Beskytt deg mot det ukjente

Beskytt deg mot det ukjente

De alvorligste truslene som du skal beskyttes mot er ikke kjente på forhånd. Det er sikkerhetsselskapenes utfordring i dag.

Når en ny sårbarhet eller et sikkerhetshull blir kjent, er det om å gjøre å sikre seg mot at det blir utnyttet. Det kan gjøres ved patching, som igjen krever at leverandøren av produktet med sårbarhet har laget en patch som tetter sikkerhetshullet.

Enkelte sikkerhetsleverandører, som Internet Security Systems, har løsninger hvor de kan legge inn en "virtuell patch" som tetter hullet. Kroneksempelet til Internet Security Systems er Slammer-ormen, som i januar 2003 spredte seg med rekordfart. Svakheten i SQL Server, som Slammer utnyttet, ble varslet i juli 2002.

17. september hadde kunder av Internet Security Systems beskyttelse tilgjengelig. 16. oktober hadde Microsoft en patch klar til nedlasting. Altfor få installerte denne, kanskje fordi svært mange ikke engang ante at de var utsatt for sikkerhetshullet, siden de ikke bevisst kjørte databasen SQL Server. Lørdag 25. januar 2003 dukket Slammer opp. I løpet av en time var 75.000 systemer angrepet.

På forhånd

I løpet av helgen hadde sikkerhetsselskapene løsninger klare. Slammer ble gjenkjent og stoppet. Men det var nettopp dette som ga den store aha-opplevelsen. Det går ikke lenger an å vente på et angrep; svakheter må dekkes opp på forhånd. Og unormal trafikk må analyseres.

Det siste er ingen stor nyhet; systemer for inntrengingsoppdagelse og senere -forhindring (IDS og IPS) har eksistert en tid. Likeledes applikasjonsbrannmurer, protokollovervåkere og hva en nå velger å kalle de mange tiltakene det går an å ta.

Det gjelder å stoppe virus, ormer, crackere, spam og hele rekken av aktive trusler som banker på nær sagt enhver ip-adresse og port. Mye holdes ute ved å holde porter stengt og ikke svare. Atter andre trusler gjenkjennes, som virus det finnes signaturer for eller ved at innholdet i trafikken ikke er i samsvar med hva det gir seg ut for å være.

Minutter teller

For sikkerhetsselskapene er utfordringen nå å beskytte mot de ukjente truslene -- å avdekke sårbarhet før "de slemme" gjør det. De må tenke ut metoder å angripe på som ikke er gjort før, og så lage beskyttelse mot dette. De må ligge foran skurkene, rett og slett. Hvor vanskelig dette er, illustrerer produktsjef Greg Adams i Internet Security Systems ved å vise til søppelpost. Kjente spammere skifter taktikk og måtene å sende ut spam på så ofte som hvert 30. minutt.

-- Derfor oppdaterer vi spamfiltrene våre hvert tiende minutt, forteller han.

Det finnes en rekke løsninger på markedet i dag som går ut over "klassisk" brannmur og inntrengingsdeteksjon. Leverandører fra de store og kjente til de mindre og mer ukjente er med. For mange til å nevne, og med store forskjeller i funksjonalitet og siktemål.

Aktiv oppdatering

Kombinerte løsninger er imidlertid en trend. En og samme boks eller løsning tar sikte på å håndtere alle trusler, inkludert spam og web-filtrering. Eller den jobber sammen med brannmur og eksisterende sikkerhetsløsninger. Det som kan skille enkelte ut fra andre er måten løsningen driftes på.

For en travel it-avdeling er det nær umulig å holde seg oppdatert på alle nye trusler, patcher og tiltak. Derfor tilbyr flere leverandører abonnementsordninger hvor oppdatering skjer automatisk. Noen tilbyr også å overta driftingen av hele sikkerhetsløsningen.

Hvilken løsning som er den beste kan variere for den enkelte virksomhet. Som alltid når det gjelder sikkerhet blir det mye et spørsmål om hvilken leverandør du har tillit til. Derfor kan det være lurt å sette seg inn i de forskjellige tilbudene før du velger løsning.

Samtidig som Slammer, Blaster, Klez, Swen, Nimda og Code Red varsler om at du ikke har all verdens tid før du beskytter deg enda bedre. For ikke å snakke om spam og phishing.