Het Afgelopen jaar troffen de anti-malware leveranciers 1 miljoen malware voorbeelden per dag aan. Per dag!

Het is onmogelijk om al deze bedreigingen te stoppen door ze op klassiek wijze op een zwarte lijst te plaatsen. De stortvloed is te groot om vast te houden aan een reactieve aanpak. Nu pleit ik al lang voor de omgekeerde aanpak, een witte lijst met alle applicaties die wel mogen starten. Slechte ervaringen uit het begin van de 21e eeuw bezorgen deze aanpak echter nog steeds, ten onrechte een slecht imago. Het beeld wordt bepaald door angst voor onderhoud, klagende gebruikers die hun werk niet kunnen doen of technische bezwaren. Er is veel veranderd.

Recent kondigde Gartner aan dat whitelisting voor 2018 dé belangrijkste beveiligingsmaatregel is om security te verbeteren. Illustratief is dat een organisatie als bijvoorbeeld NAVO whitelisting vereist voor alle Windows 10 devices die toegang op het netwerk willen.

Echter…. Hoe om te gaan met veel voorkomende opvattingen die uitrol van whitelisting tegenwerken, ik noem er drie:

Beheerders zeggen dat ze geen tijd hebben om een whitelist bij te houden en geen tijd hebben om, bij iedere nieuwe applicatie die ze in beheer nemen, de lijst aan te passen.

Dit is anno 2018 onzin; hou het bij het goedkeuren van containers, kies directories in plaats van files, kies “signed companies” in plaats van “signed binaries”. Op deze wijze kan je AppLocker inrichten, ook bij ondernemingen die meer dan 100.000 werkplekken hebben, met een set van minder dan 100 regels. Via de blacklisting methode (anti-Malware 1st en 2nd generatie, cloudbased services, heuristisch scannen, firewalls, etc.) ben je in de weer met meer dan 1.000.000 nieuwe items per dag. Kortom: je hebt tijd over als je whitelisting toepast.

Ten tweede hoor ik dat whitelisting niet goed werkt met administrators.

Volkomen juist als je het “ver van bruikbare” Device Guard in Windows 10 Enterprise inzet. De whitelisting policy doet dan helemaal niets met administrators. Dit is echter een schijnargument. Al in de documentatie van Windows NT3.1 staat dat Windows beveiliging er niet is om administrators te beveiligen. De scheiding tussen user en beheerder is de eerste lijn in beveiliging en juist om die reden is de afgelopen jaren veel aandacht uit gegaan naar “least privilege”. Dit zou iedereen nu ondertussen uitgevoerd moeten hebben. Daarom is voor het eerst in 5 jaar least privilege niet meer nummer 1 van de meest geadviseerde security acties van Gartner maar whitelisting.

Tenslotte hoor ik dat whitelisting geen optie is omdat men niet over juiste Microsoft Enterprise licenties beschikt. Er bestaat de mogelijkheid om bij de professional (en Enterprise) licenties gebruik te maken van Software Restriction Policies. Maar SRS is al helemaal niet beheervriendelijk. Waar mogelijk adviseer ik dan over te gaan op 3rd party whitelisting. Vaak komen we dan uit bij Avecto’s Defendpoint omdat je daarmee privileges managed én kunt whitelisten voor Pro en Enterprise, zelfs in veel genuanceerder dan mogelijk is met AppLocker. Als extra beïnvloed Defendpoint de rechten van ieder proces dat een gebruiker start waardoor inrichten van Least Privilege snel en eenvoudig wordt, zonder dat het afbreuk doet aan de gebruikerservaring of productiviteit. Dat je dan dus direct punt 1 én 2 van Gartner’s security advisory hebt aangepakt is mooi meegenomen. Mix scenario’s zoals Graylisten met volledige Enterprise Reporting of forensische tracking zijn dan vanzelfsprekend ook mogelijk. Een mooie stap als verder in de Gartner lijst kijkt.

Samengevat, dat een aantal van mijn klanten zelfs heeft gekozen helemaal geen anti-malware maar alleen whitelisting in te zetten bewijst dat het kán en werkt. Dus: implementeer whitelisting, houd tijd over, blijf veiliger!

Dit bericht is tot stand gekomen in samenwerking met AppManagEvent.