Achtergrondartikel


Arthur van Uden, Check Point:

‘SandBlast Agent toont wat er aan de hand is’

Uit diverse onderzoeken blijkt dat op het moment van detectie malware vaak al maanden op endpoints aanwezig is. “En op het moment van detectie ben je nog steeds stekeblind”, zo stelt Arthur van Uden, Country Manager Benelux bij Check Point Software Technologies. Om het zicht weer terug te krijgen – en de incident-response te versnellen – introduceerde Check Point in februari van dit jaar SandBlast Agent.

Malware kan op diverse manieren een organisatie binnenkomen, zoals via documenten, macro’s, een usb-stick of een ander extern device. Op het moment dat een infectie wordt gedetecteerd, is het echter lastig te achterhalen wat precies de bron van de besmetting was en wat er tot op het moment van detectie allemaal is gebeurd. “Je bent echt compleet blind”, zo vat Van Uden het kort en bondig samen. “Je weet niet wat er is gebeurd, en je weet ook niet hoe je de besmetting weer kunt verwijderen.”

“Op het moment van detectie wil je weten hoe en wanneer malware je organisatie is binnengekomen, op welke apparaten de malware zich bevindt en of de malware zich al heeft weten te verspreiden”, zo vervolgt Check Points Country Manager Benelux. “Ook wil je weten wat de aanvaller al heeft weten te bewerkstelligen en of er bedrijfsgevoelige data zoals creditcardgegevens, persoonsgegevens of belangrijke documenten naar buiten zijn gelekt. En zo ja: waar zijn die data dan naartoe verzonden? En hoe kan ik auto-remediation toepassen?”

SandBlast Agent
De antwoorden op deze vragen zijn volgens Van Uden belangrijk om malware sneller te kunnen detecteren, diefstal van data te kunnen voorkomen en de beveiliging in de toekomst te kunnen verbeteren. “Je wilt leren van wat er is gebeurd.”

Om de vragen sneller en accurater te kunnen beantwoorden, introduceerde Check Point in februari van dit jaar SandBlast Agent, die is gebaseerd op de ‘Next Generation Threat Prevention’-oplossing SandBlast en is ontwikkeld om endpoints en de daarop opgeslagen data veilig te stellen waar deze zich ook bevinden. Volgens de leverancier integreert deze oplossing als enige ‘0-day bescherming voor endpoints met geautomatiseerde forensics en incident-responsemogelijkheden’.

Security Analytics
“SandBlast Agent is beschikbaar in twee varianten”, zo legt Van Uden uit. ‘Variant 1’ kan op de laptop naast de antivirussoftware van een derde partijen worden geïnstalleerd en is vooral bedoeld voor forensische doeleinden. “In deze variant logt SandBlast Agent alle acties die op OS- en dataniveau plaatsvinden. Deze logdata kunnen vervolgens na een eventuele infectie gebruikt worden voor het analyseren en verwijderen van de betreffende dreiging.”

“Als gebruiker krijg je zowel in tekst als grafisch gepresenteerd wat er aan de hand is. Op die manier is direct klip en klaar duidelijk wat er aan de hand is, zonder eindeloze logs door te moeten lezen”, vervolgt Van Uden. De geautomatiseerde mogelijkheden voor het analyseren van incidenten die SandBlast Agent biedt, geven volledig inzicht in security-incidenten om potentiële schade en de daaraan verwante kosten te minimaliseren. Op basis van geautomatiseerde forensics genereert SandBlast Agent onmiddellijk bruikbare, interactieve rapportages om te achterhalen wat de oorzaak van het incident is, waar de malware binnen is gedrongen en hoe groot de schade is. Dit maakt snel herstel mogelijk en beperkt de verspreiding van malware.

Detecteren en blokkeren
“In deze variant is SandBlast Agent echt een Security Analytics-tool”, zo benadrukt Van Uden, om eraan toe te voegen dat je voor de detectie van malware natuurlijk nog altijd afhankelijk bent van de signatures die de leveranciers van de gebruikte antivirusoplossingen beschikbaar stellen. Door een snellere incident-response kan met ‘variant 1’ van SandBlast Agent de diefstal van data echter wel worden voorkomen.

“Wil je een attack voorkomen of blokkeren, dan hebben we nog SandBlast Agent in zijn volledigheid”, vervolgt Van Uden. “Daar zit 0-day bescherming, antimalware, antibot en bijvoorbeeld Threat Extraction in waarmee we een document kunnen ontdoen van zaken als macro’s en url’s en als een schone pdf kunnen aanleveren.” In deze variant detecteert SandBlast Agent verdachte activiteiten op geïnfecteerde apparaten, blokkeert het pogingen om bedrijfsgevoelige data te verkrijgen en zet het geïnfecteerde endpoints in quarantaine om te voorkomen dat de infectie zich verspreidt. “De forensische mogelijkheden komen daar dan nog bij.”

Minimale impact
SandBlast Agent is per direct beschikbaar en met name bedoeld voor laptops. “Voor devices zoals smartphones en tablets hebben we Mobile Threat Prevention”, aldus Van Uden. De oplossing is gebaseerd op een extern sandboxing-model en heeft daardoor een minimale impact op de lokale prestaties. “Ik merk er zelf helemaal niets van dat het op de achtergrond draait.” Daarnaast is het volledig compatibel met geïnstalleerde applicaties. Hierdoor kunnen werknemers gebruikmaken van opgeschoonde, veilige documenten in gangbare formaten die grondig geanalyseerd zijn.


Lees meer over