenten 'voorspellende' technieken om te voorkomen dat er een moord plaatsvindt. In het werkelijke leven onderzoeken Verisign Labs en de Purdue University een technologie waarmee voorspellende analyses besmettingen kunnen voorkomen, zodat bedrijven een stap vóór blijven op hackers.

Daarbij gaat het om het scannen van de publiek toegankelijke Twitter-activiteiten van hackers en het vergelijken van discussies over specifieke domeinen met bestaande databases van dreigingen. Hierdoor kan een 'veiligheidsreputatie' worden gehecht aan bepaalde sites. Zo kunnen hackers twitteren over het opzetten van een nieuwe website om gebruik te maken van een schandaal in het nieuws. Zodra de site is geregistreerd, en de code verschijnt na de twisterdiscussie, kan de site als malware worden aangemerkt.

“We maken een koppeling tussen gebruikers en applicaties", zegt Burt Kaliski van Verisign, die uitlegt hoe deze nieuwe techniek via gedragsonderzoek hackers kan opsporen.

Voor bedrijven kan dit onderzoek betekenen dat er een hulpmiddel beschikbaar komt dat in een handomdraai websites kan selecteren op 'reputatie'. Die selectie kan veranderen op basis van de analyses van tweets.

Volgens Firstbrook zijn deze technieken belangrijk. Als je immers een site hebt gevonden van een malwareleverancier, dan kun je meer sites blootleggen en een database aanleggen over de activiteiten van kwaadwillenden. De tool WebPulse van Blue Coat Systems gebruikt een vergelijkbare 'reputatie analyse'-techniek om domeinregistraties van bekende hackers te vinden. Firstbrook stelt echter dat de meeste securitylabs nu al chatrooms in de gaten houden en dat Verisign “de wereldwijde problemen niet zal oplossen door Twitter te monitoren."

Rob Enderle, analist van de Enderle Group, noemt deze preventieve waarschuwingssystemen waardevol voor bedrijven, omdat ze zich dan kunnen voorbereiden op een eventuele aanval, zeker als het gaat om een Stuxnet-achtige bedreiging.

2. Controleer uitgaand netwerkverkeer op besmette clients

Volgens de traditionele aanpak van it-veiligheid, controleer je de eindpunten op ongewenste bezoekers: malware, spyware en virussen die de bedrijfsvoering kunnen schaden. Veel grote organisaties hebben echter ondervonden dat je eindpunten beter kunt scannen op inkomend en uitgaand verkeer. Op die manier kun je met een tool aanvallen voorkomen, evenals uitgaande signalen van met malware besmette clients. Als de uitgaande activiteit is gemarkeerd, kunnen it-beheerders de besmettingen identificeren en verwijderen.

Kindsight Security Labs, opgericht in november, onderzoekt een methode om uitgaand verkeer te scannen om zo uit te vinden welke clients besmet zijn. Nieuw aan die aanpak is dat de sensors van de applicatie gebruikmaken van 16-, 32- of zelfs 64-processorkernen en een 10GB switch om netwerkverkeer voor breedbandaanbieders te controleren. Die sensors zijn nu beschikbaar als product voor isp's, maar het testen van uitgaand verkeer wordt nog nader onderzocht. De toepassing kan 250.000 gebruikers per eindpunt aan en als Kindsight er acht installeert, is er zelfs ondersteuning voor een miljoen gebruikers.

“We controleren verkeer en dynamische ip-toewijzingen en kunnen zo de abonnee achterhalen", zegt Kevin McNamee van Kindsight Security Labs. De provider kan dan contact opnemen met de abonnee over mogelijke besmettingen van zijn systeem. Dankzij dit netwerksysteem kan de provider sneller reageren en stappen ondernemen om een dreiging de kop in te drukken.

Het controleren van verdachte activiteiten leidt er meestal toe dat de schuldige wordt gevonden op het clientapparaat. “Deze technologie kan de uitgaande communicatie in de gaten houden en zien of een client is besmet. Vervolgens kun je uitzoeken wat er aan de hand is", aldus Gartner-analist Firstbrook.

Volgens Firstbrook is er echter wel een probleem voor grotere organisaties. Dikwijls zijn het netwerkteam en de desktop-afdeling daar gescheiden. Het ene team is verantwoordelijk voor het netwerkverkeer en de andere controleert clientapparaten op malware, maar deze afzonderlijke teams werken niet nauw samen.

Volgens Enderle zal het scannen van uitgaand verkeer steeds noodzakelijker worden voor grotere ondernemingen, vanwege de opkomst van Android-apparaten, die kwetsbaarder zouden zijn voor aanvallen.

3. Creëer een gemeenschappelijke database

Een bekend probleem met software voor virusdetectie is dat de databestanden aanvallen van nieuwe virussen vaak niet kunnen herkennen. Om uit te vinden of onbekende code virussen bevat of niet, heeft Kaspersky Lab een technologie ontwikkeld waarbij een xml-database onderzoeksgegeven combineert van verschillende labs, databases, antivirus modulen en andere bronnen.

Feitelijk is op die manier een betrouwbare tool ontwikkeld voor nieuwe software en websites. De xml zal 'open source' zijn, zodat alle labs data kunnen toevoegen en gebruiken. “De gegevens over onbekende objecten, zoals executables of url's, worden gehaald uit verschillende bronnen, zoals computers van gebruikers bij wie antivirussoftware is geïnstalleerd", zegt Oleg Zaitsev, de onderzoeker die het systeem heeft ontwikkeld. “Als we ze hebben verzameld, dan sturen we ze naar de verschillende diensten die met eenzelfde format de data bekijken. De diensten vellen op basis van de data een oordeel of het onbekende bestand malware is of niet."

Firstbrook merkt op dat het concept om betrouwbaarheid van nieuwe apps en sites te delen, al veel wordt gebruikt bij de labs. Het nieuwe onderzoek moet dat proces formaliseren. De labs zullen volgens Firstbrook de eerste code schrijven om een aanval te bestrijden en die code zelfs doorgeven aan andere labs. Met een standaard xml-database zal dit proces soepeler en effectiever worden.

Het onderzoek heeft grote gevolgen voor de manier waarop bedrijven hun veiligheid organiseren. Zo zegt Zaitsev dat grote organisaties op eenzelfde manier code kunnen verzamelen, zelfs van concurrerende bedrijven, en dan onderzoeken of onmiddellijke actie nodig is of een lange termijn analyse.

4. Blokkeer rootkit-aanvallen in de chip

Een van de gevaarlijkste aanvallen op bedrijven komt van een rootkit programma dat draait voordat het besturingssysteem is geladen. McAfee Labs heeft een nieuwe analysetool ontwikkeld, DeepSafe, die een scan uitvoert van de kernel en andere code die wordt geladen bij het opstarten. Het nieuwe product DeepDefender is de volgende stap in de onderzoeksfase. De laatste rootkit scanmethoden worden verbonden met de ontwikkeling van processors bij Intel. Deze stap is logisch voor McAfee, aangezien deze securityleverancier onderdeel is geworden van chipmaker Intel.

“Bij Intel streven we naar computers zonder zorgen", zegt Vimal Solanki van McAfee, die droomt van de dag waarop alle tablets, notebooks, smartphones en desktop computers beveiligd worden op het niveau van de chip.

Firstbrook noemt DeepSafe een ambitieus project. Groot voordeel boven andere rootkit scanners is dat DeepSafe in real-time werkt, zodat aanvallen worden tegengehouden voordat het te laat is. Volgens Firstbrook heeft dat ook een nadeel: het systeem werkt alleen op Intel processors en uitsluitend met Windows 7.

Voor het bedrijfsleven is detectie op het niveau van de kernel belangrijk, zegt Firstbrook. Budgethouders moeten er wel rekening mee houden, dat zulke bescherming niet goedkoop is. Bovendien kunnen de analyses leiden tot een schrikbarend aantal false positives.

5. Voorkom dat medewerkers bedrijfsdata lekken in de cloud

Een van de meest ambitieuze onderzoeksprojecten draagt de codenaam O3 (Ozone). Symantec Research Labs wil hiermee een oplossing bieden voor een nijpend probleem voor bedrijven: dankzij de opkomst van web-based applicaties als Salesforce.com en Dropbox delen medewerkers bestanden met vertrouwelijke informatie, zonder veiligheidsmaatregelen te nemen.

O3 is een 'single-sign-on'-proces waarmee medewerkers op afstand toegang krijgen tot apps op het web. Iedereen kan hiermee vanuit huis of een café toestemming krijgen om op het netwerk te gaan. Dit heeft twee voordelen. Gebruikers zijn geautoriseerd en hun gedeelde data kan worden gevolgd, maar tegelijkertijd hebben medewerkers toegang tot de online diensten die ze nodig hebben voor hun werkzaamheden.

Rob Koeten, leider van het O3 project bij Symantec, noemt deze bescherming 'een nieuwe ozonlaag boven de cloud'. Volgens hem kunnen medewerkers hierdoor hun iPads en andere mobiele apparaten gebruiken op het bedrijfsnetwerk en informatie in de cloud delen. Bedrijven zouden die apparaten en diensten niet moeten tegenhouden en O3 voorziet hen van een extra beveiligingslaag, De it-afdeling kan de data analyseren en toegang blokkeren van bedrijfsgevoelige informatie, terwijl andere soorten data wel wordt toegelaten.

“Draagbare apparaten worden over het algemeen als onveilig beschouwd en O3 legt er een veiligheidslaag op", zegt Enderle. Belangrijker is volgens hem de mogelijkheid om Wikileaks-achtige gebeurtenissen te beperken door het lekken van deze informatie buiten het bedrijf aan banden te leggen.

Firstbrook noemt O3 een 'Dropbox voor het bedrijfsleven', aangezien het delen van content eveneens eenvoudig is. Achter de schermen kan de it-afdeling echter toegang tot sommige diensten, zoals Facebook, blokkeren, terwijl andere juist worden toegelaten.