Tetter sårbarheter før de skjer

«Blink» fra sikkerhetsselskapet eEye avverger angrep rettet mot ennå uoppdagede sårbarheter.

Amerikanske eEye Digital Security er blitt verdensberømt for utrettelig arbeid med å avdekke sårbarheter, blant annet dem som ble utnyttet av beryktede ormer som Code Red og Slammer.

Selskapet lever av å selge IT-sikkerhetsprodukter. I slutten av juli lanserte eEye et nytt produkt, døpt Blink, der det er nedfelt en rekke erfaringer fra selskapets jakt på sårbarheter. Hensikten med Blink er å beskytte mot ormer som utnytter ennå ukjente sikkerhetshull, og som det følgelig ikke finnes verken fikser eller andre botemidler for.

Tre prinsipper ligger til grunn for hvordan Blink fungerer:

  1. Den enkelte maskinen i nettverket – server, PC, bærbar – må ha sitt eget vern.
  2. Vernet av den enkelte maskinen må styres sentralt.
  3. Et effektivt vern må gi beskyttelse i flere lag.

Blink består følgelig av både en lokal del som installeres på den enkelte server eller PC, og av en sentral administrasjonskonsoll som fjerninstallerer den lokale delen, løpende overvåker Blink på hver eneste maskin, og sørger for oppdateringer av både programvaren og de lokale reglene som skal følges. Skjermbildet nedenfor er fra styringskonsollen.

Blink opererer med vern i fem lag. Først er det brannmurer på henholdsvis system- og applikasjonsnivå. Dernest er det en regelbasert snoksperre («intrusion prevention») som bygger på erfaringene eEye har høstet gjennom flere års arbeid med å analysere datainnbrudd. Videre er det et annet eEye-produkt, kjent som Retina, som løpende overvåker alle prosessene på den lokale maskinen. Til slutt er det mulig å definere lister over betrodde IP-adresser, og over IP-adresser som avvises uten videre.

Siden Blink tilbyr jevnlig vurdering av sårbarhetstilstanden på hver enkelt maskin, og supplerer dette med løpende overvåkning av alle prosessorer – på en måte som ikke går merkbart ut over ytelsen – mener eEye at produktet vil være i stand til å beskytte mot utnyttelse av både kjente og ukjente sårbarheter, uten at det er behov for å ty til lister over signaturer til kjente ormer. Den som vil, kan imidlertid utnytte Blink til å lage signaturer for bestemte sårbarhetssituasjoner.

eEye hevder at beskyttelsen Blink gir vil være kraftig nok til at man kan unngå panikkartede installasjoner av programvarefikser, og heller ta disse i forbindelse med normalt vedlikehold – etter egne tester av hvorvidt fiksene faktisk virker etter hensikten.

Styringskonsollen til Blink kan integreres mot Windows' katalogtjeneste ActiveDirectory, og mot eEyes utvidede sikkerhetskonsoll.

Kommentarer i amerikansk fagpresse er jevnt over positive. Det spekuleres i hvorvidt den løpende oppdateringen av Blink omfatter vern mot sikkerhetshull som eEye oppdager men ikke kan offentliggjøre før programvareleverandøren det gjelder har rukket å tette det.

Til toppen