Milliarder å spare på integrert og aktiv sikkerhet

Network Associates' nye sikkerhetsarkitektur Active Security stanser kjente og typiske angrep i sanntid. - Vi ville kunne avverget det meste av de sju milliarder dollar som slike angrep kommer til å koste i år, sier markedsansvarlig Frank Pinello.

Network Associates har integrert sine sikkerhetsprodukter under slagordet Active Security. Felles regelbasert styring og automatisk gjensidig varsling skal stanse alt fra plumpe virus til fordekte hackerangrep - i sanntid.

Frank Pinello, ansvarlig i Network Associates International (NAI) for det såkalte "EMEA"-området (Europa, Midt-Østen og Afrika), innkalte kunder og presse i Norden til et sikkerhetsseminar i Stockholm torsdag. Han benyttet anledningen til å utdype NAIs arkitektur for sikkerhetsløsninger innen e-handel, og til å forhåndsomtale en ny serie dedikerte sikkerhetstjenere som vil gjøres tilgjengelig i første halvår 2000.

- Undersøkelser som har prøvd å tallfeste hvor store ressurser som går tapt som følge av datainnbrudd og andre former for datakriminalitet, tyder på at det samlede globale beløpet kan anslås til over sju milliarder dollar, sa Pinello.

- Beløpet tilsvarer årets samlede e-handelsomsetning.

Pinello mener sikkerhetsteknologi spiller en viktig rolle i å hindre tap. Den er avgjørende for at en tjeneste skal være tilgjengelig døgnet rundt hele uka, slik brukerne tar for gitt. Den er også viktig for å sikre den nå så berømte åtte sekunders regelen til Forrester Research. Dette er den maksimale responstiden en webkunde tolererer, før man klikker seg videre til konkurrenten.

- Hacking krever ikke lenger spesielle kunnskaper, sier Pinellos teknisk orienterte kollega Haig Colter.

- Fra web kan du hente passord-knekkere, portskannere, dødelig NT-gift og det som verre er. Halvparten av alle angrep foregår uten at ofret merker dem mens de skjer, selv om følgen er ødelagte nettsteder eller uakseptable responstider.

Active Security består primært av NAIs egne produkter, og selskapet har valgt en prispolitikk der du får to for samme pris som fire, slik at det økonomisk ugunstige i å velge hos andre kan demonstreres uten matematiske finurligheter. På den andre siden ønsker NAI også å framheve at andre produkter kan inngå i en Active Security løsning.

"Punktproduktene" - som Pinello liker å kalle de enkelte verktøyene - er i hovedsak:

  • en "skanner" som kartlegger sikkerhetsfellene i nettet
  • en "overvåker" som gjenkjenner 279 forskjellige former for angrep mot nettverket
  • antivirus
  • en "sniffer" som samler og framstiller informasjon om hvordan nettverket fungerer
  • en brannmur

- Den viktigste delen av Active Security er noe vi kaller "Event Orchestrator", sa Pinello.

- Dette er programvare som fanger opp begivenheter som punktproduktene melder om, og sørger for reaksjoner i tråd med forhåndsdefinerte regler. Disse reaksjonene kan være ulike former for alarmer og meldinger. De kan også være tilbakemeldinger til punktproduktene som automatiske tiltak, for eksempel å lukke en tjeneste på den maskinen som er angrepet, eller aktivere en brannmur rundt den.

En viktig detalj er at meldinger mellom Event Orchestrator og punktproduktene ikke går i klartekst som dyktige hackere vil være i stand til å etterlikne. Det er krypterte og signerte beskjeder, uleselige for andre enn dem som også er i stand til å kontrollere opphavet.

Colter demonstrerer hvordan overvåkeren (CyberCop Monitor) kan styres slik at den avslører og avviser en klient som bedriver portskanning, og hvordan en egenskap kalt "AutoRestore" automatisk gjenoppretter originalen til en slettet eller endret webside, straks noen utenfra har prøvd seg.

Han demonstrerer også hvordan nettskanneren (CyberCop Scanner) systematisk sjekker for 729 kjente svakheter og rapporterer dem i prioritert rekkefølge, med anvisninger om hvilke utbedringer som kreves. I noen tilfeller kan det lages regler slik at feil fikses automatisk. Tanken er å gradvis trappe opp denne muligheten til automatiske fikser. Scanneren kan videre styres til å prøve ut regler gitt til overvåkeren. Den kan angripe enhver tjener med våpen rettet mot alle 729 svakheter, også tjenestenektangrep som "Ping of Death".

CyberCop produktene er ledd i noe NAI kaller CyberCop Intrusion Protection Suite, der hensikten er å avsløre inntrengningsforsøk. Et interessant verktøy i denne suite er et produkt kjent som CyberCop Sting. Der gjør det mulig å simulere kjent nettapparatur som rutere og svitsjer på en tjener, med tanke på å ta inntrengere på fersken. Colter presiserer at verktøyet er lovlig i California, men at han ikke kan garantere for at det er lovlig overalt.

NAI-verktøyene er implementert for Solaris i samarbeid med Sun, og for Windows NT i samarbeid med Hewlett-Packard. Overvåknings- og antivirusproduktene er også tilrettelagt for Linux. Colter sier en eventuell Linux-utgave av brannmuren Gauntlet er under vurdering.

Til toppen