Spredning av virus og ormer er først og fremst et Windows-relatert problem. Samtidig er Windows så utbredt at slike trusler kan få konsekvenser for svært mange bedrifter. Dette har ført til at mange har installert sentrale virusvern og brannmurer. Disse beskytter i beste fall mot angrep via Internett, men hva med angrep fra innsiden?
Dagens bruk av bærbare PC-er, hjemmekontorer med VPN-forbindelse til hovedkontoret og andre typer mobile enheter gjør det mulig for ormer å spre seg uten å måtte penetrere bedriftens grensekontroll mot Internett.
Gartner lister i en rapport publisert i slutten av januar - "Scan, Block and Quarantine to Survive Worm Attacks" - opp fire mulige scenarier:
- En bærbar bedrifts-PC som i blant knyttes til det interne bedriftsnettverket via IPsec VPN eller RAS (Remote Access Server). Maskinen har benyttet nettverksforbindelser som ikke er sikret av bedriften og er blitt smittet av en orm. Denne ormen spres til maskinene knyttet til det interne nettverket via VPN- eller RAS-forbindelsen.
- En vanlig hjemme-PC som i blant benyttes av en ansatt i jobbsammenheng, er blitt smittet av en orm. Ormen spres via VPN eller RAS til det interne bedriftsnettverket.
- En bærbar PC eller annen mobil enhet som eies av en leverandør eller en ekstern enhet blir infisert og sender ormen til maskinene i det interne bedriftsnettverket via VPN, RAS eller direkte gjennom en Ethernet-forbindelse i bedriftens lokaler.
- En ansatts personlige lomme-PC er smittet av en orm og kobles til bedriftens lokalnett fra en Ethernet-kontakt i bedriftens lokaler
I alle disse tilfellene er resultatet det samme. Bedriftens oppdateringsrutiner, virusbeskyttelse og "grensekontroll" svikter, og bedriftsnettverket angripes. Den stadig økende tilgjengeligheten på trådløse forbindelser til bedriftsnettverket er med på å øke problemet.
For å begrense skaden fra disse scenariene, mener Gartner at bedriftene kun må tillate tilknytning av datamaskiner som anses som sikre. I tillegg må bedriftene oppdage handlingene utført av en ondsinnet enhet og raskt isolere denne fra resten av nettverket.
Så snart infiserte PC-er knyttes til det interne nettverket, kan ormer infisere sårbare, interne PC-er og servere i løpet av svært kort tid. Fordi noen interne PC-er og servere til en hvert tid vil kunne være i sårbare tilstander, må sikkerhetskontrollene gjennomføres før nettverksforbindelsene opprettes.
Dette løses ved å skanne enheten i det den forsøker å knytte seg til nettverket, og deretter blokkere nettverksforbindelsen hvis skanningen oppdater manglende sikkerhetsoppdateringer, utdaterte antivirussignaturer eller en feilkonfigurert eller manglende personlig brannmur.
Les også:
- [29.03.2004] Søketjenester kan misbrukes av ormer
- [06.11.2003] Usikrede PC-er stenges ute fra nettet
- [09.10.2003] Ikke baser alle PC-er på samme plattform
- [02.10.2003] Norge er versting innen virusspredning
- [19.08.2003] Vurderer tvungen automatisk oppdatering av Windows
- [12.08.2003] Mange trolig smittet uten å vite det
Gartner mener at skanning etter at nettverksforbindelsen er blitt opprettet vil være for sent, fordi angrepene fra det infiserte systemet vil kunne starte umiddelbart etter at forbindelsen er blitt etablert.
Hvilke muligheter bedriften har til å gjennomføre en slik skann-og-blokker-rutine overfor enhetene som kobles til nettverket, avhenger av om enhetene administreres av bedriften eller ikke, samt av tilknytningsmetoden.
Er det snakk om en PC som administreres av bedriften og som knyttes til det interne nettverket ved hjelp av IPsec VPN, skal brannmur, sikkerhetsoppdateringer og antivirusløsning være installert og under kontroll. Da kan en "agent" installeres i systemet som kan skanne systemet før det kobles til nettverket, og videre resultatene til en administrasjonsserver som er i kontrollstien til VPN. Da kan oppstartsprosessen for VPN-sesjonen avbrytes hvis nødvendig. Ifølge Gartner, tilbys denne typen agenter av blant annet ZoneLabs, Internet Security Systems og Sygate. Mange leverandører av VPN-tjenester og -produkter tilbyr støtte for denne funksjonaliteten.
Er det derimot snakk om en VPN-tilknyttet PC som ikke administreres av bedriften, vil den normalt ikke ha en slik agent installert. Da vil forbindelsen til det interne nettverket blokkeres, eventuelt vil det kreves at en midlertidig agent, for eksempel en Java-applet, lastes ned og kjøres. På denne måten vil også PC-er som ikke administreres av bedriften, kunne knyttes til det interne nettverket i bedriften. Ifølge Gartner tilbyr blant annet Check Point og Sygate en slik løsning, men Gartner mener at det kan være begrensninger i hvor dypt skanningene gjøres. Denne metoden kan ikke benyttes hvor den eksterne enheten ikke kan laste ned en midlertidig agent, for eksempel enheter i kioskmodus eller enheter uten Windows som operativsystem.
Det siste scenariet Gartner nevner er det hvor bærbare PC-er, uansett om de er administrert av bedriften eller ikke, kobles direkte til det interne nettverket via en nettverkskontakt i bedriften. Gartner mener at dette kan løses på flere måter. Blant annet har Sygate annonsert en intern gateway-metode, mens selskaper som ForeScout Technologies, Mirage Networks, Silicon Defense og Wholepoint Security Solutions nå utvikler nye metoder for å oppdage, isolere og blokkere infiserte noder for å forhindre utbredelse. I tillegg har InfoExpress et produkt som skanner PC-er som ber om IP-adresser og som kan blokkere tildelingen av IP-adresse hvis en PC ser ut til å være smittet eller ikke tilfredsstiller bedriftens sikkerhetspolicy.
Gartner anbefaler bedriftene om allerede å evaluere skann-og-blokker-løsningene nå, i stedet for å vente til at leverandørene er helt ferdige med å utvikle dem. Dette fordi faren for angrep allerede er overhengende.
Gartner mener det er stor sannsynlig for at bedrifter som innen første kvartal av 2005 ikke har forsterket sikkerhetsrutinene, vil oppleve 200 prosent mer nedetid i nettverket enn de som har gjennomført forsterkninger.
