IT-sikkerhetsselskapet ForeScout ble dannet våren 2000, med hovedkvarter i California og utviklingsavdeling i den israelske hovedstaden Tel Aviv. Flere av selskapets ledere, blant dem toppsjef Kent Elliot og Europa-sjef Rainer Richter, kommer fra Nokia. I Norge er ForeScout representert av Tønsberg-bedriften Nova IT som har spesialisert seg på IT-sikkerhet på bedriftsmarkedet.
– Vi hadde planlagt å starte med Norge som første framstøt mot det nordiske markedet, forteller Richter til digi.no. – På listen vår hadde vi ført opp Nova IT, da de plutselig kontaktet oss.
ForeScout teller et åttitalls ansatte, hvorav halvparten driver med utvikling. Produktene bygger på egenutviklet teknologi for vern mot ormer.
– Prinsippet vårt er å se på den som angriper framfor selve angrepet. Vi skal slå til når vi ser at hånden løftes, ikke vente til den slår.
Det som kjennetegner oppførselen til en som skal angripe, er at det speides i forkant. Greier du å avsløre speiding som er typisk for et angrep, kan du forebygge selve angrepet. Slik tenker man i ForeScout.
– Over nettet er speiding det samme som skanning. Det er ikke så mange metoder for skanning. Nærmere bestemt er det bare 20. Problemet er at speiding er legitim trafikk som slipper gjennom brannmuren.
Løsningen som ForeScout har nedfelt i sitt produkt ActiveScout, er å plassere en enhet mellom den eksterne ruteren og brannmuren – altså utenfor det interne nettverket. Denne enheten har en egen IP-adresse og leverer en virtuell tjeneste uten sammenheng med noe av det som går inn og ut av nettverket den skal beskytte.
– ActiveScout legger opp sine virtuelle tjenester i samsvar med de faktiske tjenestene som går inn og ut av nettet det skal verne. Det har en integrert SQL-database hvor avsenderen plasseres og settes i overvåkningsmodus. Portskan og annen skanning kan være legitime. Men hvis den samme avsenderen kommer tilbake, og det gjøres et forsøk på å knytte seg opp mot den virtuelle tjenesten, som altså er ukjent for omverdenen, vil ActiveScout blokkere avsenderens IP-adresse, forklarer Richter.
Blokkeringen kan begrenses i tid, og en midlertidig blokkering kan formidles til brannmuren.
– Den midlertidige blokkeringen dreier seg ikke om en varig endring av reglene for brannmuren, bare en midlertidig tilpasning. Formidlingen virker på de kjente brannmurene, og gjør dem dynamiske. Formidlingen er nødvendig fordi det er visse typer angrep, for eksempel SQL Slammer, som bare kan stanses i brannmuren.
Fordelen ved denne tilnærmingen er at angrepet nettopp kan stanses straks. Man er ikke avhengig av signaturer, og man trenger ikke omfattende analyser av logget trafikk. Det man må gjøre, er å lese ActiveScouts rapporter, for å forstå trusselbildet og risikoen.
ActiveScout nøyer seg med en beskjeden Linux-maskin, og kan også kjøres på en dedikert Nokia-innretning. Installasjonen tar under en time, eller opptil et par timer hvis man skal integrere mot brannmuren.
– Vi har en demo på nettstedet, som kan kjøres mot at man registrerer seg. Lisensen er basert på linjens båndbredde. ActiveScout måler båndbredden fortløpende, slik at kunden varsles dersom lisensen overskrides.
Nova IT har erfaring for at en typisk norsk bruker har fra 40 arbeidsstasjoner, og anbefaler også mindre bedrifter å vurdere ActiveScout, avhengig av hvor kritisk det er for bedriften at infrastrukturen er oppe til enhver tid.
På innsiden av brannmuren suppleres ActiveScout av ForeScouts andre hovedprodukt, WormScout.
– På innsiden av brannmuren er det ulike faremomenter, for eksempel VPN-konsentratorer, bærbare maskiner, trådløse lokalnett og fremmede brukere. Derfor er det nødvendig å ha beskyttelse også der. Ormer starter alltid med å speide etter nye ofre. Det vil si at de kan avsløres etter de samme prinsippene som ActiveScout opererer med. Men fordi man er på innsiden av brannmuren, må løsningen være noe annerledes.
ForeScout anbefaler at man ser på et nettverk som en samling sikkerhetsceller, der flere brukere betjenes av samme WormScout-beskyttede svitsj. WormScout reagerer på speiding, og reagerer ved å isolere maskinen der speidingen bedrives fra, før ormen rekker å infisere de andre maskinene i cellen, eller i de øvrige nettverket.
– Vanligvis, når du oppdager en orm, må du ile til og la alt annet ligge. WormScout gir deg tid. Den infiserte maskinen er isolert, og kan renses når det passer.
WormScout krever større investeringer enn ActiveScout. Richter oppgir 6000 euro som en typisk pris, fallende til under 4000 euro hvis man installerer 21 eller flere. WormScout installeres på svitsjer med overvåkingskort, fra leverandører som Cisco, 3Com og D-Link. Det er også mulig å legge WormScout på en ruter.
Richter avviser at ForeScout-produktene faller i kategorien snokvarsling eller innbruddsvern («intrusion detection» eller «intrusion prevention»).
– Vi konsentrerer oss om å holde nettverk rene og på å hindre ormer fra å gjøre skade. Det gjør vi på en måte som ikke krever mye på driftssiden, fordi overvåkningen er kontinuerlig og vernet er automatisk og rask. Kombinerer du for eksempel ActiveScout med innbruddsforebygging, vil du erfare at falske alarmer fra innbruddssystemet reduseres med mellom 60 og 80 prosent.
ForeScout tilbyr ActiveScout på 30 dagers gratis evaluering. Det er et kraftig salgsargument å gjøre den potensielle kunden klar over alt som faktisk foregår av speiding, også mot deres nettverk, mener Richter.
