Snokvarsling fås på abonnement

Fra Arendal tilbyr Proseq snokvarsling på abonnement også utover Norges grenser. - Fagområdet krever stadig oppfølging og kan ikke automatiseres, sier daglig leder Arnt Brox.

Arnt Brox tar sikte på å bygge ut Arendal-bedriften Proseq AS til en europeisk leverandør av sikkerhetstjenester over Internett. Strategien bygger på en allianse med den amerikanske leverandøren av snokvarslingsverktøy, NFR Security. NFR har opparbeidet seg et solid fotfeste i det amerikanske markedet og har i løpet av det siste året bygget opp en markedsavdeling som har bidratt til å femdoble staben. Deres strategi er nettopp å samarbeide med partnere som tilbyr tjenester basert på deres produkt.

- Snokvarsling, "intrusion detection", kan ikke automatiseres. Hackerne utvikler stadig nye metoder, og snokvarslingen må holde tritt med denne utviklingen. Det er et fagområde som krever stadig oppfølging. Derfor er det naturlig å tilby det som tjeneste, sier Brox.

Flere tilbydere av Internett-aksess bruker NFR-produktet allerede, og kan tilby tjenester knyttet til en eller annen form for nettverksovervåkning. Ofte er dette utelukkende til eget bruk, og det utvides ikke til å omfatte spesielle sikkerhetstjenester overfor kunden. Et eksempel er UPC som bruker NFR-produktet til å avsløre når kunder bruker mer båndbredde enn de betaler for, men som av forskjellige grunner ikke tilbyr spesielle sikkerhetstjenester.

- Du må undersøke hva slags vern du egentlig får gjennom tilbyderen, forklarer Matthew Wade, internasjonal markedssjef i NFR. - De færreste er i stand til å fortelle deg at uvedkommende befinner seg på feil side av brannmuren din.

Det grunnleggende ved NFR er et overvåkingssystem som fanger opp alt som skjer av trafikk i og rundt et lokalnett, og som rapporterer fortløpende over en Internett-forbindelse. Forskjellige metoder brukes for å analysere dataene, slik at man kan oppdage uforklarlige avvik fra normal trafikk.

- Det er lett å oppdage såkalte "script kiddies", fordi kodene de bruker fanges opp av systemet, og rapporteres umiddelbart. Slike er irriterende, men utgjør ingen stor risiko. Det som skaper bekymring, er de kompetente snokene, de som bruker egne metoder, går sakte fram, og passer på å ikke følge noe bestemt mønster. Skal du fange dem, må du samle data fra ulike kilder, slik at sporene de etterlater seg kan avsløres av sammenliknende analyser. Det har vi også verktøy for, sier Wade.

Dyktige snoker sletter sine spor i loggene på serverne som de besøker. NFR har laget noe de kaller "Secure Logs Repository" der alle loggene samles, og der det skal være umulig for en hacker å slette eller endre informasjon. En egen "Analyst Workbench" hjelper med den korrelative analysen som gjør det mulig å avsløre fremmede trafikkmønstre. Snokvarslingstjenesten innebærer at Proseq tar på seg det daglige ansvaret for å betjene disse og andre verktøy i forhold til kundes nettverk.

- Vår oppgave er å varsle kunden straks vi oppdager at inntrengere er på ferde, sier Brox. - Vi forteller hva som er på gang, og hvor alvorlig vi vurderer tilfellet. Det er opptil kunden å ta standpunkt til hva som må gjøres. Vi anbefaler absolutt ikke å legge inn noen form for automatisk reaksjon. Altfor ofte er automatisk reaksjon det samme som å nekte legitime brukere tilgang til kundens tjenester. Det er som å holde en pistol til ditt eget hode, og la hackeren disponere avtrekkeren.

Proseq har bygget et solid kompetansesenter i Arendal for å betjene kunder i det nordlige Europa. Senteret suppleres av lokale kontor i land der kundemassen krever det. I London åpnes et lokalt kontor 1. februar i år. Deretter står Amsterdam for tur.

Til toppen