Vorige keer bespraken we welke beveiligingstechnologieen worden overgewaardeerd, aldus bepaalde experts. Deze keer komen we hierop terug. Experts noemen nu technologieën die volgens hen te weinig aandacht krijgen. Niet helemaal onverwacht zit er overlap in deze twee lijsten.

Whitelisting

Bedrijven maken zich steeds meer zorgen over het beveiligen van applicaties, omdat het aantal zakelijke en persoonlijke programma’s snel groeit. Hackers proberen alles uit wat ze kunnen, van online bankierapplicaties tot populaire spelletjes op sociale netwerken als Facebook. De Web Application Firewall is een van de technologieën die daar iets aan moet doen. Een van de mogelijkheden van die firewall die vaak over het hoofd wordt gezien is whitelisting. Daarmee laat je alleen verkeer toe waarvan je weet dat je het kunt vertrouwen, zodat je de applicaties effectief afschermt tegen de boze buitenwereld.

Andy Willingham, engineer bij E-chx Inc. denkt dat whitelisting en URL filtering te snel worden afgedaan als te lastig. “De meeste mensen denken dat het moeilijk is om uit te maken wat mensen wel en wat ze niet kunnen draaien en waar ze naartoe mogen”, zegt hij. Wij hebben het punt bereikt waarop we mensen niet meer gewoon hun gang kunnen laten gaan. Te veel mensen zeggen dat we gebruikers maar alles moeten toestaan en elk programma moeten laten downloaden, omdat we ze anders niet meer voor ons willen werken. Maar tot de tijd dat virtuele omgevingen allemaal in hun eigen virtuele sessie draaien, en kunnen worden schoongemaakt als dat nodig is, moeten we toch echt verkeer gaan afsluiten.

Chris Young, vice president van ISM Inc. zegt dat de inconsistentie in de managementmogelijkheden het grootste nadeel is van deze technologie. Maar dat is aan het veranderen, stelt hij. “Op dit moment is het geen probleem meer en nieuwe programma’s kunnen worden toegevoegd met minimale inspanning en toch op een veilige manier. Het moet niet worden gezien als het afsluiten van het systeem en het inperken van de vrijheid van de gebruiker”, zo gaat hij verder, “maar als een wijze les voor de admin en de gebruiker. Die worden nu gedwongen om te kijken of het verantwoord is wat ze aan het doen zijn en of het overeenkomt met de policies van het bedrijf.”

Tegelijkertijd beschermt de technologie het netwerk tegen onverstandig gedrag van de gebruiker, terwijl de executables die nodig zijn beschikbaar blijven. “Operatie Aurora was een van de vele voorbeelden waar whitelisting had kunnen voorkomen dat hackers tot het systeem doordrongen, zelfs als de gebruiker ertoe was verleid om op een link te klikken die naar een website voerde waar automatisch malware werd gedownload op het systeem”, zegt hij.

Data encrypters en/of shredders

Veel mensen merkten op dat het nogal wat voeten in de aarde heeft om de data die men absoluut MOET opslaan te beveiligen, en om de data die niet meer nodig is kwijt te raken. Die laatste data is juist wat vaak wordt gehackt, of wat de slechteriken fysiek in handen krijgen. Voor de data die nog niet afgestoten kan worden, benadrukken de meeste experts het belang van encryptie. Wat betreft de fysieke dragers met data die weg kan, wordt de gewone shredder als onderschatte technologie aangeraden. Als de dragers daar doorheen zijn gegaan, dan kan echt niemand er meer iets mee en komt het ook niet op straat te liggen.

CPU stress testers

Het concept van CPU cache poisoning kreeg vorig jaar ineens de aandacht toen Joanna Rutkowska van Invisable Things Lab een aantal manieren publiceerde om Intel processoren te hacken met cache mechanismen. Een van de doelen van deze actie was om aandacht te vragen voor het gebrek aan goede firmwarebeveiliging.

Rutkowska beschreef onder andere manieren om CPU cache poisoning te misbruiken om te kunnen lezen en schrijven in het normaal gesproken beveiligde SMRAM geheugen. Invisible Things bedacht twee werkende exploits. Een om de inhoud van SMRAM kwijt te raken en de ander voor het uitvoeren van willekeurige code in SMRAM. De consequenties daarvan was dat criminelen daarmee in staat waren om rootkits nog dieper in het systeem in te bedden, dat ze hypervisors aan konden vallen en dat ze beveiligingen in de kernel van het OS konden omzeilen.

“Het lijkt erop dat de huidige staat van de firmwarebeveiliging, zelfs in het geval van gerenommeerde fabrikanten als Intel, nogal onvoldoende is”, zegt Rutkowska in haar rapport.

Botnetonderzoeker Kandy Zabka zegt dat een diagnostische CPU stress utility een uitstekende tool is om de exacte geheugenadressen die gebruikt worden door de cashe posoing exploit uit het geheugen te flushen. “Als die tool meermalen wordt gedraaid, dan wordt duidelijk welke blocks precies betrokken zijn”, zegt Zabka.

Firewalls en antivirus

In het vorige verhaal werden firewalls en antivirus nog gezien als overgewaardeerd. De experts klagen er al jaren over dat antivirus verouderd is, omdat de producenten de malwareschrijvers niet bij kunnen houden met antivirus definities. Een aantal experts schepten er zelfs over op dat ze antivirus helemaal aan de kant hebben gezet.

Maar zoals dat gaat met technologie die kritiek te verduren krijgt, er is altijd wel iemand die de verdediging op zich neemt. Firewalls en antivirus krijgen niet meer de waardering die ze vroeger kregen, maar toch worden ze door velen beschouwd als essentiële onderdelen van een goede beveiliging.

“Firewalls, antivirus en patch-oplossingen zou ik rekenen onder de belangrijkste technologieën voor de beveiliging in onze organisatie”, zegt Mark Fullbrook, een manager van Engelse en Ierse afdelingen van Cyber-Ark Software. “Maar”, voegt hij daaraan toe, “worden ze eigenlijk wel ondergewaardeerd? Hoeveel bedrijven maken er GEEN gebruik van?”

Bron: Techworld