Sikkerhet i skyene

Sikkerhet i skyene

Sikkerhetsselskaper som F-Secure, McAfee, Trend Micro og Symantec tar i bruk «cloud-basert» teknologi for å bekjempe fiendtlig kode.

For å takle en tredobbel vekst innen fiendtlig programvare velger flere sikkerhetsaktører å ta i bruk cloud-basert teknologi for å forenkle og effektivisere oppdateringer. Til nå har trenden vært at sikkerhetsselskapene har distribuert nye signaturoppdateringer etter en daglig analyse av innhentede eksemplarer av funnet fiendtlig kode.

McAfee gjør nå via sin nye Artemis Technology-metode endringer i sin eksisterende programvare. Hvis mistenkelig og uidentifisert fiendtlig kode nå detekteres på kundens maskin under surfing eller i noen form for nedlasting, vil en prosess starte.

Denne prosessen vil umiddelbart laste den mistenkelige filen til McAfees analysepunkt for en automatisk undersøkelse. Hensikten er at man nå skal kunne levere ut en signaturoppdatering svært raskt.

Også F-Secure har i sin nye Internet Security 2009 løsning rettet fokuset mot en raskere operasjonstid mot nye trusler. Med sin DeepGuard 2.0-teknologi blir mystiske filer pumpet til F-Secure.

- I løpet av sekunder undersøker vi filen som blir enten hvitelistet eller svartelistet. Den nye programvaren kontakter nå også våre servere i stedet for å be brukerne om tillatelser til å gjøre ulike oppgraderinger, forteller F-Secures Dag Arne Jerstad til Nettverk & Kommunikasjon.

Undersøkelser viser at hackere i økende grad benytter seg av plug-ins for å gjennomføre sine kjeltringstreker.

Også Trend Micro har varslet at de kommer med en cloud-basert tilnærming, men dette produktet er ikke klart før mot slutten av året.

Slik virker det

I F-Secures tilfelle fungerer det på denne måten: Filen skannes først på brukerens maskin med tradisjonell signaturbaserte motorer. Hvis en kjent fiendtlig kode oppdages vil filen blokkeres. Hvis filen ikke er kjent fra tidligere, utfører DeepGuard 2.0 en snapshot av filen og utfører et oppslag mot F-Secure Real-Time Protection Network-datasentere.

Selskapet ønsker ikke å hente filer fra brukerne uten deres samtykke, så det er en digital unik matematisk kopi som benyttes.

Forespørselen sjekker om filen allerede er identifisert, og om den er betegnet som snill eller slem. Hvis filen er ukjent, vil den sjekkes ved hjelp av selskapets Gemini- og Pegasus-motorer. Filen kjøres i et virtuelt miljø og oppførselen til applikasjonen vurderes for å bestemme om den skal få lov til å kjøres. På denne måten skal ukjente filer behandles med større mistanke enn tidligere.


Slik fremstiller AV-Test.org veksten på fiendtlig kode. Ved utgangen av mai hadde de over 11,4 millioner forekomster i sin database.

Også Symantec lanserte nylig lignende teknologi, og det er tydelig at de ulike sikkerhetsselskapene har kikket på hverandre når de nå har lansert sin 2009-portefølje. Norton 2009 fra Symantec har implementert en funksjon de kaller Norton Community Watch.

Denne samler informasjon fra brukernes maskiner og sender det hele til Symantec for videre analyser. Dette skjer i form av SHA256 hash-verdier, og funksjonaliteten bygger på Norton Insight-teknologi.

Alle de nye produktene slåss om å ha raskest installering, legge beslag på minst mulig minne og dessuten utføre de raskeste søkene. I tillegg skal de også være snillere mot sluttbrukerne ved at de ikke produserer like mange meldinger som tidligere.

Massiv vekst

F-Secure melder om at det i første halvdel av 2008 ble funnet tre millioner skadelige filer. Noen av disse hadde en levetid på kun 30 minutter før de automatisk ble erstattet av en nyere variant. Den totale mengden av eksisterende skadelige filer var ifølge selskapet over 11,5 millioner ved utgangen av mai 2008.

F-Secure tilbyr ellers om kort tid et kjekt lite verktøy som heter Web Trail. Her skal brukeren få en grafisk fremstilling som i sanntid viser hvilke cookies og internettforbindelser som er aktive når pc-en kjører. Da er det enklere å se om mistenkelig mye trafikk for eksempel går til en suspekt server i Russland.

Bringer med seg utfordringer

Cloud Computing fortsetter å pushe data og applikasjoner online og bakenfor de tradisjonelle forsvarsverkene. Bedriftsbrukere krever tilgang til data ved hjelp av sine nymotens mobile enheter over 3G-baserte forbindelser. En mulig løsning kan være at sikkerheten ivaretas av tjenestetilbydere.

Selskaper som Purewire og Zscaler er eksempler på nye aktører innenfor dette området. Fjernbrukere som ønsker å aksessere data fra skyen må først gå gjennom en egen sikkerhetsbasert tjenestetilbyder. Ifølge Gartner står cloud-baserte sikkerhetstjenester mot fiendtlig kode og spam for 20 prosent av omsetningen når det gjelder sikkerhetsmarkedet. De tror dette tallet vil stige til 60 prosent i løpet av de neste fem årene.

Andre sikkerhetstjenester som også flyttes til skyen er sårbarhetsskanning, beskyttelse mot tjenestenekt og litt frem i tid kommer også autentisering og tjenester som skal hindre datalekkasjer.

Å bruke ren cloud-basert sikkerhet kan ha flere fordeler i forhold til sikkerhetsagenter lokalisert på bærbare pc-er. Det er for eksempel ikke mulig for brukerne å deaktivere agentene. I stedet vil det være tjenestetilbyderen som vil ha en fullstendig kontroll over agentene som driftes.

Et eksempel fra Gartner viser en bedrift som analyserte sine 80 000 pc-er. Her ble det avdekket at 3000 av disse inneholdt botnet-klienter installert. Omtrent alle disse maskinene var bærbare pc-er. Med enheter som iPhone er det vanskelig å innføre sikkerhetskontroller andre steder enn i skyen.

Men en sikkerhetsbasert cloud-tilnærming er heller ikke uproblematisk. Det er tjenestetilbyderen som her vil møte på de fleste utfordringene. For de må sikre dataoverføringene til og fra fjernbrukerne, noe som belaster båndbredden, øker kostnadene og kutter marginene. Men likevel tror altså Gartner at vi om fem år vil ha tre ganger så mye av sikkerhetstjenestene gjennom skyen.

Ingen mirakelkur

De lærde strides om hvor sikkerhetsmekanismene vil gjøre mest nytte for seg i den nærmeste fremtiden. Mens noen er tilhengere av at skyen skal håndtere det meste, er andre opptatt av å spre forsvarsverkene ut gjennom nettverket. Mest trolig vil ikke ett enkelt sikkerhetssystem være noen mirakelkur, og man bør nok kombinere både skyer og intern sikkerhetsarkitektur også i fremtiden.

Med en lagdelt dybdestrategi unngår man ett kritisk punkt, og sikkerhet i skyen vil trolig kun bli en del av en slik lagdelt tilnærming. Et godt eksempel kan være ulike nettverksbaserte filtreringssystemer for e-post.

De gjør en god jobb med å filtrere ut søppelpost og virus, men er likevel ingen erstatning for antivirus-verktøy på brukernes maskiner. Og ettersom mange e-poster kun er interne, vil de aldri gå ut i skyen for videre behandling der.

Og selv om de store tjenestetilbyderne innfører cloud-baserte sikkerhetstjenester, bør man samtidig opprettholde sine tradisjonelle brannmurer, IDSer og IPSer. Det viktigste vil være å få alt dette til å spille sammen. God sikkerhet dreier seg om mer enn automatisert teknologi, og avhenger således også av personer og prosesser.