Intelligent nettovervåker avverger angrep i sanntid

Tønsbergs store nettspesialist UMI har tatt inn en kunstig intelligent nettsensor som er i stand til å avverge inntrengingsforsøk via Internett i sanntid.

Nettsensoren heter NetRanger. Den første utgaven ble utviklet i september 1996 av det lille amerikanske firmaet WheelGroup. Avhengig av hastigheten på nettforbindelsen som sensoren skal overvåke, består den enten av en Pentium-boks eller en Sun UltraSparc. Begge leveres med Solaris og spesiell ferdigkonfigurert programvare - uten skjerm og uten tastatur. En installasjon krever minst én sensor, samt programvare kalt Director som kjøres på en arbeidsstasjon på nettet.

- Den enkleste NetRanger-installasjonen, med én sensor og én Director, kommer på 250.000 kroner, sier sikkerhetsansvarlig Even Øiestad i UMI.

- Programvaren på sensoren består av et ekspertsystem som skal kunne gi rask respons når den oppdager mønstre i datastrømmen som tyder på at et angrep kan være på gang. Sensorene kan også analysere den utgående datastrømmen med tanke på bevisste lekkasjer av interne dokumenter. Director brukes til å justere sikkerhetspolitikken som sensoren skal arbeide etter.

Øiestad forteller at potensielle kunder finnes innen forsvaret, olje, finans, og på universitetene. En norsk testinstallasjon er på gang, men han vil ikke røpe hvem det er.

WheelGroup ble etablert i 1995. Kjernen var åtte eksperter på datasikkerhet fra det amerikanske luftforsvaret. Gruppen fikk med seg en markedsfører fra Deloitte & Touche, samt en erfaren gründer fra Silicon Valley.

- Vi som arbeidet i luftforsvaret, var frustrerte over at sikkerhetspolitikken var korrekt, men at det var umulig å sette den ut i live, sier Todd Scheel, en av den opprinnelige kjernen.

- Årsaken var at det krevde så store menneskelige ressurser. Nå bruker de våre systemer, og sikkerhetspraksisen er langt bedre.

Gruppen fikk tillatelse fra USAs justisdepartement til å drive utstrakt sikkerhetsprøving av offentlige nettverk.

- Vi oppdaget en mengde hull, og fant ut at vi ville først og fremst arbeide med et system for å avsløre inntrengere, såkalt "intrusion detection", sier Scheel.

- Løsningen som vi sendte ut på markedet i september 1996 bygger på at man legger sensorer ved knutepunkter i nettverket, for eksempel på begge sider av en brannmur og ved inngangen til viktige tjenere. Sensorene overvåker nettet og sender varsler til nettansvarlige. De kan også ta tiltak for å avverge inntrengeren. Utmerkede logger gjør det mulig å rekonstruere det som har skjedd, med tanke på senere forbedringer i systemet.

Scheel forteller at sikkerheten rundt brannmurer ofte ikke strekker til. Årsaken er ofte ikke mangler ved brannmuren, men at murens sikkerhetsopplegg er slått av, av forretningsmessige hensyn.

WheelGroup bærer navnet sitt fra noe de kaller "sikkerhetshjulet".

- Kjernen i hjulet er organisasjonens sikkerhetspolitikk, understreker Scheel. - Den består blant annet i et sett med regler som forteller hva folk skal gjøre, og hva de ikke skal gjøre. Rundt denne kjernen kretser fire oppgaver:

  • nettverket skal sikres mot inntrenging og annen ulovlig bruk
  • man skal overvåke hva som skjer og svare så raskt som mulig på overtredelser av sikkerhetspolitikken
  • man gjennomføre tester for å sjekke at sikkerhetspolitikken blir fulgt
  • sikkerheten skal styres og den stadig forbedres.

Sensorene spiller en sentral rolle for alle disse punktene. De kan konfigureres til å kommunisere direkte med ulike innretninger på nettverket. Denne egenskapen kan for eksempel brukes til å omdirigere en inntrenger til et sted der vedkommende ikke kan gjøre skade, men der han heller ikke merker at han er oppdaget. En sensor kan også sørge for å kryptere utgående meldinger, etter en bestemt politikk.

- Sensorene kan raskt oppgraderes. Da de siste hullene i Internet Explorer var oppdaget, laget vi i løpet av ett døgn en oppgradering som håndterte dette problemet fra sensoren. Opplegget med en sentral Director gjør det langt enklere og sikrere å omkonfigurere NetRangers sensorer, enn å vente på en fiks fra Microsoft som så skal installeres på samtlige klienter i nettet.

WheelGroup er i ferd med å vinne terreng blant USAs største selskaper. En viktig årsak er en rapport de gjorde på vegne av sine kunder, der de analyserte over en halv million inntrengingsforsøk i perioden mai til september 1997. Rapporten viste blant annet at offentlige myndigheter og konkurrerende selskaper står bak en stor del av inntrengingsforsøkene.

- Egenskapen ved sensorene som gjør at du kan sperre for bestemte IP-adresser på bestemte steder i nettet, viser seg å være svært interessant for mange, sier Scheel.

Analysen av datastrømmen ut fra organisasjonen kan brukes til å sikre at medarbeiderne holder seg til de etablerte reglene for Internett-streif.

- Det effektive her er ikke direkte sensurtiltak, men en diskret advarsel om at man har en politikk og at nettstreifingen overvåkes. I noen tilfeller har det fått ned nettbruken tilstrekkelig til å avverge unødvendige investeringer i utvidete kapasitet, avslutter Scheel.

Til toppen