Met één druk op de knop altijd en overal kunnen werken. Dat is wat eindgebruikers willen. Tegelijkertijd wil jij als IT-securityprofessional zeker weten dat medewerkers zo goed mogelijk beschermd zijn in de VDI-omgeving. Dat brengt je in een onmogelijke spagaat.
Jouw organisatie koos voor desktop virtualisatie onder meer vanwege de grotere flexibiliteit, de eenvoud in beheer en de kosten-efficiëntie. Door zoveel mogelijk simultane applicatie-sessies op zo min mogelijk virtuele server resources onder te brengen, viel tenslotte veel te besparen. Helaas blijkt maar al te vaak de antivirus-oplossing hier roet in het eten te gooien.
This article in English? Click here.
Cette article en Français? Cliquez ici
Een slecht huwelijk
Een traditionele antivirus-oplossing past in de kern heel slecht in een gevirtualiseerde desktop omgeving. Dit komt doordat traditionele antivirus-oplossingen zich richten op het herkennen van (slechte) bestanden op basis van hun uiterlijke kenmerken (‘file hashes’). Gezien de enorme hoeveelheid slechte bestanden die in de loop der jaren zijn aangetroffen, maakt een antivirus oplossing gebruik van een gigantische database waarin bekend slechte en bekend betrouwbare bestanden zijn opgenomen.
Uiteraard wordt de waarde van deze antivirus database bepaald door de actualiteit ervan. En daar zit hem nu juist het probleem. Bij het opstarten van elke nieuwe VDI-sessie is deze database per definitie achterhaald en dient dus allereerst te worden geactualiseerd. Verlies van kostbare tijd en resources is het gevolg. Wanneer de (non-persistent) VDI-sessie aan het eind van de dag weer wordt afgesloten, wordt de geactualiseerde antivirus database in feite weer weggegooid. De volgende dag herhaalt dit proces zich uiteraard opnieuw. Voor elke sessie. Elke dag.
Onverantwoordelijke concessies
Om al te grote budgetoverschrijdingen te vermijden en mede onder druk van de bedrijfsvoering, kiezen CISO’s er regelmatig voor om de security maatregelen op hun VDI-servers te reduceren. Hierdoor kunnen er tenslotte meer gebruikers worden bediend zonder extra servercapaciteit te hoeven aanschaffen. Meer dan eens betreft het hier niet zomaar de ‘nice to have’ security features, maar worden er willens en wetens onverantwoordelijke concessies gedaan aan het securityniveau binnen de organisatie.
De oplossingen die je niet moet kiezen
In de praktijk zie je veel organisaties zoeken naar oplossingen voor dit terugkerende probleem. Sommige organisaties kiezen voor investering in meer servercapaciteit, maar dat brengt hoge kosten met zich mee (die men juist wilde drukken middels virtualisatie). Er zijn dan ook CISO’s die zich genoodzaakt voelen om de hele antivirus-oplossing maar uit te zetten, zodat de gebruikers in ieder geval hun werk kunnen doen. Allebei geen goed idee.
Tijd om afscheid te nemen
Behalve de performance-uitdagingen die traditionele antivirus-oplossingen met zich meebrengen, bieden deze oplossingen allang geen goede bescherming meer tegen de moderne aanvalstechnieken waar kwaadwillenden zich van bedienen. Een standaard antivirus-oplossing kijkt tenslotte alleen naar bedreigingen die verpakt zijn in een bestand. En dat dan vaak enkel voor bestanden die eerder zijn gezien. Hackers weten dat, en zorgen ervoor dat hun bestanden simpelweg van gedaante veranderen of nog vaker kiezen ze voor aanvallen die helemaal geen bestand nodig hebben als aflevermechanisme – de zogenaamde ‘file-less attacks’.
Het compromis overwonnen
Een echte ‘next generation’ endpoint securityoplossing staart zich niet blind op het herkennen van bestanden. In plaats daarvan is het gericht op het herkennen van verdachte gedragingen op het systeem, waardoor bescherming wordt geboden tegen zowel bestands-gebaseerde als bestandsloze dreigingen, ongeacht of deze eerder zijn gezien.
Dergelijke geavanceerde endpoint securityoplossingen die op deze manier werken, zijn niet afhankelijk van een databases van beschrijvingen over wat goed of slecht is. In plaats daarvan zijn deze oplossingen altijd up-to-date. Dus ook bij het opstarten van een nieuwe VDI-sessie. Dit levert zomaar een halve minuut tijdswinst op bij het opstarten van een VDI-sessie. Voor elke sessie. Elke dag.
Kies je voor zo’n moderne endpoint securityoplossing, dan kun je met een gerust hart het maximale halen uit de beschikbare server resources – zonder concessies te hoeven doen aan het beveiligingsniveau.
Eric van Sommeren is Director Sales Noord-Europa voor SentinelOne. Hij deelt zijn passie voor endpoint security software als gastblogger bij EASI.
