Cisco tar snoken

Cisco fortsetter sin offensiv innen IT-sikkerhet, med produkter for å oppdage snoking, såkalt "intrusion detection".

Sikkerhetsmarkedet lokker, og Cisco har tenkt å ta sin del. Mot det gamle mønsteret der man bygget nettverket først og la inn sikkerheten etterpå, settes det nye prinsippet om å tenke sikkerhet så tidlig som mulig. Slagordet passer godt til Ciscos tankegang, der funksjonalitet bygges inn i dedikerte apparater og moduler som koples rett på nettverket, og styres sentralt fra.

Snokvarslingen til Cisco supplerer selskapets produkter innen virtuelle private nett (VPN) og brannmur. Brannmur beskytter mot inntrengere, men kan ikke gjøre noe med det som skjer innenfor. VPN reduserer mulighetene for hva en snok kan få til på innsiden av brannmuren. Likevel er det påkrevd å ha noe på plass som kan fortelle når uvedkommende snoker omkring i nettet.

– Vi lanserer to fysiske produkter i denne omgang, forteller Nils-Ove Gamlem i Cisco Norge. – Det ene er en dedikert boks som håndterer datastrømmer på opptil en gigabit per sekund, kalt ”Gigabit Sensor Appliance” og døpt IDS-4250-XL. Det kom i februar. Det andre er en modul til svitsjen Catalyst 6500, døpt IDSM-2. Det kommer i mars, og kan håndtere opptil 600 megabits per sekund. Begge fungerer etter samme prinsipp: Trafikken analyseres løpende, og mistenkelige mønstre utløser en alarm. Alarmene publiseres ikke direkte, men går først gjennom et filter som fjerne opptil 95 prosent av de falske alarmene.

(IDS står for ”Intrusion Detection Service”.)

Alarmfilteret fjerner en kjent svakhet ved snokvarslere, nemlig en stor mengde falske alarmer som er tidkrevende å undersøker manuelt. I tillegg har Cisco en annen teknikk for å løse en annen utfordring: Snoker som opererer så sakte at de ikke kan avsløres gjennom vanlig løpende mønsteranalyse.

– Det siste kaller vi ”sakte rekognosering”. Vi tar vare på pakker, slik at det blir mulig å gjennomskue mønstre over tid. Metoden har også vist seg effektiv også mot såkalte doble angrep, der et støyende angrep dekker over et annet som foregår i det stille.

Alarmfilteret, kalt ”Threat Response Center”, har ytterligere en funksjon. Det er å holde rede på hvilke servere som gjør hva, og hvilke som har bestemte fikser. Disse dataene brukes til automatisk å fastslå hvilke tjenester et bestemt angrep rettes mot.

– I februar greide Slammer-ormen å sette minst 250.000 verter ute av spill i løpet av to timer. Ciscos Threat Response er blant de faktorene som kunne hindret en slik rask spredning, uavhengig av fikser fra Microsoft, fordi man øyeblikkelig hadde visst hvilke tjenester angrepet var rettet mot. Erfaringen viser at når et angrep er på gang, kaster man bort verdifulle kvarter i starten ved å famle seg fram til hvilke tjenester som faktisk er rammet. Ønsker man en avansert beredskapsordning, kan man følge opp Threat Center med automatiske tiltak.

I fjor kjøpte Cisco teknologiselskapet Okena, hvis løsninger er innebygget i det nye snokvarslingssystemet. Okena er en klient som kan legges på maskiner i nettverket for å avsløre og varsle når de oppfører seg merkelig. Klienten har ingen grensesnitt mot den som bruker maskinen direkte, men styres utelukkende sentralt fra, og får sine regler fra en sentral tjener. Okena gjør det også mulig å isolere en maskin fra den øvrige infrastrukturen.

– Poenget med dette, er at du skal kunne overleve, selv om du har en orm i nettet. Vi tenker oss at denne klienten skal kunne utvides med funksjonalitet relatert til VPN og brannmur også, slik at alle tre grunnleggende sikkerhetstiltakene er tilstede overalt, og samtidig styres sentralt fra.

Gamlem målretter Ciscos snokvarslere mot store bedrifter, og mot tilbydere.

– Vi arbeider med tanke på at tilbydere enkelt skal kunne tilby brannmur, snokvarsling og VPN til sine kunder, avslutter han.

Til toppen