Automatisk selvforsvar mot ormer og virus

Cisco og Trend Micro går sammen for å gi datanettverk et aktivt immunsystem mot ormer og virus.

I fjor høst kunngjorde Cisco et sikkerhetsinitiativ kalt Network Admission Control (NAC). Initiativet kom på bakgrunn av interne diskusjoner i selskapet der det ble formulert en strategi for hvordan nettverk kan gjøres selvforsvarende, og der Cisco erkjente at det var påkrevet med samarbeid med tredjepart. Blant dem som har støttet NAC, er antivirusleverandørene Trend Micro, Symantec og McAfee, samt IBM.

    Les også:

– Vi har trukket en analogi til immunsystemet i menneskekroppen, forklarer markedsansvarlig Nils Ove Gamlem i Cisco Norge. – Mennesker kan smittes av virus uten at det slår ut i sykdom. Vi tenker oss at nettverk bør kunne lages slik at et immunsystem automatisk angriper virus straks de viser seg.

Ideen innebærer at alle noder i et nettverk – fra svitsjer og rutere til PC-er, PDA-er og telefoner – skal ha en sikkerhetsfunksjon, og at det skal regisseres et automatisk samspill mellom disse sikkerhetsfunksjonene.

– Network Admission Control er en del av dette. Hensikten er at en klient, spesielt mobilt utstyr, og særlig bærbare PC-er, skal sjekkes automatisk av nettverket hver gang den kopler seg på. Med NAC kan man sette regler som gjør at en bærbar PC bare får tilgang til interne tjenester dersom sikkerhetshull er tettet og antivirus er oppdatert.

Målet for strategien er nettverk som er i stand til å holde mest mulig smitte utenfor, og som kan endre seg dynamisk, for eksempel ved å kople fra smittede noder, når virus og ormer likevel greier å komme gjennom.

– Ambisjonen er å lage trafikksikkerhet fra ende til ende, ikke bare legge ut ett og ett trafikklys, er en annen analogi Gamlem trekker fram.

I går kunngjorde Cisco et utvidet samarbeidet med Trend Micro med et helt spesifikt mål: Å bygge virusvern inn i lokalnettets ytterkant, det vil si rutere, svitsjer og dedikerte snokovervåkere (kalt IPS-enheter hos Cisco, for «intrusion prevention services»), og ta et viktig skritt mot nettverk med en høy grad av selvforsvar og immunsystem.

– I løpet av tredje kvartal skal Trend Micros antivirus integreres med Ciscos IPS-kode. Da vil en IPS-enhet kunne sammenlikne datapakker med Trends virussignaturfiler og avdekke virus før de når servere og PC-er på innsiden. På den måten gjøres virusvern til en del av selve infrastrukturen.

IPS-enhetene er de første infrastrukturenhetene som får integrert virusskanning.

– De har disk. Det er mye data som må lagres i signaturene. Etter hvert vil vi også legge virusskanning inn i rutere og svitsjer, uten disker.

Integreringen av antiviruskode og IPS-kode gjør at virus identifiseres i infrastrukturen. Hva som gjøres med varslene, er neste skritt i samarbeidet mellom Trend Micro og Cisco, som blir klart rundt årsskiftet. Cisco skal lisensiere mer Trend Micro teknologi, og de to skal samarbeide om å tilby tre typer tjenester:

  • for å prioritere, isolere og verne sårbare maskiner under et angrep – «vulnerability assessment service»
  • for å utvide IPS-tjenestene med filtre som hindrer virus og ormer fra å gå videre inn i nettet– «outbreak prevention service»
  • for automatisk vurdering og reparasjon av infiserte PC-er og servere – «damage cleanup service»

– Til sammen vil vi da være i stand til å tilby kunden sanntids beskyttelse mot de nyeste sikkerhetstruslene, mener Gamlem. – Vi tar sikte på et opplegg der man kan definere hensiktsmessige regler for hvordan man skal hindre smitte fra å spre seg, og samtidig sikre fleksible verktøy for å iverksette reglene når det kommer et angrep.

Reparasjonstjenesten vil kunne utløses automatisk dersom systemadministratoren finner det hensiktsmessig. Den vil ikke kreve en egen agent på servere eller PC-er. Den vil renske maskiner for minneresidente ormer og trojanere, slette søppel som disse etterlater seg, og gjenopprette opprinnelige innstillinger i Windows-registeret og systemfiler. Alt skal kunne fjernstyres, og det skal ikke være nødvendig med noen form for brukermedvirkning.

Heller ikke sårbarhetssjekken vil kreve en egen agent. Ideen er at Ciscos kontrollsenter (nærmere bestemt tjenesten «Incident Control Center») holder rede på hvilke maskiner som er fikset for hvilke sikkerhetshull, samt hvilke typer angrep som er mest sannsynlig – denne informasjonen leveres i sanntid fra Trend Micro – slik at hulltetting kan foregå etter en hensiktsmessig prioritering. I tilfelle en orm slipper gjennom det ytre forsvaret, vil denne tjenesten kunne brukes til raskt å isolere maskinene man vet er sårbare.

Når dette er på plass, mener Cisco og Trend Micro å ha et helhetlig tilbud som gir bedre metoder både for å hindre angrep, og for å ta mottiltak dersom man likevel skulle oppleve å rammes.

Til toppen