Tweet

0

"Beveiligingssoftware is het begin, niet het eind"

Interview met David Sancho van Trend Micro

David Sancho is senior antivirusonderzoeker bij Trend Micro. Vanuit Trendlabs onderzoekt hij potentiële beveiligingsproblemen en ontwikkelt hij nieuwe beschermingstechnologieën. De producten van Trend beschermen op verschillende lagen tegen dreigingen. Daarin is sinds kort een bescherming in the cloud aan toegevoegd. Wij vragen hem naar de laatste trends en vooral wat wij zelf kunnen doen om onze systemen schoon te houden.

ZDNet: Wat onderscheidt Trend Micro van de concurrentie?
Sancho: "Wij hebben een reputatiesysteem [reputation services] dat niet alleen bestanden aan de hand van signaturen herkent, maar ook kijkt naar de betrouwbaarheid van de URL en zorgt dat er niet van verdachte netwerken gedownload wordt. Daarnaast hebben we onze database nu 'in the cloud'. Onder meer Smart Protection Network maakt gebruik van deze techniek. Dat houdt in dat voordat je een bestand downloadt eerst wordt gekeken waar het vandaan komt. Is de afzender een website die bij ons is opgenomen als malwareverspreider, dan wordt het bestand niet gedownload. Zo blokkeren we voordat een bestandsscanner noodzakelijk is."

Gehackte netwerken kunnen tegenwoordig middels fastfluxtechnieken razendsnel schakelen van IP-adres. Kunnen ze zo niet langs de reputatieherkenning komen?
"Met een fastfluxnetwerk kun je het IP-adres dat gekoppeld is aan een webadres razendsnel veranderen, maar het webadres blijft gelijk. Wij scannen op dat adres en niet op IP, dus fastfluxnetwerken hebben op ons systeem geen effect. Je zou natuurlijk over kunnen gaan op direct linken naar een constant wisselend IP-adres, maar dan verlies je alle voordelen van een fastfluxnetwerk."

Waarom zou ik betalen voor antivirus? Je kunt het ook gratis krijgen van AVG, Avast en Avira.
"Ik ben vooral bekend met AVG. De gratis versie van AVG is een uitgeklede variant van hun betaalde versie. Je krijgt zo maar minimale bescherming, en dat is niet genoeg. Het gratis AVG dekt niet alle verschillende beveiligingslagen af die wij wel afdekken. Ik raad het product niet aan, want het biedt maar zeer minimale bescherming. Kort gezegd: je krijgt wat je betaalt."

Iedereen heeft een mening over wat de beste suite is, hoe evalueer jij virusscanners?
"Dat is een moeilijke vraag. Er is op dit moment een debat gaande in de industrie waarin die vraag centraal staat. De bescherming die nu gemeten wordt is signatuurdetectie, maar dat is maar een klein onderdeel van het geheel. Het is heel moeilijk om een evaluatie te maken waarbij alle beveiligingslagen aan bod komen. Ik heb dan ook geen antwoord op deze vraag, iedereen is hier nog vol over in debat."

Maar een lab als AV-Test is toch al druk bezig met het meten van nieuwe beschermingsmethodes?
"Op de markt wordt door velen getest, maar niemand kan het hele product meten. AV-Test heeft een paar innovatieve nieuwe technieken, maar ze testen nog niet in the cloud en ze hebben ook nog geen methode om onze reputation services te evalueren."