Sandblåsing mot skadevare

KLAR FOR SANDBLÅSING: Check Points nordiske sjef Örjan Westman (til venstre) i kollegial samtale på Aker Brygge med Trygve Aasheim, tidligere Check Point-ansatt som nylig har vendt tilbake til selskapet. (Foto: Toralv Østvang)

Sandblåsing mot skadevare

Check Point har nå videreutviklet sin sandkasse-teknologi til enda raskere detektering av skadevare. Løsningen kalles Sandblast.

Sikkerhetsselskapet Check Point har lenge brukt den såkalte sandkasse-teknologien for å isolere datafiler som kan inneholde ondsinnet programvare. Ved å isolere mistenkelige filer kan man søke etter trusler i ro og mak, uten frykt for at datasystemet blir infisert.

Mottiltak mot mottiltak

De som utvikler skadevare har imidlertid utviklet mottiltak mot sandkasse-behandlingen. Ett av mottiltakene er å sørge for at de infiserte filene bokstavelig talt ligger rolig og ikke begynner å utrette noen skade før overvåkningen er redusert eller avsluttet. Som agenter bak fiendens linjer ligger de der som en sovende celle, uten risiko for å bli oppdaget.

Nå har Check Point gått et steg videre for å sørge for at skadevare som oppfører seg slik, likevel blir oppdaget. Selskapet har lånt den språklige metaforen sandblåsing for å visualisere hva som skjer når skadevaren tvinges til å avsløre seg enda tidligere enn før. Bildet er at når man driver med sandblåsing inne i en sandkasse, kan intet sandkorn ligge stille. Fiendtlig programvare tvinges frem i lyset.

Sandblast kaller Check Point den oppgraderte sikkerhetsløsningen, som allerede har vært tilgjengelig for kundebedriftene en stund.

Løsningen overvåker prosessoraktivitet på utkikk etter avvik – eller det motsatte, inaktivitet – som kan avsløre at det benyttes sofistikerte metoder for å hindre at skadevaren blir oppdaget i sandkassen. Det er teknologi innebygd i Intels Haswell-arktitektur som ligger i bunnen.

Man tar utgangspunkt i at det forventes en eller annen form for prosessoraktivitet knyttet til filen i sandkassen. Dette kan dreie seg om aktivitet som settes i gang på et uventet tidspunkt, eller det motsatte, det vil si at man forventer en aktivitet som ikke skjer.

Et eksempel kan være at skadevaren setter seg selv på vent. Hensikten med angrepet kan være å få lastet ned annen ondsinnet programvare i bedriftens datasystem. Sofistikert skadevare som angriperne forventer kan havne i en sandkasse-sjekk, kan være programmert til å vente med å laste ned ny skadelig programvare til etter at de infiserte filene er ferdig analysert i sandkassen og eventuelt sendt inn i selve datasystemet.

– En katt- og mus-lek

– Det er viktig å forstå kompleksiteten som er knyttet til å kjøre i et sandkasse-miljø. Dette blir ofte en katt-og-mus-lek om hvem som kommer først, sier Check Points nordensjef Örjan Westman i en samtale med Computerworld i selskapets norske hovedkontor i Oslo.

Mange av selskapets kunder jobber med tidskritiske oppgaver. Et eksempel er eiendomsmeglere, som ikke har tid til å vente på langvarig skadevarejakt når de er midt inne i en budrunde. Selv om det ligger en viss forsinkelse inne i Sandblast-prosedyren, er den så liten at kundene stort sett ikke vil merke noe til den, hevder Check Point-folkene.

Både i skyen og lokalt

Sandblast-utvidelsen av Check Points beskyttelsesløsning kan kobles til selskapets skytjenester, der jakten på skadevare skjer hos Check Point, eller den kan kjøres i kundens eget datasenter.

Løsningen har allerede vært tilgjengelig en stund for kunder som benytter Check Points sandkasse-løsning kalt Threat Emulation, som Sandblast er en utvidelse av.

Nå lanserer Check Point også en ny funksjon i denne sammenheng, kalt Threat Extraction. Løsningen gjør det mulig å utføre en slags midlertidig forbikjøring av Sandblast-analysen ved at mottatte dokumenter kan leses før de sendes ned i sandkassen.

Dette gjøres ved at for eksempel et Word-dokument konverteres til en PDF-fil. Dermed blir eventuell skadevare i Word-filen nøytralisert, og man kan lese teksten i påvente av at Word-filen klareres og settes sammen igjen uten skadevare. Mottatte PDF-dokumenter kan konverteres en ekstra runde til et nytt PDF-dokument.

Sandblast-løsningen er for øvrig uavhengig av hvilken versjon av operativsystem og kontorprogramvare som benyttes i bedriften.

Ikke redd konkurrentene

På spørsmål fra Computerworld om Check Point er redd for at konkurrentene raskt vil komme etter med lignende løsninger, svarer Westman at ingen konkurrenter er like langt fremme i denne teknologien i dag.

– Dessuten er vi godt patentert, tilføyer han.

Westman fremholder at den nye Check Point-løsningen ikke er dyrere enn andre sandkasse-løsninger på markedet. – I tillegg er vi mer avansert, hevder han.

Målgruppene for Sandblast-løsningen er store og mellomstore bedrifter, inkludert bank, finans, forsikring, offshore-sektoren og offentlige etater.