Reaktive teknologier som antivirus, antibot, signaturer og brannmur fungerer i liten grad mot såkalte nulldagsangrep, ifølge Check Point. (Bilde: PantherMedia/Sergey Nivens)

Gir vern mot ukjente trusler

Slik skal Check Point hindre nulldagsangrep.

Sikkerhetsuiten Check Point, fra det israelske selskapet med samme navn, foreligger nå i en oppgradert versjon R77.

Det viktigste tilskuddet er «threat emulation», en ny modul for avskjæring av ukjente trusler mot bedriftens nettverk:

Etter inspeksjon og analyse blir mistenkte filer, epost og dokumenter lastet opp og kjørt i flere ulike virtuelle miljøer, inkludert eldre operativsystemer som Windows XP eller ulike versjoner av Office.

Poenget med trusselemuleringen er å la uhumskheter avsløre seg selv. Uønsket adferd blir avdekket ved å overvåke hvordan innholdet virker inn på filsystem, registeret, nettverkstilkoblinger og systemprosesser.

Innhold som får grønt lys etter behandlingen i threat emulation kan betraktes som sikre med 80-90 prosent sannsynlighet, ifølge Check Point. Høres det lite ut?

– Vi må være så ærlige at det finnes ingen absolutt sikkerhet. Men en god antivirusløsning tar til sammenligning kanskje bare 50 prosent, sa sikkerhetsekspert Christian Sandberg i Check Point da digi.no omtalte samme teknologi tidligere i sommer.

Løsningen oppgis å være et effektivt skjold ved forsøk på utnyttelse av nulldagssårbarheter – og føyer seg inn i rekken av såkalte «software blades».

Sistnevnte er Check Points navn på en mengde moduler med hver sin funksjon innen sikkerhet eller drift. Fra før inkluderer utvalget egne blades for brannmur, VPN, URL-filtrering, snokvern (intrusion prevention), antivirus og så videre.

«Threat emulation» blir beskrevet som en firetrinnsmodell. Teknologien er et supplement - ikke en erstatning - for reaktive metoder som antivirus.
«Threat emulation» blir beskrevet som en firetrinnsmodell. Teknologien er et supplement - ikke en erstatning - for reaktive metoder som antivirus. Bilde: Check Point

Hvis skadevare avdekkes blir innholdet blokkert. Det siste skrittet er å identifisere skadevarens fingeravtrykk eller signatur.

Slike data blir på få strakser delt med øvrige kunder via Check Points skyløsning. Slik er kundene med på å hjelpe hverandre mot infeksjon.

– Vi tilbyr treat emulation i to varianter. En hvor vi legger kontrollen i nettskyen, det vil si at trafikken blir lastet ut og kontrollert der og svaret sendes tilbake. Det andre alternativet er for de som ikke vil tillate å sende data ut av virksomheten. Da tilbyr vi en dedikert applikasjonsløsning med samme funksjonalitet, sier Jan Johannsen i Check Point.

Han understreker at dette ikke kan betraktes som et alternativ til snokvern eller antivirus. Det er et supplement.

Raskere

Nye utgaver av Check Points plattform foreligger typisk hvert halvår, med fri oppgradering for kunder med vedlikeholdsavtaler.

R77 gir et femtitalls nye funksjoner, langt færre enn forrige utgivelse (R76), men det er lagt desto mer vekt på ytelsesforbedringer, forklarer Johannsen, nordisk sjefsingeniør i selskapet.

Introduksjonen av en ny teknologi de har døpt «HyperSpect» oppgis å gi inntil 50 prosent økt ytelse, men det krever riktig maskinvare, noe som i praksis betyr selskapets (dyreste) high end-bokser i seriene fra 12600 til 21700.

Forbedringen skyldes i stor grad at de innfører støtte for Intels Hyper Threading, som først kommer til sin rett hvis maskinvaren er tilgodesett med fire- eller åtteveis prosessor.

– Innen mid size-produktene sørger R77 også for bedre ytelse, som følge av kodeforbedring, men i mindre grad fordi de ikke støtter hyper threading, sier Johannsen.

For øyeblikket er det bare boksene Check Point selv leverer som får glede av hyper threading. Check Point kan kjøres også på maskinvare fra andre tilbydere, som HP, IBM, Dell og så videre.

Senere kan det ifølge Jan Johannsen bli aktuelt å støtte også open server. Det har med testing og sertifisering å gjøre, sier han.

Til toppen