Nytt sikkerhetsverktøy mot interne trusler

Et spesialverktøy fra Check Point øker evnen til å reagere mot angrep fra innsiden av brannmuren.

I fjor høst erfarte en rekke selskaper, blant dem Microsoft, at ingenting er verre enn en orm som slippes ut på innsiden av brannmuren, for eksempel fra en bærbar PC som har vært eksponert for usikrede nett før den ble fysisk koplet opp til internnettet fra et punkt bak organisasjonens skanser mot omverdenen. Hos Microsoft slo Slammer-ormen til i fjor vinter gjennom en utviklers bærbare PC. I fjor høst slapp smittede bærbare fri både Blaster og Nachi, og utløste så mye trafikk at mange mistet både internnettet og eksterne tjenester ble rammet.

Påkrevet klientbasert sikkerhet som PC-brannmur og lokalt oppdatert virusvern oppfattes som nødvendig men ikke tilstrekkelig for å verne mot denne typen trusler. Det trengs også sentralt dirigerte verktøy som kan målrettes mot nettopp dette problemet.

I går lanserte Check Point sitt første forslag til løsning. InterSpect er en såkalt "appliance" med standard maskinvare fra Dell, og forhåndsinstallert med nyutviklet og videreutviklet programvare fra Check Point. Maskin- og programvare, inkludert operativsystemet, Check Points tilpassede Linux, skal være grundig testet mot hverandre. En eller flere InterSpect installeres bak brannmuren og brukes til oppgaver fra spesialisert intern overvåkning til automatiske og manuelt utløste mottiltak.

Check Point har definert seks essensielle egenskaper for verktøy rettet mot trusler innenfra:

  • spesialisert forsvar mot ormer
  • overordnet evne til å segmentere et nettverk i ulike soner
  • evne til å sette soner og enkeltmaskiner i karantene
  • evne til å beskytte på nettprotokollnivå
  • evne til å forebygge angrep
  • sømløs utlegging og drift

– Brannmurer og snokvarsling kan kombineres for å dekke noen av disse egenskapene, men ikke alle og ikke i samsvar med behovene, mener Christian Sandberg i Check Point Norge. – Dessuten må verktøy mot trusselen innenfra bygges opp etter andre prinsipper enn verktøy rettet mot trusselen utenfra.

Sandberg peker på flere grunnleggende forskjeller mellom intern og ekstern sikkerhet. I det interne nettet er applikasjonsbildet langt mer omfattende, og det er ingen sentral sikkerhetskoordinering. Mens man overfor omverdenen kan bygge på regelen at all trafikk som ikke er eksplisitt tillatt må blokkeres, må det omvendte prinsippet legges til grunn internt: Der må erfaringsmessig all trafikk tillates, med mindre det er av en eksplisitt forbudt type. I valget mellom streng sikkerhet og høy trafikk, må man internt velge høy trafikk. Mens man eksternt kan blokkere lokalnettprotokoller, er dette umulig internt.

– Det er lite hensiktsmessig å tilpasse verktøy beregnet på eksterne trusler til forhold der de grunnleggende forutsetningene er så forskjellige, sier Sandberg. – Kundene vil ha enkle løsninger. Interne brannmurer blir fort svært komplisert, og hensiktsmessig segmentering med uegnede verktøy krever ofte omfattende omstrukturering av hele nettet.

Check Point har konstruert InterSpect med tanke på å dekke de seks essensielle egenskapene på en enkel og effektiv måte.

  • Mot ormer er det utviklet en ny type teknologi, kalt "Intelligent Worm Defender". Patentsøknad er levert. Teknologien bygger ikke primært på signaturer, men på gjenkjenning av det som skiller normal fra unormal trafikk.
  • InterSpect tillater sonesegmentering uavhengig av internnettets fysiske oppsett.
  • Ved mistanke om smitte, kan en klient umiddelbart settes i karantene. Både bruker og driftspersonale varsles.
  • Man kan etter behov blokkere på nettprotokollnivå. Ved bruk av for eksempel Microsoft RPC, kan man blokkere alle applikasjoner som InterSpect ikke har ID-en til.
  • Det er mekanismer for forebyggende tiltak mot angrep, gjennom Check Point-teknologien SmartDefense.
  • Det er et nettleserbasert grensesnitt for enkel utlegging og drift

– InterSpect kan brukes så å si rett ut av boksen. Standardoppsettet er åpent, og man strammer inn etter hvert, for å sikre at man ikke ødelegger for legitime applikasjoner.

InterSpect kommer i tre forskjellige utgaver, med varierende gjennomstrømming (fra 200 Mb/s til 1 Gb/s) og kapasitet (fra 8 til 4096 virtuelle nett). Prisen er fra 9000 dollar og oppover. Etter det første året må support- og oppgraderingsabonnementet fornyes.

Til toppen