Vil sikre skyen

Vil sikre skyen

Tillit til it i skyen er en utfordring. Adferden til internettbrukerne er en viktig brikke for effektiv sikring for Symantec.

Under en pressebriefing i London fortalte representanter fra sikkerhetsgiganten Symantec om hva selskapet gjør for den som vil ta i bruk it i skyen.

Adferden til brukerne tas i bruk for effektiv sikring. Omdømmeskanning er allerede i bruk, mens trippelvirtualisering skal øke sanntidssikringen.

Omdømme-sikkerhet

En spesiell utfordring som dukker opp i samband med Internett og it i skyen er paradokset med hvordan tillit etableres. Som en Symantec-representant sa det:

- Om vilt fremmede tar kontakt på gata rygger de fleste unna. Men på nettet kan de samme skeptikerne diskutere de mest intime ting med vilt fremmede.

Men Symantec har likevel tatt i bruk Internett-befolkningen og deres adferd til å få sikkerhetsskanningen til å bli rask og effektiv. Stikkordet er å måle aktiviteten til mange brukere og bruke dette til å etablere omdømme-ratinger. Slike ratinger brukes til å lage hvitlister over for eksempel filer og web-steder som ikke antas å være noen trussel.

- Med 25 000 nye trusler hver dag og millioner av kjente trusler er det uoverkommelig å kunne sjekke alle filer og koder hele tiden, fortalte Kevin Haley, som arbeider med Reputation Engine hos Symantec. Omdømme-ratingen er tatt i bruk i produkter både for konsumenter og bedrifter, og har vært i bruk siden 2007 som Norton Insight.

Tillit til Symantec

Haley understreker at dette ikke innebærer klassisk hvit- og svartlisting basert på hvordan kode oppfører seg. Omdømme-rating er basert på at summen av alle handlinger gir en god pekepinn om hva som er riktig og/eller bra. Haley sammenlignet det med hvordan de fleste rasjonaliserer ned innkjøp av musikk, filmer eller bøker – omdømmet gir en pekepinn og er ofte avgjørende for enkeltpersoner og deres valg.

Symantec tar dette i bruk for alt fra applikasjoner til web-steder og e-post. Dersom tilstrekkelig mange tar i bruk og gjentar bruk av en slik kilde, vil sannsynligheten være stor for at det er snakk om noe normalt og forholdsvis ufarlig.

- Skal dette fungere forutsetter det imidlertid mengder av informasjon, understreker Haley. – Symantec henter inn samtykke fra noen av sine 130 millioner brukere om å hente ut slik omdømmedata anonymt. Utfordringen er at brukerne må ha tillit til oss for at vi skal kunne samle inn disse dataene.

Med over 28 millioner slike samtykkende kan man hente inn omdømme for millioner av koder – for øyeblikket over 306 millioner. Disse lagres i en server for omdømme-rating, som omdannes til en hash sammen med fil- eller kodenavn. Disse hvitlistene brukes til å lage hvitlister.

Dersom noen endrer en omdømmegodkjent fil er også hash-en endret. Og slike og andre nye filer kontrolleres og omdømme-rating bygges opp.

Det hele er basert på at det som er greit for mengden, er ufarlig for den enkelte. Og sikkerhetsprogramvare frigjøres til å sjekke nye mulige trusler. For it i skyen blir dette enda mer effektivt, fordi oppdateringen og generering av omdømme vil skje raskere.

Joe Pasqua, sjef for forskningsaktiviteten til Symantec , bekreftet at resultatene fra omdømme-ratingen er så gode at de danner base for neste generasjon sikkerhetsprogramvare for virksomheter – DeepClean. Her utvides omdømme-ratingen til å inkludere tillit til tredjepart – som utviklere og selskaper.

Gode vibrasjoner

Nærmere realisering er VIBES, Virtualisation-based End-point Security Solution, som utvikles til en teknologi som skal sikre sanntidsbruk med it i skyen. Opprinnelig var dette annonsert som en ren web-sikkerhetsteknologi. Pasqua demonstrerte denne løsningen i London. Stikkordet er virtualisering, og det er helt grunnleggende virtualisering det er snakk om.

En klient som kjører VIBES, er i realiteten tre virtuelle klienter. Og adferden til brukeren bestemmer hvilken virtuell sesjon kjøres. Hver sesjon har sitt sikkerhetsnivå, et normalnivå, et høysikkerhetsnivå og et isolert sandkassenivå for å sjekke ut potensielt usikker kode.

- Det sentrale er at for brukeren skal dette oppfattes som én maskin/arbeidsmiljø, understreket Pasqua.

Demonstrasjonen foregikk med en Mac med virtualisering bygd inn. En web-klient skiftet til høysikkerhetsnivå straks brukeren gikk til et netthandelssted, og til et isolert sandkassenivå når en ukjent, potensiell trusselside ble lastet.

Løsningen forutsetter at klienten har prosessor som støtter virtualisering direkte, og vil være nøytral i forhold til OS eller virtualiseringsmiljø som Xen, Hyper-V eller Vmware.