Symantec lanserer ny modell for pc-sikkerhet

Neste generasjon Norton skal avsløre virus ved å tallfeste kodens «omdømme».

8. juli 2009 - 09:16

IT-sikkerhetsleverandøren Symantec har gjort tidlige betaversjoner av Norton Internet Security 2010 og Norton Antivirus 2010 gratis tilgjengelig fra nettstedet Norton. Symantec ønsker spesielt tilbakemeldinger på sitt prosjekt «Quorum», som de beskriver som en ny modell for å avsløre hittil ukjent ondsinnet kode. Det er med andre ord snakk om en utvidet modell for pc-sikkerhet.

Dagens antivirusprodukter kombinerer to typer teknologi: De avslører ondsinnet kode enten ved å gjenkjenne den i en «signatur»-database, eller ved å la den kjøre i en lukket virtuell pc og konstatere at den oppfører seg mistenkelig. Atferdsbasert avsløring er ressurskrevende, og signaturteknologien er åpenbart utilstrekkelig: Angrepstakten verden over har nå steget til over 200 millioner per måned, hvorav det store flertallet er helt nye. Selv med 1,8 millioner nye virussignaturer i 2008, er antivirusleverandørenes signaturteknologi på etterskudd.

Quorum-teknologien innfører en tredje metode for å avsløre ondsinnet kode, gjennom en ordning som vurderer kodens «omdømme» eller «reputation».

Prinsippet er enkelt: Programvare som har et godt omdømme, er ikke ondsinnet. Hvis et program har et dårlig rykte, kan det ha sammenheng med at det er ondsinnet.

Hvordan måler man omdømmet til et stykke kode?

Symantec har utviklet en målemetode som trekker veksler på deres «Norton Community», der flere millioner brukere bidrar anonymt med opplysninger om applikasjonene som kjøres på deres pc-er. De fleste brukere kjører i hovedsak gode applikasjoner, der opphav og distributør er kjent, og som har en rekke attributter felles. Det som kjennetegner slike applikasjoner kan sammenfattes i et godt mål for omdømme.

Ondsinnet kode har andre attributter felles. Hvis den er helt ny, har den for eksempel nær sagt ingen brukere. Opphav og distributør er ukjent. Quorum-teknologien vil dermed gi en lav poengsum for omdømme.

Symantec mener de nå har finpusset Quorum i tilstrekkelig grad slik at den automatiske omdømmemålingen med stor sikkerhet kan avsløre at en applikasjon har attributter som er typiske for ondsinnet kode.

I 2010-utgavene av Norton-sikkerhetsproduktene spiller Quorum sammen med Symantecs oppdaterte system for å analysere ukjent kodes atferd, «Sonar 2».

Norton-produktenes tilbakemeldinger og varsler har vært kritisert fordi de formuleres på en måte som gjør at vanlige brukere har problemer med å forstå dem. Det siste året har det lykkes datakriminelle å lure folk til å installere ondsinnet kode nettopp ved å etterape denne typen meldinger. Symantec lover at Norton 2010-produktene vil innføre «en ny opplevelse som gir brukere bedre innsikt i hva som er skjedd under et forsøk på smitte». Opplevelsen består i at teknisk ukyndige forstå hva som skjer, mens de kyndige får verktøy til å grave dypere ned i detaljer.

Ellers lover Symantec at alle Norton 2010-produktene vil være kompatible med Windows 7.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.