HP: applicaties in virtual machines zijn veiliger

Endpoints moeten niet alleen afhankelijk zijn van detectie software, dan gaat het geheid een keer fout. HP lost het op door alle applicaties in een ‘virtual machine’ te laten draaien. “Dan valt er simpelweg niets te stelen”, zegt Ian Pratt, Global Head of Security bij HP Inc.

Koen van Beneden, Managing Director HP België en Luxemburg, schetst de huidige wereld waar cybercriminelen mensen en bedrijven het leven zuur maken voordat Pratt de oplossing voor endpoints toelicht.

“Op de endpoints gebeurt het allemaal”, vertelt Van Beneden. “Zeker nu heel veel mensen wereldwijd van huis uit werken, buiten de security-schil van het bedrijf. Meer dan zeventig procent van alle inbreuken van buitenaf beginnen bij een endpoint. En vrijwel alle malware komt dan binnen via e-mail, het web, chats of USB-stick. Er zullen altijd fouten worden gemaakt, dus moeten we de endpoints slimmer maken. Dat doet HP al twintig jaar.“ Hierbij verwijst Van Beneden naar producten als HP Sure Start, Sure View, Sure Click, Sure Recover en Sure Run, Sure Sense en ten slotte het in 2019 geïntroduceerde Sure Admin. Dit alles helpt kwaadwillenden buiten te houden en toch gaat het nog fout.

Pratt weet wel hoe dat komt: “Wij leren mensen om niet zomaar overal op te klikken. Maar de criminelen zijn tegenwoordig zo goed dat een e-mail of website nauwelijks nog van echt is te onderscheiden. Zelfs security experts hebben daar moeite mee. De criminelen verdienen veel geld met hun activiteiten en investeren in betere aanvaltechnieken, die ze bovendien eerst uitvoerig testen voordat ze ze toepassen. Daarom hebben we een nieuwe aanpak ontwikkeld.”

Die nieuwe methode vloeit voort uit de overname van Bromium in september 2019, een start-up met een oplossing voor endpoint bescherming.

Isoleren

“Besef wel dat elke beslissing op een pc of een printer tegenwoordig een security-beslissing is. HP is al jaren een trusted partner en die rol willen we blijven spelen; vandaar dat wij blijven innoveren in IT-bescherming”, vertelt Van Beneden.

Pratt gaat uitvoerig in op de vernieuwde aanpak. Hij wijst erop dat de gangbare methode om malware onschadelijk te maken, is gebaseerd op detectie: het doorlichten van alle inkomende (en uitgaande) verkeer op onrechtmatigheden. Door de steeds slimmere aanvallen faalt detectie uiteindelijk altijd een keer, weet Pratt, die mede-oprichter van Bromium is en bovendien tien jaar als professor heeft gewerkt aan de Universiteit van Cambridge.

“Veel mensen werken thuis, dus als er iets misgaat, dan staat er niet meteen iemand van de helpdesk bij de werkplek om het op te lossen. De oplossing is om alle applicaties van elkaar en het besturingssysteem te isoleren. Het isoleren van applicaties is een beveiligingstechniek die niet afhankelijk is van detectie en daarom zo goed geschikt voor endpoints.” Door deze ‘Protected Apps’ wordt het hele endpoint veiliger.

Virtual machines

Zodra een gebruiker een webpagina bezoekt, wordt dat een ‘virtual machine’. Hetzelfde gebeurt bij het openen van een document, e-mail, enzovoorts. De virtual machines worden in een tijd van milliesecondes gecreëerd. Volgens Pratt heeft deze werkwijze geen invloed op de beleving van eindgebruikers. Maar wel op de werkwijze van criminelen. “Zij kunnen hun malware bijvoorbeeld meesturen in een e-mail, maar vervolgens kan die code geen kant op, niet naar het besturingssysteem, niet naar de CPU, niet naar andere bestanden buiten de virtual machine. En zodra de taak is afgerond, verdwijnt de virtual machine vanzelf. De hacker heeft geen kans gezien om rond te neuzen op de endpoint en kan zich niet via het netwerk verspreiden. De malware wordt onschadelijk gemaakt; er valt niets te stelen, niet te ‘reizen’ en hij verdwijnt zodra de virtual machine verdwijnt.”

Sure Click Enterprise

Pratt somt de voordelen op. “Je hoeft slechts microsegmenten te beschermen; met andere woorden: het is voldoende om een kanaal te beschermen, niet een hele oceaan. De virtual machines zijn vergankelijk, wijzigingen hebben geen effect op de host, het endpoint. Je geeft virtual machines alleen toegang tot datgene wat de applicatie nodig heeft om te draaien; verder kun je toegang beheren via de richtlijnen van de organisatie. En er is aandacht voor het gedrag binnen de virtual machine.”

Hiermee komt Pratt op de band tussen Protected Apps en HP Sure Click Enterprise.

Deze beheersoftware heeft diverse dashboards en geeft real-time alarm met volledige forensische informatie van elke aanval. De security teams hebben zo real-time inzicht op wat er op de endpoints gebeurt.

De Sure Click Enterprise endpoint applicatie vormt samen met de centrale controller een sensornetwerk voor malware-analyses en directe weergave van dreigingsindicatoren.

Door: Teus Molenaar