Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief

Behavorial engines: wondermiddel tegen malware?

27 juli 2016 - 09:234 minuten leestijdOpinieSecurity & Awareness

Behavorial engines zijn onmisbaar in de strijd tegen ransomware en andere kwaadwillende software. Hoe werken deze gedragsscanners precies en wat maakt ze zo effectief?

Malware bezorgt bedrijven en consumenten al sinds de jaren tachtig de nodige hoofdbrekens. Beveiligingsproducten waren toen een stuk primitiever dan nu. Ze leunden op ‘signature-based scanning’, waarbij bestanden worden gescand en vervolgens vergeleken met een viruslijst.

Bij een hit verwijdert de software het bestand of wordt het in quarantaine gezet. Simpel, maar doeltreffend. Deze scanmethode bleek echter niet opgewassen tegen nieuwe, geavanceerde malwarevormen. Mede daarom kwamen zo’n tien jaar geleden de eerste behavorial engines op de markt.

Verdacht gedrag

Deze scanners richten zich niet op de bestanden of url’s zelf, maar monitoren de processen. Als een behavorial engine schadelijk ‘gedrag’ detecteert, stopt deze het verdachte proces direct. Zo zorgen deze gedragscanners, ook wel host-based intrusion systems (HIPS) genoemd, ervoor dat de schadelijke software nooit zijn einddoel bereikt.

Vandaag de dag behoren behavioral engines tot de meest effectieve beveiligingstools, ook al is veel antivirussoftware nog steeds gebaseerd op geëvolueerde vormen van de op handtekeningen gebaseerde aanpak. Even een vergelijking om het verschil te verduidelijken.

Bestanden scannen

Een gebouw heeft bewakers in dienst die de beveiligingsbeelden in de gaten houden en patrouilleren. De hele dag door willen er medewerkers naar binnen en naar buiten. De meesten dragen een id-badge en sommigen worden zelfs herkend door de beveiligers.

Deze werknemers staan op de whitelist. Bezoekers moeten wachten bij de receptie en mogen alleen onder begeleiding naar binnen met een tijdelijk id. Je kunt dit proces vergelijken met het scannen van de signature van een bestand.

Gedrag monitoren

Wat nou als er een onbekende man binnenkomt die zich niet aan de procedures houdt? Niet iedere werknemer draagt zijn id-badge, dus dit zou er een kunnen zijn. Maar de bewakers herkennen hem niet.

De onbekende persoon snelt langs de receptie en loopt achter iemand aan het hoofdgebouw in. De beveiligers hebben dit meteen door. De man wordt gevolgd op beeld en een patrouillerende bewaker krijgt de opdracht om achter hem te gaan.

Als de verdachte later een breekijzer tevoorschijn haalt en probeert in te breken in een serverruimte, grijpt de beveiliger in. De kwade intenties van de dief kwamen aan het licht door zijn gedrag te monitoren.

Processen van applicaties

Dit mechanisme helpt behavorial engines niet alleen om gevaarlijke uitvoerbare bestanden te neutraliseren. De scanners monitoren ook de processen van applicaties als browsers en tekstverwerkers. Zo beschermen ze eveneens tegen schadelijke websites, Office-macro’s en PDF-bestanden.

Malware is er in alle soorten en maten, maar het overgrote deel gebruikt dezelfde trucjes om systemen te besmetten. Een Excel-file hoort geen uitvoerbaar bestand te openen of op de harde schijf te schrijven. Gebeurt dat wel, dan weet de behavorial engine dat er iets mis is.

Het maakt dus niet uit als er een nieuwe malwarevariant verschijnt met een andere handtekening. Al die versies voeren namelijk alsnog dezelfde reeks verdachte acties uit. Kortom, als je één versie van een bepaald type malware kunt detecteren, geldt dat voor alle varianten.

Deepguard

Het huidige dreigingslandschap is bijzonder complex. En cybercrime is big business. De beste malware-ontwikkelaars zijn zeer intelligent en hebben bijna oneindige financiële middelen tot hun beschikking. Maar mede dankzij behavorial engines is het zeker geen ongelijke strijd.

Een voorbeeld daarvan is Deepguard. Recente ransomware-varianten als Teslacrypt en Locky hadden hiertegen geen schijn van kans. Deze behavorial engine wordt bovendien steeds slimmer door duizenden processen te analyseren in sandbox-omgevingen. De technologie verandert dus mee met het dreigingslandschap.

Kwetsbaarheden

Ontwikkelaars van malware blijven evenwel proberen om behavorial engines buitenspel te zetten. Zo kunnen ze een volledig nieuwe reeks acties bedenken die niet als verdacht gedrag wordt aangemerkt. Gelukkig zijn dergelijke nieuwe besmettingsmethodes vrij zeldzaam.

Er zijn ook andere trucjes. Zo moeten behavorial engines het uitvoerende deel van een proces in allerlei scripttalen kunnen monitoren. Omdat er zoveel scripttalen zijn, is dit niet altijd mogelijk. Maar gelukkig komt dit zelden voor. Daarnaast zorgt het scannen voor vertraging, wat een gebruiker kan doen besluiten om na een tijdje te stoppen met monitoren. Om die reden activeert sommige malware zichzelf pas later. Het is daarom van belang dat de behavorial scanningslaag nooit uitgezet wordt.

Goede beveiligingssoftware houdt rekening met genoemde kwetsbaarheden en is dus opgebouwd uit een combinatie van behavorial-technieken en andere bewezen scanmethodes. Met deze mix zijn organisaties en consumenten maximaal beschermd tegen malware.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slim verbonden en veilig georganiseerd

    Waarom connectiviteit en security onlosmakelijk verbonden zijn.

    Computable.nl

    Agentic AI in actie

    De stappen van automatiseren naar écht autonoom werken. Welke toepassingen zijn succesvol?

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Teamvalue

    Partnerartikel
    Cloud & Infrastructuur

    20% besparen op je Azure-kosten en een...

    Azure biedt organisaties schaalbaarheid, flexibiliteit en toegang tot een breed scala aan diensten. Toch zien veel organisaties hun kosten ongemerkt...

    Meer persberichten

    Meer lezen

    Data & AI

    CWI verhoogt met ai dataveiligheid VN-crisisplatform

    Overheid

    JenV onderzoekt modernisering wetgeving gegevensbescherming

    Overheid

    Defensie wil naar een betere commandovoering

    GPUGate cyberaanval
    Governance & Privacy

    Chatcontrol EU voorlopig ‘on hold’

    labhack
    Security & Awareness

    De labhack en de schade: wet versus digitale praktijk

    Security & Awareness

    Twee dagen volle bak met prominente ot-rol

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs