8.1 Antimalware
database
Beschermings- en bestrijdingsprogramma’s voor malware zijn voor een groot deel gebaseerd op ‘bekende patronen’ – oftewel de signatuur van malware – die in grote databases worden geregistreerd.
virus- bibliotheek
Tijdens een scan wordt die enorme verzameling gegevens geraadpleegd om allerlei narigheid te identificeren. Dit heet ook wel de statistische methode. Bij deze aanpak zijn de patronen van nieuwe vormen van malware nog niet in de ‘virusbibliotheek’ opgenomen, zodat die narigheid nog niet altijd direct kan worden herkend en bestreden.
8.1.1 Heuristiek
analyse
Sommige programma’s kiezen daarom voor een andere aanpak: via een heuristische analyse. Daarmee onderzoeken zij gedrag, bepaalde eigenschappen of activiteiten. Dat doen de programma’s in een beschermde omgeving, zodat eventuele schadelijke activiteiten uw systeem toch niet kunnen aantasten. Op basis van die analyse besluiten de antimalwarescanners of het om schadelijke activiteiten gaat.
Nadeel
Het nadeel van deze methode is dat er ook ‘false positives’ kunnen opduiken: onterechte meldingen van verdachte processen als mogelijke malware. Daarom wordt de heuristische methode vaak gecombineerd met de statistische methode op basis van bekende signaturen.
8.1.2 Updaten
antimalware
De beschermings- en bestrijdingsproducten die gebruikmaken van statistische analyse op basis van bibliotheken met signaturen moet u up-to-date houden om er zeker van te zijn dat de programma’s alle tot dan toe bekende patronen kunnen herkennen. Meestal bevatten de antimalwareproducten automatische updatevoorzieningen. Controleer voor de zekerheid nog even of die optie wel is ingeschakeld. De instelling voor dagelijks automatisch updaten heeft de voorkeur.
Maatregelen
spam
Het updaten van beveiligingsprogramma’s heeft als nadeel dat de werknemer dit bij kleine ondernemingen zelf moet uitvoeren op zijn computer. In grotere ondernemingen is er vaak al een beschermingsproduct op het netwerk geïnstalleerd, waardoor die eigen verantwoordelijkheid er niet is. Sommige providers nemen ook vaak maatregelen, zodat bepaalde gegevens al gecontroleerd zijn voordat ze bij u binnenkomen. Zo kunnen providers bijvoorbeeld e-mail en bijlagen al vroegtijdig laten scannen. Verdachte berichten of spam worden dan doorgestuurd naar speciale mappen in het e-mailprogramma, zoals de map Ongewenste e-mail.
Houd alle systemen volledig up-to-date
patches
Niet alleen het updaten van antimalwareprogramma’s is belangrijk, ook van de andere software op uw systeem moet u bij voorkeur de automatische updateservice gebruiken. Zo’n update kan eventuele lekken en andere zwakke plekken dichten met patches (pleistertoevoeging die het probleem oplost, zie paragraaf 8.5). Hoe ouder software is, hoe groter de kans dat criminelen daarin gaten hebben ontdekt waarlangs zij hun narigheid bij u naar binnen kunnen sluizen. Denk niet alleen aan de reguliere programma’s waarmee u uw werk uitvoert, maar ook aan ondersteunende software zoals internetbrowsers.
8.1.3 Antimalwareprogramma’s kiezen
overweging
prijs
malware-definitie
update
software-bundel
U kunt helaas nooit volledig vertrouwen op antimalwareprogramma’s, maar elke bescherming is beter dan geen bescherming. Neem in ieder geval de volgende overwegingen bij de aanschaf van een beveiligingsproduct mee:
- Focus niet alleen op de prijs van het product: er zijn goede gratis producten en de meeste commerciële producten kosten enkele tientjes per licentie. De (niet-gratis) pro-versies van de diverse producten hebben wel meer opties.
- Hoe succesvol is een programma in de bestrijding van malware? Dit is lastig te zeggen, maar er zijn op internet wel overzichten hiervan te vinden. De volgorde in de top wisselt wel sterk. Dit zou een indicatie kunnen zijn dat het niet zoveel uitmaakt welk product u uiteindelijk kiest.
- Kan het product in plaats van of behalve (alleen) op basis van bestanden of databases met bekende malwaredefinities ook op heuristische basis malware opsporen? Met deze aanpak kunt u namelijk nog onontdekte of ongepatchte malware opsporen en bestrijden.
- Biedt het product automatische updates voor bescherming en bestrijding of minstens via een in te stellen updateschema in het programma?
Heel veel antimalwareproducten zitten in een softwarebundel met daarin onderdelen als firewall, antispyware, pop-up-blokkering, antiphishing, spamfilters en dergelijke. Combinaties van malwarescanners met systeem-utilities of schoonmaakprogramma’s komen ook voor.
Bekende virus- en malwarebestrijders zijn Avast, AVG, Avira, BitDefender, BullGuard, ESET, Kaspersky, MacKeeper, Malwarebytes, McAfee, Norton, Panda, PC Protect, Total AV, Trend Micro en ZoneAlarm.
8.2 Firewall
Een ander soort beschermingssoftware is de firewall. Die beheert de toegang tot uw systeem, en meer in het bijzonder vanuit internet. Door de netwerkpoorten open te stellen of juist te sluiten, kan zo’n firewall de toegang tot een systeem vrijgeven of juist blokkeren voor programma’s.
Vertrouwen
In een firewall draait alles dus om vertrouwen: welke programma’s en netwerkadressen zijn betrouwbaar en mogen dus vrij over de verbinding(en) opereren. Daarvoor heeft de firewall allerlei instellingsmogelijkheden. Als u de firewall opent, kunt u aangeven welke programma’s u vertrouwt via de tabbladen voor ‘trusted programs’ of ‘trusted zones’.
IP-adressen
Zo kunt u bijvoorbeeld voor alle computers in uw (thuis)netwerk een bereik van IP-adressen opgeven, zodat ze zonder ingrijpen van de firewall onderling met elkaar kunnen communiceren. Maar als er een andere computer van buitenaf probeert contact te leggen, zal er een melding van de firewall verschijnen. Deze ‘intruder detection’ is vooral een wapen tegen hacken. En mocht u per ongeluk een malwarebesmetting hebben opgelopen of een (kwaadaardig) proces wil vanuit uw systeem of netwerk naar buiten, ook dan zal de firewall onmiddellijk reageren.