Een nieuwe strategie in virusbestrijding

Kiezen of combineren

07 maart 2006 | Remco Mourits Elke dag komen er weer virussen bij die op een nieuwe manier proberen computers te besmetten. De tactiek om computers te beveiligen, is aan minder vernieuwingsdrang onderhevig: antivirusbedrijven baseren hun software en updates nog altijd op de viruscode. Dat betekent dat die code in handen moet zijn van het bedrijf en moet worden geanalyseerd. Tussen het verschijnen van een virus en de update van antivirussoftware zit dus altijd enige tijd.

Sommige experts vinden dat antivirusbedrijven niet flexibel genoeg zijn om de toenemende diversiteit in computerbedreigingen het hoofd te bieden. Nieuwe tijden vragen om een nieuwe aanpak, zeggen zij. Maar welke?

IronPort, aanbieder van internetmonitor-diensten, is een van de pleitbezorgers van een alternatieve beveiligingsstrategie. Dit bedrijf gebruikt 'internetreputatie' als maatstaf om mail te filteren: Of een e-mail moet worden doorgelaten of in quarantine moet worden gezet, wordt bepaald op basis van informatie over wie de afzender is, welke content het bevat en wat de reputatie is van eventuele weblinks die in het bericht zijn opgenomen.

Op basis van deze criteria kunnen ook e-mailtjes worden onderschept die gloednieuwe virussen bevatten. Terwijl een traditioneel antivirusbedrijf er volgens IronPort 2 tot 64 uur over doet voor het in staat is bescherming te bieden tegen een nieuw virus. "Gedurende die periode zijn bedrijven kwetsbaar", aldus Tom Gillis van IronPort. "De technologie van antivirusbedrijven is gewoon niet gericht op het opvangen van deze eerste aanvalsgolf."

IronPort is niet het enige bedrijf dat gebruik maakt van internetreputatie als parameter. CheckPoint, Cisco, TippingPoint: allemaal gebruiken ze de reputatie van de verzender als maatstaf.

Tegengeluid
Traditionele antivirusbedrijven ontkennen niet dat een alternatieve aanpak waardevol kan zijn. Zij wijzen er echter op dat ze veel meer doen dan IronPort suggereert. Raimund Genes van Trend Micro bijvoorbeeld stelt dat zijn bedrijf niet enkel op de analyse van bestaande virussen vertrouwt. "Wij monitoren daarnaast het internetverkeer en gebruiken intrusion detection software. Zo ontdekten we het virus Nyxem op 16 januari terwijl IronPort het pas twee dagen later rapporteerde." Ook Sophos zegt dat zijn antivirus-technologie moet worden gebruikt naast andere diensten.