Seks skarpe anbefalinger til bekæmpelse af malware
1. Antivirus er ikke længere effektivt
Malware er ikke længere et statisk fænomen, og de seneste år har vist, at virus 
muterer og skaber nye varianter, som antivirus-fabrikanterne har svært ved at holde trit med. Derudover er det konstant et kapløb for antivirus-leverandørerne at sikre sig, at de har alle ”kendte” vira med i deres signatur-fil.
Tests viser, at de førende antivirus-leverandører kun kan fange mellem 80-99 % af al ny malware, og derfor er antivirus ikke længere en 100 % effektiv metode til bekæmpelse af al malware. Derfor skal antivirus kombineres med andre metoder for at fjerne malware.
2. Beskyttelse
For at beskytte mod malware-infektioner er der en række andre teknologier end antivirus. Disse er f.eks. Cisco Security Agent, som ser på adfærden af koden, og som kan forhindre, at malware spreder sig, alene ved at analysere adfærden og ikke på baggrund af en signatur-fil.
De nyeste versioner af IPS har også blokering for kendt malware, som spredes via netværket. De har også mulighed for at blokere for inficerede maskiner, som kommunikerer med botmastere på internettet.
Endelig er der selvfølgelig content scanning af mail og webtrafik, som sikrer, at alle filer, som hentes via mail eller internettet, bliver scannet for kendt virus. De nyeste version af webscanning sikrer også, at brugerne ikke kan besøge sider, som er kendte for at udsende malware.
3. Overblik
Hvis man har inficerede computere i sit netværk, vil disse typisk forsøge at sprede sig til andre computere. Men de vil typisk også rapportere tilbage til ”moderskibet” for at modtage kommandoer. Denne form for trafik kan overvåges af de nyeste firewalls og content inspection-systemer, f.eks. Cisco ASA botnet traffic filter og IronPorts revolutionerende L4TM system.
På den måde kan man fra loggen hurtigt identificere inficerede systemer og derved rette indsatsen mod at få disse systemer renset.
4. Udbedring
Udbedring af malware er altid en større opgave. Oftest vil det være hurtigst og mest sikkert at re-installere maskinen med et nyt image. Dette kan selvfølgelig betyde tab af data, men det er oftest det mest sikre, da man ikke ved, hvilke data der er inficeret med malware.
En anden metode til identifikation og udbedring er anvendelse af NAC, som sikrer, at kun maskiner, der har opdaterede antivirus, applikationer, servicepacks mm. tillades på netværket. Når en computer identificeres af NAC systemet som værende ”non compliant”, vil den blive isoleret i et karantæneområde, og i dette karantæneområde har man mulighed for at opdatere computeren f.eks. med servicepacks mm. Hvis den inficerede maskine ikke kan udbedres men kræver et nyt image, vil karantæneområdet stadig have værdi, da computeren så ikke vil smitte andre computere i netværket.
5. Den menneskelige faktor
I forbindelse med malware skal man ikke glemme den menneskelige faktor. Det er i langt de fleste tilfælde ikke af ond vilje, at brugerne bliver inficeret af malware – det skyldes uvidenhed eller letsindighed, og selvom teknik ikke kan løse alle problemer med malware, så kan teknikken være med til at sikre, at brugerne ikke downloader kendt malware og ikke besøger hjemmesider, som er kendte for at hoste malware mm.
Teknik er ikke 100 % effektiv – langt fra, og derfor bør man også fokusere på, hvordan man kan uddanne brugerne til at få en forståelse for, hvad malware er, hvordan det fungerer, og hvordan man kan undgå det.
6. Spreder du selv malware?
Malware bliver i høj grad spredt via inficerede hjemmesider, og her udnytter hackerne, at der i dag findes en lang række sårbarheder i web applikationer, som gør det muligt for dem at sprede malware. Det er derfor en rigtig god ide at få foretaget en sikkerhedstest af webapplikationerne – og at overveje om en Web Application Firewall (WAF) kan beskytte hjemmesiderne mod kendte angreb.
