Det israelske IT-sikkerhetsselskapet Check Point har utviklet en slags «digital munnsjenk»,
som skal gi umiddelbar beskyttelse mot ukjente trusler.
Threat Emulation er en tjeneste som skanner og åpner vedlegg i epost, samt filnedlastinger. Filene kjøres så i et virtuelt, trygt miljø for å avsløre eventuell uønsket adferd. Alternativt å godkjenne filen for bruk.
Munnsjenken sørger for å «prøvesmake» potensielt skadelige filer, slik at jobbklienten og nettverket slipper å utsettes for fare. Alle filtyper støttes og tjenesten sørger for å pakke opp komprimerte formater.
– Etter en pre-skanning som avgjør om filen inneholder kjørbar kode, sendes den til en rekke ulike emuleringsmiljøer. Det være seg Windows XP, Windows 7 eller Windows 8. Vi kan emulere alt, men disse er mest utbredt. Du kan også bruke et image av laptoppen, forklarer sikkerhetsekspert Christian Sandberg i Check Point.
– Ingen falske positive
Rundt 30-40 kunder på verdensbasis har begynt å bruke produktet. Foreløpig har systemet skannet et par millioner dokumenter og aldri levert såkalt falske positive, det vil si å feilaktig stemple harmløse filer som skadevare, hevder selskapet.
– Alle kundene har oppdaget ting (skadevare) som har passert alle andre sikkerhetssystemer, både våre egne og fra andre leverandører, sier Christian Sandberg.
Rootkit mot skadevare
Virtualiseringsmiljøet er basert på en kraftig modifisert utgave av open source-produktet KVM, som overvåker hva som skjer når filen kjøres. Det fanger opp unormal aktivitet i registeret, filsystem, nettverkstrafikk, øvrige prosesser og så videre. I praksis har Check Point installert et eget rootkit i VMet, forklarer Sandberg.
– Vi svarer også på nettverksforespørsler og overvåker alle tastetrykk og musbevegelser. Vi legger også selv inn tastetrykk og «emulerer» litt vanlig brukeradferd for å lure trojanere som sjekker om de kjører i virtuelle miljø.
Prøv selv
Check Point er beredt på å gi alle en gratis demonstrasjon av teknologiens fortreffelighet. Hvis du mottar epost med et vedlegg du ønsker å sjekke, er det bare å videresende meldingen til threats@threats.checkpoint.com, så vil du motta en rapport som forteller om innholdet er skadelig.
Du kan også laste filen opp direkte i nettjenesten threatemulation.checkpoint.com. Begge disse robottjenestene støtter imidlertig bare Office-dokumenter og Adobe PDF.
Check Point hevder at teknologien er egnet til å avsløre såkalte nulldagssårbarheter og altså ukjente datatrusler som andre sikkerhetsprodukter ikke fanger opp. Men hvor trygg er en fil som får grønt lys av denne tjenesten?
– Det er 80-90 prosent sikkert hvis det går gjennom Threat Emulation-tjenesten. Vi må være så ærlige at ingen løsninger gir absolutt sikkerhet. Men en god antivirusløsning tar til sammenligning kanskje bare 50 prosent, sier Sandberg.
Produktet er ennå ikke sluppet med priser på det norske markedet. Det kommer først i slutten av juli måned. Målgruppen oppgis å være bedrifter med 50 brukere og oppover.
Funksjonen er en såkalt «software blade», et navn Check Point bruker på valgfrie moduler tilpasset selskapets verktøy innen drift og sikkerhet, styrt i samme konsoll som brannmur, snokvern (intrusion prevention), regelhåndheving og så videre. Løsningen kan leveres fra dedikerte servere eller som nettskytjeneste.