Patrick: "Eerst en vooral hebben we de traditionele sandboxing, waarbij we de ongewenste activiteiten gerelateerd aan malware proberen te detecteren binnen een sandboxing-omgeving. Als securityvendor ontwerp je bepaalde technieken om malware te identificeren. Hackers nemen natuurlijk tegenmaatregelen – evasion techniques – om die extra laag security te omzeilen. Ze gaan in hun malware timers inbouwen of ze gaan wachten op specifieke input van de gebruiker vooraleer ze in actie komen. Zo’n evasion techniques moet je dus op een andere manier counteren. Wij gaan kijken hoe malware in zijn werk gaat. Er zijn duizenden kwetsbaarheden in software, in applicaties, enz. Om die zwakke plekken uit te buiten, gebruiken hackers exploits. Wel, ondanks die duizenden kwetsbaarheden zijn er maar een 30 à 40 tal exploittechnieken."

Patrick: "Check Point heeft binnen zijn oplossing een laag toegevoegd: CPU-level Detection. Hierbij kunnen we in de CPU de exploit detecteren nog voordat hij in staat is om de effectieve malware op het toestel te plaatsen en te activeren. Zo kan je malware dus veel vroeger in de attack chain  blokkeren, nog vóór de evasion techniques gebruikt worden. Sandboxing is dus een heel belangrijke techniek, maar het heeft een potentiële impact op de experience  van de eindgebruiker. Je kan natuurlijk een file tegenhouden en binnen een sandboxing-omgeving draaien, maar dat vergt enige tijd. Een gebruiker die iets wil downloaden, heeft niet zoveel geduld. Die wil de file meteen openen en geen 5 minuten wachten."

Patrick: "Naast onze CPU-level Detection en onze traditionele sandboxing hebben wij een derde techniek ontwikkeld: Threat Extraction. Op het moment dat een file via e-mail of een browser door een eindgebruiker gedownload wordt, leveren we hem een gesaneerde versie. Code die potentieel kwaadaardig kan zijn, hebben we er dan al uitgefilterd. Wij doen onze sandbox-inspectie terwijl de eindgebruiker in een voorlopige versie van het document de content kan lezen. We zien dat in 95% van de gevallen die voorlopige, gesaneerde file voor de eindgebruiker al voldoende is. Na onze inspectie krijgt hij – indien nodig – alsnog het originele document, waarin hij dan bijvoorbeeld macro's of javascripts kan gebruiken."

Patrick: "Op zich merkt hij daar niks van. Grosso modo hebben we twee opties: of we converteren de file naar een pdf met alles eruit gestript, of we sturen het document in de originele vorm, maar zonder 'gevoelige' zaken als javascript of macro’s. Dan moet je wel even wachten op het originele document. Maar zoals gezegd, in 95% van de gevallen is het voorlopige document voldoende. Het grote voordeel is dat de user experience  van de eindgebruiker niet onderbroken wordt. En het stelt ons tegelijkertijd in staat om malware effectief te blokkeren vanaf de eerste keer dat we ze detecteren."

Patrick: "Dat is inderdaad onze volledige Sandblast-oplossing: Threat Emulation, Sandboxing plus CPU-level Detection  en Threat Extraction, het aanleveren van een gesaneerde versie."

Patrick: "Dat gebeurt 'on the fly'. Het is de gateway zelf die de gesaneerde versie gaat creëren. De achterliggende sandboxing varieert van 30 seconden tot een paar minuten, afhankelijk van de grootte en de complexiteit van de file. Als de eindgebruiker een file krijgt met twee bladzijden tekst, komt de originele file er bij wijze van spreken al door vooraleer hij het document helemaal gelezen heeft."

Patrick: "In een mailsituatie krijgt hij een mailtje met de naam van de file en de boodschap 'cleaned'  erachter. Bij downloads van het net komt er een pop-up onderaan met de gesaneerde versie. Een tweede pop-up levert de definitieve versie."

Patrick: "Telenet is 4 Stars Partner van Check Point in België. Telenet-mensen hebben dan ook de nodige certificeringen voor Check Point. De contacten tussen Telenet Support en onze support zijn heel intens. Dat overstijgt een loutere commerciële relatie. Er gebeurt veel uitwisseling van ervaring en expertise, Telenet is en blijft dan ook een van onze belangrijkste partners."