Nye vaksiner fra Norman

Nye vaksiner fra Norman

Med moden SandBox-teknologi, nye inspiseringsmetoder, ny appliance og et omfattende nytt administrasjonsverktøy satser Norman mest på proaktiv beskyttelse.

Med sine rundt 200 ansatte har det Lysaker-baserte sikkerhetsselskapet denne våren lansert flere omfattende mekanismer for å stoppe fiendtlig kode. Norman lanserte nylig versjon 3.6 av Norman Network Protection (NNP) Appliance som gir proaktiv sanntidsbeskyttelse for bedriftsnettverk.

Løsningen skanner både inn- og ut-trafikk og skal i følge Normans tekniske sjef, Are Føllesdal Tjønn, kun stoppe de skadelige innholdet. Det vil si at websider og annet vil kunne fungere som normalt, men at stoff fra for eksempel en bestemt url nektes.

NNP er basert på selskapets kjente SandBox-teknologi, men også den nye DNA Matching-teknologien som nå er på plass. Appliancen fungerer som en transparent enhet i nettverket, og skadelig kode vil bli stoppet før den når målet ved at NNP isolerer den skadelige filen.

Løsningen støtter Gigabit Ethernet av lokalnettprotokoller og internettprotokoller, og administreres via et web-basert administrasjonssystem.

Enheten kjører på Linux og søkemotoren og definisjonsfilene oppdateres automatisk uten driftsstans eller manuelle operasjoner. NNP-programvaren leveres fra 25- til ubegrenset antall brukere på plattformene CR 100 og PowerEdge 1950.

Går i dybden

DNA Matching har som mål å gjenkjenne programkodestrukturer som blir brukt av malware som virus, spionprogrammer og trojanere. Teknologien samhandler med SandBox, og skal integreres i alle Normans antivirus- og antispywareløsninger.

- Ved hjelp av SandBox analyserer vi alle de ulike byggeklossene. Deretter bygger vi opp to store registre. Ett for rene og godkjente komponenter, og ett for de kriminelle og potensielt skadelige, forteller Føllesdal Tjønn til Nettverk & Kommunikasjon. Hvis koden som sjekkes inneholder for mye skummelt innhold, vil den bli nektet å kjøre.

- En stor utfordring i dag er at den fiendtlige programvaren er blitt svært god til å beskytte seg selv, og bruker gjerne mange knep på å styre unna sikkerhetsprogrammer.

Dette gjør blant annet at vi gjerne må dekryptere/dekomprimere for å se hele koden. Flere av de skadelige programmene begynner heller ikke sine krumspring før de er skannet for eksempel ti ganger eller når de får beskjed utenfra, sier Føllesdal Tjønn.

Effektiv administrasjon

Endelig ser det ut til at Norman har fått i stand et skikkelig administrasjons/utrullingssystem. Selskapet innrømmer at de tidligere ikke har hatt et slikt verktøy som har skalert tilstrekkelig for de største kundene.

Med den helt ferske Endpoint Manager har de satset på et svært intuitivt brukergrensesnitt samtidig som det er avansert nok for de største. Verktøyet er HTML-basert og skrudd fra bunnen av for å ivareta sikkerhet og plattformuavhengighet.

Endpoint Manager håndterer utrulling, installering og oppgradering til klienter. Det styrer klientene og har kontroll på sikkerhetsnivåene. Alt av avvik rapporteres umiddelbart.

Applikasjonen merker seg også maskiner som har vært ute av nettet så lenge at de kan utgjøre en trussel når de kobles til nettet igjen.

Det benyttes en passiv discovery-teknologi for till enhver tid å holde oversikt over nettverksenhetene. Hver Norman-klient ser på all trafikk og lager en liten tabell over hva den har sett.

Endpoint Manager bygger så en total oversikt over alle IP-baserte enheter i nettet. Dette skal redusere mye av nettverkstrafikken man ellers finner i aktive detekteringsprosesser.

I vår demonstrasjon av produktet var det enkelt å konfigurere ulike policyer for klienter eller grupper. Det meste kan finjusteres, men det mest hensiktsmessige er satt som standard slik at de minste bedriftene kan kjøre i gang uten mye konfigurasjon.

Klientene henter sine oppdateringer fra Endpoint Manager, men hvis de tas ut av nettet kan oppdateringer også hentes direkte fra Internett. Det er videre mulig å opprette flere administratorer, samt fjernstyre applikasjoner (men det forutsetter forhåndsgodkjente IP-adresser).

For alternativ utrulling finnes det en integrert MSI-generator. Norman har også bygget denne administrasjonsprogramvaren slik at den kan videresende spesielle varsler og meldinger til utenforstående systemer.

Les om: