Quarantaine 🟢 Bescherming

A quarantaine is een beveiligingsmaatregel die bestaat uit het isoleren van een verdacht element (geïnfecteerd bestand of materiaal, e-mail van phishingeen potentieel schadelijk programma of systeem, enz. geïsoleerd en veilig gebied van het systeem om te voorkomen dat het schade veroorzaakt aan de rest van het systeem of netwerk.

Deze geïsoleerde zone is ontworpen om te voorkomen dat het item in quarantaine wordt uitgevoerd, zich verspreidt of interageert met de rest van het systeem of netwerk. Het is een preventieve en reactieve beveiligingsmaatregel.

©Alexandre SALQUE/ORSYS

Doelstelling quarantaine

• De dreiging indammen : het belangrijkste doel is om te voorkomen dat schadelijke software of een geïnfecteerd bestand geen verdere schade kan aanrichten. Het isoleren van de bedreiging beperkt de mogelijkheid om zich te verspreiden naar andere bestanden, systemen of gebruikers.
• De dreiging analyseren : Quarantaine houdt een verdacht item veilig zodat het meer in detail kan worden geanalyseerd. Beveiligingsexperts kunnen het bestand in quarantaine onderzoeken om te bepalen of het echt een bedreiging is, wat voor soort bedreiging het is en hoe het bestand volledig kan worden geneutraliseerd.
• De dreiging neutraliseren Als wordt bevestigd dat een item kwaadaardig is, kan het veilig worden verwijderd of geneutraliseerd, zonder het risico dat andere delen van het systeem worden geïnfecteerd.
• Verminderen fout-positieven : Soms kan beveiligingssoftware ten onrechte een legitiem bestand als kwaadaardig identificeren (dit staat bekend als een "vals positief"). Met quarantaine kunnen verdachte bestanden in de wacht worden gezet zonder dat ze onmiddellijk worden verwijderd. Als na analyse blijkt dat het bestand veilig is, kan het worden teruggezet op de oorspronkelijke locatie. Als het een echte bedreiging is, kan het veilig worden verwijderd.
• Toekomstige infecties voorkomen: Door te begrijpen hoe een bedreiging is gedetecteerd en in quarantaine is geplaatst, kunnen beveiligingsteams hun verdediging versterken en maatregelen nemen om soortgelijke aanvallen in de toekomst te voorkomen.

👉 Soorten quarantaine

• Quarantaine van bestanden isolatie van verdachte bestanden (bijv. bijlagen, downloads)
• Quarantaineprocessen Sommige inbraakdetectiesystemen (IDS) of intrusion prevention systems (IPS) kunnen processen die zich abnormaal of kwaadaardig lijken te gedragen in quarantaine plaatsen.
• E-mails in quarantaine plaatsen dubieuze e-mails of e-mails met koppelingen/phishing blokkeren.
• Quarantaine netwerk Een geïnfecteerd netwerksegment isoleren (bijvoorbeeld om het aantal ransomware).
• Quarantaine d'appareils een aangetast apparaat blokkeren totdat het gedesinfecteerd is.

Hoe het werkt

Wanneer een item in quarantaine wordt geplaatst, kan het beveiligingssysteem een aantal acties ondernemen:

• Het bestand verplaatsen : wordt het bestand vaak verplaatst naar een speciaal aangewezen quarantainemap. Deze map is meestal beveiligd en ontoegankelijk voor normale systeemprocessen.
• Encryptie : In sommige gevallen kan het bestand in quarantaine versleuteld zijn om ervoor te zorgen dat het niet per ongeluk kan worden uitgevoerd.
• Machtigingen wijzigen : De permissies van het bestand kunnen worden aangepast om te voorkomen dat het wordt uitgevoerd.
• Netwerktoegang verwijderen : Als een heel apparaat of systeem in quarantaine is geplaatst, kan het worden losgekoppeld van het netwerk om communicatie met andere apparaten te voorkomen.

Statistieken en cijfers

• 95 % van de bedrijven gebruikt quarantainemechanismen om malware tegen te gaan (Ponemon Institute, 2023).
• In een middelgroot bedrijf worden gemiddeld 500 bestanden per maand in quarantaine geplaatst (Verizon DBIR, 2023).
• Quarantainesystemen verkorten de responstijd bij incidenten met 60 % (Gartner, 2022).
• Een malware-aanval die dankzij quarantaine wordt voorkomen, bespaart tot 2,6 miljoen dollar aan potentiële kosten (IBM Cost of a Data Breach, 2023).