Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Behavorial engines: wondermiddel tegen malware?

27 juli 2016 - 09:234 minuten leestijdOpinieSecurity & Awareness

Behavorial engines zijn onmisbaar in de strijd tegen ransomware en andere kwaadwillende software. Hoe werken deze gedragsscanners precies en wat maakt ze zo effectief?

Malware bezorgt bedrijven en consumenten al sinds de jaren tachtig de nodige hoofdbrekens. Beveiligingsproducten waren toen een stuk primitiever dan nu. Ze leunden op ‘signature-based scanning’, waarbij bestanden worden gescand en vervolgens vergeleken met een viruslijst.

Bij een hit verwijdert de software het bestand of wordt het in quarantaine gezet. Simpel, maar doeltreffend. Deze scanmethode bleek echter niet opgewassen tegen nieuwe, geavanceerde malwarevormen. Mede daarom kwamen zo’n tien jaar geleden de eerste behavorial engines op de markt.

Verdacht gedrag

Deze scanners richten zich niet op de bestanden of url’s zelf, maar monitoren de processen. Als een behavorial engine schadelijk ‘gedrag’ detecteert, stopt deze het verdachte proces direct. Zo zorgen deze gedragscanners, ook wel host-based intrusion systems (HIPS) genoemd, ervoor dat de schadelijke software nooit zijn einddoel bereikt.

Vandaag de dag behoren behavioral engines tot de meest effectieve beveiligingstools, ook al is veel antivirussoftware nog steeds gebaseerd op geëvolueerde vormen van de op handtekeningen gebaseerde aanpak. Even een vergelijking om het verschil te verduidelijken.

Bestanden scannen

Een gebouw heeft bewakers in dienst die de beveiligingsbeelden in de gaten houden en patrouilleren. De hele dag door willen er medewerkers naar binnen en naar buiten. De meesten dragen een id-badge en sommigen worden zelfs herkend door de beveiligers.

Deze werknemers staan op de whitelist. Bezoekers moeten wachten bij de receptie en mogen alleen onder begeleiding naar binnen met een tijdelijk id. Je kunt dit proces vergelijken met het scannen van de signature van een bestand.

Gedrag monitoren

Wat nou als er een onbekende man binnenkomt die zich niet aan de procedures houdt? Niet iedere werknemer draagt zijn id-badge, dus dit zou er een kunnen zijn. Maar de bewakers herkennen hem niet.

De onbekende persoon snelt langs de receptie en loopt achter iemand aan het hoofdgebouw in. De beveiligers hebben dit meteen door. De man wordt gevolgd op beeld en een patrouillerende bewaker krijgt de opdracht om achter hem te gaan.

Als de verdachte later een breekijzer tevoorschijn haalt en probeert in te breken in een serverruimte, grijpt de beveiliger in. De kwade intenties van de dief kwamen aan het licht door zijn gedrag te monitoren.

Processen van applicaties

Dit mechanisme helpt behavorial engines niet alleen om gevaarlijke uitvoerbare bestanden te neutraliseren. De scanners monitoren ook de processen van applicaties als browsers en tekstverwerkers. Zo beschermen ze eveneens tegen schadelijke websites, Office-macro’s en PDF-bestanden.

Malware is er in alle soorten en maten, maar het overgrote deel gebruikt dezelfde trucjes om systemen te besmetten. Een Excel-file hoort geen uitvoerbaar bestand te openen of op de harde schijf te schrijven. Gebeurt dat wel, dan weet de behavorial engine dat er iets mis is.

Het maakt dus niet uit als er een nieuwe malwarevariant verschijnt met een andere handtekening. Al die versies voeren namelijk alsnog dezelfde reeks verdachte acties uit. Kortom, als je één versie van een bepaald type malware kunt detecteren, geldt dat voor alle varianten.

Deepguard

Het huidige dreigingslandschap is bijzonder complex. En cybercrime is big business. De beste malware-ontwikkelaars zijn zeer intelligent en hebben bijna oneindige financiële middelen tot hun beschikking. Maar mede dankzij behavorial engines is het zeker geen ongelijke strijd.

Een voorbeeld daarvan is Deepguard. Recente ransomware-varianten als Teslacrypt en Locky hadden hiertegen geen schijn van kans. Deze behavorial engine wordt bovendien steeds slimmer door duizenden processen te analyseren in sandbox-omgevingen. De technologie verandert dus mee met het dreigingslandschap.

Kwetsbaarheden

Ontwikkelaars van malware blijven evenwel proberen om behavorial engines buitenspel te zetten. Zo kunnen ze een volledig nieuwe reeks acties bedenken die niet als verdacht gedrag wordt aangemerkt. Gelukkig zijn dergelijke nieuwe besmettingsmethodes vrij zeldzaam.

Er zijn ook andere trucjes. Zo moeten behavorial engines het uitvoerende deel van een proces in allerlei scripttalen kunnen monitoren. Omdat er zoveel scripttalen zijn, is dit niet altijd mogelijk. Maar gelukkig komt dit zelden voor. Daarnaast zorgt het scannen voor vertraging, wat een gebruiker kan doen besluiten om na een tijdje te stoppen met monitoren. Om die reden activeert sommige malware zichzelf pas later. Het is daarom van belang dat de behavorial scanningslaag nooit uitgezet wordt.

Goede beveiligingssoftware houdt rekening met genoemde kwetsbaarheden en is dus opgebouwd uit een combinatie van behavorial-technieken en andere bewezen scanmethodes. Met deze mix zijn organisaties en consumenten maximaal beschermd tegen malware.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Regelgeving en zorgplicht helpen organisaties om succesvol en veilig te zijn

    Hoe helpen regelgeving en zorgplicht organisaties om succesvol en veilig te zijn?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Cloud & Infrastructuur

    Kort: Italiaanse restwarmte Equinix, SLTN volledig in handen van Eugène Tuijnman (en meer)

    Cloud & Infrastructuur

    Yielder bouwt aan de volgende fase: persoonlijker, scherper en dichter bij de klant

    Security & Awareness

    Cyberteams overspoeld door ai-waar­schu­win­gen, slechts fractie blijkt echt kritiek

    Cloud & Infrastructuur

    Kabinet kiest voor maximale digitale soevereiniteit

    Cloud & Infrastructuur

    ‘Ai in cloudomgevingen versnipperd en onzichtbaar voor securityteams’

    Overheid

    Kort: Nederland scoort goed op digitale overheid, or­ga­ni­sa­ties kritischer over ot-cy­ber­se­cu­ri­ty (en meer)

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs