Onderzoek Fortinet: Vijf manieren om verdachte IP-clients op te merken en te beoordelen
25-02-2013

Onderzoek Fortinet: Vijf manieren om verdachte IP-clients op te merken en te beoordelen


Fortinet, aanbieder van netwerk security, heeft vijf belangrijkste punten gedefinieerd op die erop kunnen wijzen dat een device besmet is met malware. Het identificeren van onveilig gedrag  van risicoapplicaties en -gebruikers die op het bedrijfsnetwerk zijn aangesloten, is van groot belang voor elke organisatie die APT’s (Advanced Persistent Threats - doorgedreven, permanente bedreigingen) serieus neemt.

1) Verkeerde aansluitpogingen
De klassieke malware probeert vaak om zich op hosts aan te sluiten die niet op het internet bestaan. Ook al zijn bepaalde verkeerde aansluitingen aan een vergissing van de gebruiker of aan foutieve links te wijten, dan kan een reeks van verkeerde aansluitingen er toch op wijzen dat het toestel door malware besmet is.

2) Keuze van de applicatie
Een host die een applicatie installeert om P2P-bestanden te delen, kan als risicovoller beschouwd worden dan een host die een spel installeert. Sommige organisaties kunnen die twee acties als problematisch beschouwen. De capaciteit om elke actie te ‘meten’, maakt het mogelijk om vervolgens de risico’s te beoordelen.

3) Geografische ligging
In sommige landen kan het bezoek aan bepaalde hosts als risicogedrag beschouwd worden, vooral als er een druk gegevensverkeer mee gepaard gaat. De lijst nakijken waarmee de legitieme sites in die landen geïdentificeerd kunnen worden, vormt een aanvulling op de identificatie van zulk risicogedrag. Die stap kan ook helpen om de besmette clients te detecteren.  

4) Sessie-informatie
Wanneer een toestel toegang op een poort begint te zoeken om zich van buiten uit aan te sluiten, maar wanneer het de verbinding niet opent, kan dat aan een APT-besmetting te wijten zijn.

5) Categorie van bestemmingen
Het bezoek aan bepaalde types van websites, zoals goksites, volwassenensites en sites die erom bekend staan kwaadwillige codes te bevatten, kan eveneens op een APT-besmetting wijzen.

“Het gedrag van risicoapplicaties en -gebruikers identificeren, is de volgende stap in de beveiliging tegen APT's. De beveiliging op basis van handtekeningen volstaat niet meer. Het is belangrijk om een volledig en bijgewerkt beeld te schetsen van het gedrag van de netwerkclients,” legt Christophe Auberger uit, technisch directeur bij Fortinet. “De clientreputatie en -beoordeling zijn onmisbare elementen om de enorme veiligheidsinformatie die binnen de organisaties beschikbaar is, te rangschikken en er inzicht in te krijgen. Ze zijn eveneens van belang voor de invoering van een dynamische en gerichte beveiliging.”    



Terug naar nieuws overzicht

Tags

Security
Security