Bestanden scannen is niet meer genoeg: zo definieert NordVPN ‘next-gen antivirus’

Het probleem met de huidige definitie

Tot nu toe werd antivirussoftware vooral gedefinieerd door hoe goed het gevaarlijke bestanden kan herkennen. De eerste antivirusprogramma’s vergeleken bestanden met bekende aanvalspatronen. Later kwamen daar slimmere technieken bij, zoals heuristische detectie, gedragsanalyse, sandboxing en classificatie met machine learning. Maar al die generaties draaiden uiteindelijk om dezelfde vraag: is dit bestand gevaarlijk? En precies daar wringt het. Het dreigingslandschap is veranderd. Veel aanvallen van nu – zoals phishing, scams, identiteitsfraude en social engineering – maken helemaal geen gebruik van schadelijke bestanden.

De huidige definitie van ‘antivirus’ loopt daardoor achter op de realiteit.

Virussen zijn allang niet meer het grootste gevaar

De meeste online dreigingen draaien tegenwoordig niet om virussen. Denk aan de risico’s waar mensen dagelijks mee te maken krijgen:

• Scams zijn uitgegroeid tot geraffineerde vormen van social engineering. Nepwebshops gebruiken overtuigende productpagina’s, verzonnen reviews en werkende betaalprocessen om betaalgegevens te stelen. Oplichters schrijven sms’jes uit naam van bezorgdiensten, de Belastingdienst of banken. Telefonische oplichting maakt gebruik van spoofing (vervalste beller-ID’s) en AI-gegenereerde stemmen om geld en persoonlijke informatie los te krijgen. Voor geen van deze aanvallen is een schadelijk bestand nodig.
• Ook phishing is allang niet meer beperkt tot slecht gespelde e-mails. Phishingpagina’s zijn tegenwoordig vaak bijna perfecte kopieën van echte websites, soms gehost op gehackte domeinen met geldige SSL-certificaten. Ze zijn ontworpen om inloggegevens, sessietokens, verificatiecodes en persoonlijke gegevens voor accountherstel te stelen.
• Identiteitsdiefstal is de grootste beveiligingszorg onder NordVPN-gebruikers. Aanvallers kunnen ongeautoriseerde toegang krijgen tot accounts via credential stuffing, sessiekaping, sim-swapping en social engineering. Eenmaal binnen kunnen ze het account overnemen door de oorspronkelijke eigenaar buiten te sluiten. Met gestolen persoonsgegevens kunnen ze ook nieuwe kredieten aanvragen of fraude plegen op naam van het slachtoffer.
• Malware en schadelijke bestanden blijven een serieuze dreiging. Wat mensen downloaden en wat er op hun apparaten draait, moet nog steeds worden gecontroleerd. Maar bestanden zijn tegenwoordig nog maar één aanvalsmethode tussen vele andere.

Digitale beveiligingstools die alleen schadelijke bestanden aanpakken, zijn niet genoeg om mensen vandaag de dag online te beschermen.

Nieuwe definitie van antivirus 

De term antivirus stamt uit een tijd waarin schadelijke bestanden de grootste digitale dreiging waren. Door jarenlange marketing van traditionele beveiligingsmerken werd ‘antivirus’ een algemene term voor beveiligingssoftware – zoals Luxaflex een verzamelnaam werd voor jaloezieën en Tikkie voor betaalverzoeken. Die associatie verdwijnt niet zomaar.

De zakelijke beveiligingssector merkte als eerste dat klassieke antivirus tekortschiet. Zo ontstond next-generation antivirus, of NGAV: beveiliging die niet alleen bekende schadelijke bestanden herkent, maar ook kijkt naar verdacht gedrag. Met technieken zoals gedragsdetectie en machine learning kan NGAV dreigingen opsporen die traditionele antivirus vaak mist, zoals fileless malware, verdachte processen en misbruik van kwetsbaarheden.

Voor bedrijven is NGAV een belangrijke stap vooruit. Maar deze tools zijn vooral gemaakt voor zakelijke omgevingen: beheerde apparaten, beveiligingsteams en dreigingen waarbij aanvallers systemen proberen binnen te dringen. Ze gebruiken daarbij veel gedragsdata – data die een privacygericht consumentenproduct juist niet zou moeten verzamelen.

Daardoor heeft ‘antivirus’ nu eigenlijk twee betekenissen. Aan de ene kant is er het oude consumentenmodel, uit een tijd waarin schadelijke bestanden de grootste dreiging waren. Aan de andere kant is er het zakelijke NGAV-model, gebouwd voor bedrijfsnetwerken en professionele beveiligingsteams. Het eerste is verouderd, het tweede is niet ontworpen voor individuele gebruikers. Geen van beide sluit goed aan op de dreigingen waar mensen vandaag op hun persoonlijke apparaten mee te maken krijgen.

Mensen zoeken nog steeds naar ‘antivirus’, maar bedoelen eigenlijk bredere bescherming: tegen malware, phishing, identiteitsdiefstal, scams en accountovernames. De definitie moet dus meegroeien met wat antivirus vandaag geacht wordt te beschermen.

NordVPN definieert ‘next-gen antivirus’ daarom als een brede tool voor digitale bescherming tegen bedreigingen. In die definitie biedt next-gen antivirus bescherming op vijf gebieden:

• Bescherming tegen scams. Onze next-gen antivirus herkent frauduleuze websites en nepwinkels, waarschuwt voor scam-sms’jes, signaleert verdachte oproepen en zorgt dat je veilig kunt internetbankieren.
• Bescherming tegen phishing. Dit omvat de controle van URL’s, e-maillinks en webcontent in realtime, zodat pogingen om inloggegevens te stelen worden tegengehouden voordat je ermee te maken krijgt.
• Bescherming tegen identiteitsdiefstal en accountovername. Onze next-gen antivirus monitort pogingen tot identiteitsfraude, herkent fraudepatronen, scant het dark web op blootgestelde persoonlijke gegevens en waarschuwt bij gelekte inloggegevens. Ook zwakke wachtwoorden en verdachte toegangspogingen via credential stuffing, sessiekaping, sim-swapping of social engineering worden gesignaleerd.
• Tracker- en advertentieblokkering. Dit omvat het blokkeren van cross-site trackers, fingerprinting-scripts en opdringerige advertenties die je privacy aantasten, je apparaat vertragen en extra ingangen kunnen creëren voor gerichte misleiding.
• Bestands- en apparaatbescherming. Bestanden worden gescand terwijl je ze downloadt en schadelijke bestanden worden in quarantaine geplaatst of verwijderd voordat ze kunnen worden uitgevoerd.

NordVPN vindt de antiviruscategorie dus niet opnieuw uit, maar breidt hem wel uit met de dreigingen waarvan mensen al verwachten dat antivirus ze tegenhoudt.

Zo hebben we onze next-gen antivirus gebouwd

Effectieve digitale bescherming vraagt om een balans tussen drie dingen: we profileren gebruikers niet, we meten alleen data die helpt om het product te verbeteren, en we bouwen de bescherming zo dat gebruikers er zo min mogelijk naar hoeven om te kijken.

Kies je één van die principes ten koste van de andere, dan krijg je al snel een product dat te opdringerig, onbetrouwbaar of ingewikkeld is. Een product dat op alle drie is gebouwd, is moeilijker om te maken – maar makkelijker om te vertrouwen.

We profileren niet

NordVPN is een privacybedrijf. Gebruikers vertrouwen ons omdat we ze niet volgen. Dat uitgangspunt bepaalt hoe we onze bescherming bouwen: dreigingsdetectie moet effectief zijn, maar zo weinig mogelijk data vereisen.

Onze regel is simpel: alleen de data die nodig is om een dreiging te herkennen, mag het apparaat verlaten. Is analyse op onze servers nodig, dan verwijderen we eerst elke koppeling met de gebruiker voordat de data wordt doorgestuurd.

In de praktijk betekent dit het volgende:

• Bestanden worden waar mogelijk gecontroleerd op basis van hun hash, niet op basis van de inhoud.
• URL’s worden vóór een cloudcontrole ontdaan van queryparameters en persoonlijke padonderdelen. Zo wordt geen enkele URL aan een specifieke gebruiker gekoppeld.
• Authenticatiecookies worden gehasht, en alleen de eerste acht tekens verlaten het apparaat.

Ons dataschema bevat geen veld voor directe gebruikersidentificatie. Privacy hangt dus niet af van de vraag of iemand zich aan de regels houdt – het systeem dwingt die bescherming af in het ontwerp.

We meten zonder mee te kijken

Dreigingsdetectie zonder metingen is giswerk. We moeten weten of onze phishingclassifier beter wordt, of scamdetectie nieuwe patronen herkent en waar onze modellen nog dreigingen missen. Daarvoor is feedbackdata nodig.

Maar feedbackdata zonder duidelijke grenzen kan beveiligingssoftware veranderen in surveillancesoftware. Daarom meten we detectiesystemen, geen persoonlijke gegevens. Elke laag in onze stack levert geaggregeerde prestatiedata op:

• Machinelearningclassifiers rapporteren detectiepercentages en fout-positieve ratio’s.
• Fuzzy hashing rapporteert classificatiesnelheid.
• Threat intelligence-feeds rapporteren hoe actueel de feeds zijn.

Het product berekent deze metrics op basis van steekproeven op populatieniveau. Modellen worden opnieuw getraind met geanonimiseerde dreigingssamples en statistische samenvattingen. Browsegeschiedenis van gebruikers komt niet in de feedbackloop terecht. We kunnen zien of ons phishingmodel beter wordt, maar niet wat een specifieke gebruiker deed toen er een dreiging werd gemarkeerd.

We ontwerpen ons product om onzichtbaar te zijn

De beste beveiliging is beveiliging waar je nauwelijks iets van merkt: geen ingewikkelde instellingen, geen eindeloze meldingen en geen technische kennis nodig. Om zo’n product te bouwen, moeten we begrijpen hoe mensen het gebruiken. Daarom bepalen we vooraf welke minimale data nodig is om de ervaring te verbeteren – en verzamelen we niet meer dan dat.

Met toestemming van de gebruiker meten we:

• of functies aan of uit staan en hoe vaak ze worden gebruikt;
• volumestatistieken, zoals hoeveel dreigingen in een bepaalde periode zijn geblokkeerd;
• tevredenheidsscores uit directe enquêtes.

Geen van deze gegevens laat zien wat een specifieke gebruiker deed. Ze vertellen ons alleen of het product goed genoeg werkt om op de achtergrond zijn werk te doen.

Deze data is bewust niet-gevoelig. Ze kan niet worden gecombineerd om gedrag te reconstrueren, intenties af te leiden of een gebruikersprofiel op te bouwen.

NordVPN’s aanpak van AI: kleine modellen voor specifieke taken

NordVPN gebruikt kleine, gespecialiseerde machinelearningmodellen die elk zijn getraind voor één duidelijk afgebakende detectietaak. In plaats van één groot model te bouwen dat alle dreigingen moet herkennen, ontwikkelen we modellen die zijn afgestemd op specifieke soorten risico’s:

• Een model dat URL’s beoordeelt op kenmerken van phishing.
• Een model dat patronen herkent in frauduleuze webshops.
• Een model dat bestandsgedrag analyseert op signalen van malware.
• Een model dat social engineering-patronen in berichten detecteert.

Sommige modellen zijn licht genoeg om direct op het apparaat van de gebruiker te draaien. Andere werken in de browserextensie. Modellen die meer rekenkracht nodig hebben, draaien in de backend. Wanneer de verwerking lokaal gebeurt, blijven de relevante gegevens op het apparaat en worden ze niet naar externe servers gestuurd voor analyse.

Elk model kan afzonderlijk worden getest en bijgewerkt. Als de prestaties afnemen, kunnen we daardoor precies achterhalen waar het misgaat. En omdat de modellen los van elkaar werken, vragen ze geen aandacht van de gebruiker en onderbreken ze de ervaring niet.

Die scheiding maakt metingen ook nauwkeuriger. Presteert een phishingmodel minder goed, dan weten we precies wat opnieuw moet worden getraind en met welke data. Geeft een scamdetectiemodel te veel fout-positieve meldingen, dan kunnen we dat aanpassen zonder gevolgen voor malwaredetectie. Omdat elk model één taak heeft, kunnen we gericht zien wat er faalt en waarom.

Machinelearningmodellen werken goed binnen een duidelijke afbakening, maar schieten tekort als je ze als complete oplossing ziet. Onze modellen werken daarom samen met regelgebaseerde systemen, threat intelligence-feeds en menselijke beoordeling. Elk onderdeel dekt wat de andere onderdelen niet kunnen.

Voor realtime dreigingsdetectie op miljoenen verschillende apparaten en in uiteenlopende situaties zijn kleine, gespecialiseerde modellen voor ons de meest effectieve aanpak – zonder dat dit ten koste gaat van de privacy van gebruikers.

De toekomst van antivirus

De term antivirus verdwijnt niet. Het is de manier waarop mensen over digitale bescherming denken, ernaar zoeken en die bescherming kopen. De sector kan blijven doen alsof antivirus alleen om het scannen van bestanden draait en de rest van het dreigingslandschap buiten beschouwing laten. Of we kunnen producten bouwen die aansluiten bij wat mensen vandaag van antivirus verwachten.

Wij kiezen voor dat laatste. We hebben één product gebouwd dat beschermt tegen scams, phishing detecteert, identiteitsrisico’s monitort en bestanden beveiligt – met privacy als uitgangspunt, nauwkeurig gemeten en ontworpen om te werken zonder dat gebruikers security-experts hoeven te zijn.

Een digitale beschermingstool die phishing, scams, identiteitsdiefstal en malware aanpakt: dát is wat antivirus vandaag de dag volgens ons moet bieden.

Referenties

¹ Šlekytė, I. (2025, June 25). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/