Nettet må styres mot større sikkerhet

- Utfordringen i sikkerhetsarbeidet mot nettet i dag er å sikre at regler og oppgraderinger gjennomføres konsekvent, sier teknisk direktør Niall Moyniham i Check Point Software.

Check Point Software Technologies Ltd er et Nasdaq-notert israelsk programvarehus, spesialisert på sikkerhetsprodukter for nettverk. De siste årene er omsetningen økt eksponentielt fra 9,5 millioner dollar i 1995 til 425 millioner dollar i 2000. Selv om børskursen er nærmest halvert siden slutten av januar, er det fortsatt et godt stykke ned til "52 week low" fra begynnelsen av april i fjor. Selskapet etablerte sitt norgeskontor i fjor høst, og lovet å doble sin norske omsetning.

Check Point er kjent som pioner innen brannmur og virtuelle private nett (VPN). Selskapet har utviklet det siste til et nytt konsept, SVN for "secure virtual network". Det skal beskrive en arkitektur for å etablere og drifte lukkede nettverk der alle forbindelsene går over mer eller mindre åpne Internett-forbindelser. Det skjer gjennom en kombinasjon av brannmurer og krypterte forbindelser i virtuelle private nettverk. Moynihan betrakter det hele som et nettverk av "enforcement points", altså portnere (gateways) og fjerne klienter, der nettverkstrafikken skal underlegges bestemte regler.

- Utfordringen, spesielt i større organisasjoner, ligger ikke i teknologien som sikrer hvert enkelt punkt, sier Niall Moynihan. - Utfordringen er å styre regelverket, og sikre at alle nødvendige fortløpende endringer gjennomføres konsekvent ved hvert eneste håndhevingspunkt, altså både portnere og fjerne klienter. Noen av våre kunder har tusener av slike punkter, og ved travle punkter kan det være nødvendige å overvåke hundrevis av regler.

Moyniham ser på SVN som tredje generasjonssikkerhet for nettverk som inngår i åpne forbindelser. Frittstående brannmurer er ifølge dette synspunktet første generasjon, mens virtuelle private nett er andre generasjon. Konseptene er godt kjent, men markedet er lite i forhold til potensialet. Check Point mener at bare hver tjuende av dem som burde anvende VPN, faktisk gjør det.

Da kan det virke utpreget dristig å hoppe enda lenger foran sitt marked, og lansere tredje generasjon mens 95 prosent av markedet ennå ikke har kommet til andre generasjon. Check Point tror den nye måten å tenke på, svarer så godt til de aktuelle teknologiske og kommersielle utfordringene, at behovet for tredje generasjon nærmest gir seg selv. Dessuten er ikke SVN noe selskapet står for alene. Det er felles for det såkalte OPSEC-samarbeidet, der 270 partnere bruker Check Points programmeringsgrensesnitt for å sikre felles gevinst av SVN-arkitekturen.

- Et viktig poeng er at organisasjoner føler et behov for å etablere flere interne kontrollpunkter. 60 prosent av alle datainnbrudd er interne brukere som forsøker å få rede på ting de ikke har krav på å vite. Man må følgelig etablere ordninger som sørger for at bedriftens interne informasjonspolitikk kan håndheves.

Siden februar har Check Point snakket om sin "Next Generation" av egne SVN-kompatible produkter.

- Vi har bestemt oss for å ta for oss drift og styring først, for siden å komme tilbake til spørsmål som ytelse og nye sikkerhetsprodukter.

Sikkerhetsdriftsverktøyet har LDAP-basert brukerstyring som kan integreres mot øvrige LDAP-baserte brukerstyringsverktøy. Det gir videre styring av tjenestekvalitet, slik at prioritert VPN-trafikk ikke kneler under for eksempel utidige filoverføringer. Et annet element er styring og kontroll av VPN-klienter, slik at hackere ikke kan bruke hjemmekontorister som springbrett mot interne hemmeligheter. Et tredje er ordninger som sørger for at sikkerhetsserveren aldri går ned, gjennom egne løsninger for sikkerhetsklynger.

Det Moyniham først og fremst ønsker å nevne er to spesielle løsninger.Den ene sørger for at all sikkerhetsprogramvare oppdateres overalt der den trengs, og at oppgraderingene styres sentralt fra. Denne modulen, Secure Update, distribuerer oppgraderingene, sørger for at de kjøres lokalt, og gjennomfører et system med sporing og sjekking for å unngå at noen slipper unna. Dette gjelder både klienter og portnere. Ifølge Check Point er dette første gang patchstrømmen gjøres håndterlig (sammenlikn med artikkelen Sikkerhetsekspert: Umulig å følge opp alle "patch'ene").

Den andre er at det grensesnittet der man definerer hvilke regler som skal gjelde hvor, er utvidet med grafikk som anskueliggjør hele nettverket og hvordan hver regel virker. I Check Points univers består sikkerhetsregler av handlinger definert i forhold til hvor en pakke kommer fra, hvor den skal, hvilken tjeneste den gjelder og så videre. Med flere hundre regler kan det være vanskelig å holde oversikten. Moynihan mener grafikken er et uvurderlig hjelpemiddel.


Denne løsningen kan sammenliknes med den Trustix AS tilbyr til sine brannmurer. Tre ting ser ut til å skille dem. Trustix lar deg manipulere grafikken for å definere regelen. Check Point krever at regelen skal defineres i regeltabellen. På den andre siden er Check Point en langt mer omfattende løsning, og den gjelder flere plattformer.



- Vi vil gjøre verktøyet vårt så kraftig at den ville kunne brukes av de som tilbyr å styre sikkerheten din, altså MSP ("managed services provider"). Da vil man fra ett grensesnitt kunne gå inn på alle MSP-kundene, og sørge for gjennomgripende endringer og oppdateringer. Jeg vet at man i Norge er kommet ganske kort i forhold til det å "outsource" sikkerhetsstyringen. Men i Storbritannia er dette et voksende marked.

Til toppen