Telenet.be
 
 
 

Overzicht winkelmandje

{{monthlyTitle}}

{{oneTimeTitle}}

Bestelling afwerken

 
 
 
 

'One Step Ahead': een interview met System Engineer Patrick Lepeer van Check Point

 
 
 
 

'One Step Ahead'  luidt het motto van Check Point Software Technologies. We vroegen System Engineer Patrick Lepeer hoe zijn bedrijf die ambitie waarmaakt en hoe dat te rijmen valt met gevaren als zero day exploits. Een interview.

Patrick, jullie baseline is 'One Step Ahead' Hoe rijm je dat met het verschijnsel 'zero day exploit' dat je, per definitie, toch geen tijd geeft om in te grijpen? 

Patrick Lepeer: "Met 'One Step Ahead' bedoelen we dat we afstappen van het traditionele securitymodel zoals we het vandaag kennen. We gaan dus niet langer enkel pattern-based werken – waarbij gekende 'known'  malware gedetecteerd kan worden – maar we gaan ook de nieuwe 'unknown'  zero day malware kunnen tegenhouden. Er zijn een aantal technieken die je kan gebruiken."

Om welke technieken gaat het concreet?

Patrick: "Eerst en vooral hebben we de traditionele sandboxing, waarbij we de ongewenste activiteiten gerelateerd aan malware proberen te detecteren binnen een sandboxing-omgeving. Als securityvendor ontwerp je bepaalde technieken om malware te identificeren. Hackers nemen natuurlijk tegenmaatregelen – evasion techniques – om die extra laag security te omzeilen. Ze gaan in hun malware timers inbouwen of ze gaan wachten op specifieke input van de gebruiker vooraleer ze in actie komen. Zo’n evasion techniques moet je dus op een andere manier counteren. Wij gaan kijken hoe malware in zijn werk gaat. Er zijn duizenden kwetsbaarheden in software, in applicaties, enz. Om die zwakke plekken uit te buiten, gebruiken hackers exploits. Wel, ondanks die duizenden kwetsbaarheden zijn er maar een 30 à 40 tal exploittechnieken."

 

Hoe gaan jullie die 'exploits' te lijf?

Patrick: "Check Point heeft binnen zijn oplossing een laag toegevoegd: CPU-level Detection. Hierbij kunnen we in de CPU de exploit detecteren nog voordat hij in staat is om de effectieve malware op het toestel te plaatsen en te activeren. Zo kan je malware dus veel vroeger in de attack chain  blokkeren, nog vóór de evasion techniques gebruikt worden. Sandboxing is dus een heel belangrijke techniek, maar het heeft een potentiële impact op de experience  van de eindgebruiker. Je kan natuurlijk een file tegenhouden en binnen een sandboxing-omgeving draaien, maar dat vergt enige tijd. Een gebruiker die iets wil downloaden, heeft niet zoveel geduld. Die wil de file meteen openen en geen 5 minuten wachten."

 

Wat is jullie oplossing daarvoor?

Patrick: "Naast onze CPU-level Detection en onze traditionele sandboxing hebben wij een derde techniek ontwikkeld: Threat Extraction. Op het moment dat een file via e-mail of een browser door een eindgebruiker gedownload wordt, leveren we hem een gesaneerde versie. Code die potentieel kwaadaardig kan zijn, hebben we er dan al uitgefilterd. Wij doen onze sandbox-inspectie terwijl de eindgebruiker in een voorlopige versie van het document de content kan lezen. We zien dat in 95% van de gevallen die voorlopige, gesaneerde file voor de eindgebruiker al voldoende is. Na onze inspectie krijgt hij – indien nodig – alsnog het originele document, waarin hij dan bijvoorbeeld macro's of javascripts kan gebruiken."

 

Merkt de eindgebruiker daar iets van?

Patrick: "Op zich merkt hij daar niks van. Grosso modo hebben we twee opties: of we converteren de file naar een pdf met alles eruit gestript, of we sturen het document in de originele vorm, maar zonder 'gevoelige' zaken als javascript of macro’s. Dan moet je wel even wachten op het originele document. Maar zoals gezegd, in 95% van de gevallen is het voorlopige document voldoende. Het grote voordeel is dat de user experience  van de eindgebruiker niet onderbroken wordt. En het stelt ons tegelijkertijd in staat om malware effectief te blokkeren vanaf de eerste keer dat we ze detecteren."

 

Is dat wat jullie 'Sandblasting' noemen?

Patrick: "Dat is inderdaad onze volledige Sandblast-oplossing: Threat Emulation, Sandboxing plus CPU-level Detection  en Threat Extraction, het aanleveren van een gesaneerde versie."

 

Hoe lang duurt zoiets?

Patrick: "Dat gebeurt 'on the fly'. Het is de gateway zelf die de gesaneerde versie gaat creëren. De achterliggende sandboxing varieert van 30 seconden tot een paar minuten, afhankelijk van de grootte en de complexiteit van de file. Als de eindgebruiker een file krijgt met twee bladzijden tekst, komt de originele file er bij wijze van spreken al door vooraleer hij het document helemaal gelezen heeft."

 

Is de eindgebruiker op de hoogte van wat er gebeurt?

Patrick: "In een mailsituatie krijgt hij een mailtje met de naam van de file en de boodschap 'cleaned'  erachter. Bij downloads van het net komt er een pop-up onderaan met de gesaneerde versie. Een tweede pop-up levert de definitieve versie."

 

Tot slot, hoe verloopt de samenwerking met Telenet?

Patrick: "Telenet is 4 Stars Partner van Check Point in België. Telenet-mensen hebben dan ook de nodige certificeringen voor Check Point. De contacten tussen Telenet Support en onze support zijn heel intens. Dat overstijgt een loutere commerciële relatie. Er gebeurt veel uitwisseling van ervaring en expertise, Telenet is en blijft dan ook een van onze belangrijkste partners."

 

Bekijk ook

  • Schoolnet+, de modulaire ICT-oplossing voor scholen

    Nieuw van Telenet Business: Schoolnet+, de modulaire ICT-oplossing voor scholen.

    lees meer
  • Telenet start modernisering van zijn mobiele netwerk

    De grote werken om het nieuwe mobiele netwerk van Telenet op de toekomst voor te bereiden, gingen onlangs van start. 

    lees meer
  • Vers van de pers: whitepaper 'Connectiviteit vandaag en morgen'

    Wat betekent connectiviteit voor uw bedrijf? Download onze whitepaper hier.

    lees meer