Har stoppet alt de to siste årene

Har stoppet alt de to siste årene

Cisco utnytter at ormer og virus kun kan overleve, spre seg og lamme datamaskiner på et begrenset antall måter.
Såkalte Day Zero-angrep er et økende problem for it-bransjen. Sårbarheter og sikkerhetshull oppdages og utnyttes før sikkerhetsselskapene får oppdatert sine signaturfiler. Og programvare-produsentene klarer ikke å oppgradere applikasjonene raskt nok til at skadelige angrep kan unngås.

Cisco svar på de siste års utvikling er å utvikle nettverk som forsvarer seg selv (self-defending network). Dette gjøres gjennom å legge inn ulike sikkerhetsmekanismer i nettverksutstyret.

Men selv ikke rutergiganten har tro på at alle trusler kan stoppes før de kommer fram til datamaskinen. I stedet har selskapet begynt å interesse seg for vertsmaskin-basert innbruddsprevensjon, altså programvare som installeres på servere og pc-er.

På pc-en

For snart to år siden kjøpte Cisco sikkerhetsselskapet Okena. Programvareselskapets hovedprodukt var programvare som avslører mistenkelig oppførsel i en datamaskin. Denne løsningen er nå relansert som Cisco Security Agent (CSA).

-- CSA har stoppet alle ormer og virus de to siste årene. Og ikke minst har programmet hindret alle truslene fra å spre seg videre, sier Kjetil Berge, systemingeniør i Cisco Norge.

CSA har mange likhetstrekk med Normans Sandbox og tilsvarende løsninger fra antivirus-selskapene. Programmet baserer seg ikke på å kjenne igjen den såkalte signaturen til ormer og virus, men på å oppdage mistenkelig oppførsel.

På engelsk snakker fagfolk om de tre p-ene persist (overleve), propagate (spre seg) og paralyse (lamme).

-- Ormer og virus kan overleve, spre seg og lamme en datamaskin på et begrenset antall måter, forklarer Berge.

Bedriftsløsning

Den enkelte pc-bruker kan ikke endre innstillingene i programmet. Løsningen er kun beregnet for bedrifter med sentral sikkerhets-policy. Reglene for hva som skal oppfattes som mistenkelige operasjoner settes i et administrasjonssenter. Samme sted bestemmes også om disse operasjonene skal stoppes, eller om den enkelte bruker skal kunne avgjøre.

-- Tjenestetilbyderne kan selge CSA som en administrert tjeneste. Da ville også privatbrukere kunne få tilgang til løsningen, sier forretningsutvikler Nils-Ove Gamlem i Cisco Norge.

Typiske handlinger som bør flagges som mistenkelige, er hvis epost-programmet vil sende epost til alle i adresseboka eller hvis registry-filer endres. Selv-modifiserende kode og overfylt mellomlager (buffer overflow) varsles også. Filer som lastes ned fra nettet merkes som potensielt farlige.

Ikke antivirus

-- Sql-ormen Sasser ble ikke stoppet fordi vi ikke kan hindre oppslag i en sql-database. Men det viktige er at CSA stoppet ormen fra å spre seg, sier systemingeniør Kjetil Berge.

CSA er ikke et antivirus-program som fjerner uønsket kode. Programmet må derfor eventuelt installeres i tillegg til andre sikkerhetsløsninger.