Internet Security Systems (ISS) er først og fremst kjent for sine avsløringer av sikkerhetshull i kjent programvare, og for sin teknologi for å overvåde og avverge datainnbrudd.
ISS har framstilt en pakke, Proventia Desktop, som tilbyr sentralstyrt vern av bærbare PC-er.
Produktet kan legges opp slik at den gjøres nærmest usynlig for PC-ens bruker. Det kan gjøres så langt at brukeren, selv med administrative rettigheter over PC-en, ikke har anledning til å klusse med oppsettet overhodet. Den retten er forbeholdt de som skal administrere Proventia Desktop gjennom hele bedriften.
– Vi mener produktet oppfyller en rekke krav som kunder erfaringsmessig har, sier seniorkonsulent Øistein Aspaas i Nova IT som markedsfører Proventia Desktop i Norge. – Straks en PC føres ut av bedriften, mister man kontroll over den. Den utsettes for åpne nettverk og andre brukere. Siden mange applikasjoner ikke virker med mindre brukeren er «administrator», er det liten aksept for løsninger i den retningen.
Aspaas mener det er absolutt påkrevet med tilleggsverktøy ut over det Windows tilbyr som standard.
– Windows-brannveggen er prima. Men de færreste sluttbrukerne er tilstrekkelig interessert eller kompetente til å balansere funksjonalitet mot sikkerhet etter hvert som de bruker PC-en i skiftende miljøer. Poenget er at brannmuren må stadig ominnstilles avhengig av hvor PC-en brukes. I praksis ser vi at brannmuren blir stadig mer og mer åpen.
Det som trengs, er følgelig et verktøy som nærmest justerer seg selv, og som har ytterligere lag av beskyttelse dersom brannmuren skulle krenkes eller et virus skulle slippe gjennom.
Sikkerhetsingeniør Andreas Gotthardsson i ISS Nordic mener det er nettopp slik Proventia Desktop framstår for sluttbrukeren. Ikke som følge av automatikk eller selvkonfigurering i verktøyet, men fordi de forskjellige vernelagene utfyller hverandre, og fordi Proventia-klienten retter seg etter regler som defineres sentralt. Det er ved å følge disse reglene at brannmuren ominnstiller seg når PC-en flyttes fra bedriftens sikrede nett til et hjemmenett eller en nettforbindelse på et hotell.
Vernemodellen til ISS legger til sammen seks lag rundt PC-en. Tre av disse gjelder trusler fra nettet. De tre andre verner mot applikasjoner, det vil si virus.
– Uansett om trusselen kommer fra nettet eller fra en lokal applikasjon, er det tre faser i ødeleggelsesprosessen, sier Gotthardsson. – Disse er penetrering, eksekvering og spredning. For en PC er eksekveringen det farligste. Følge må man forsøke å stoppe ondskapen ved penetrering og ved spredning.
På nettverkssiden legger Proventia Desktop en brannmur som det ytterste laget i vernet.
– Innenfor brannmuren er et lag med innbruddsvern, altså IPS [«intrusion prevention system»]. Vårt system bygger ikke på signaturer for ondsinnet kode, men på hvilken sårbarhet man prøver å forsere. ISS får tidlig kjennskap til sårbarheter, og kundene våre er følgelig ofte fullt ut sikret før leverandøren av det sårbare programmet har fått tettet hullet.
For ekstra sikkerhet har ISS lagt inn et tredje lag bak IPS-laget, for å verne mot usikrede buffere, den mest utbredte kilden til sårbarheter i programvare. Dette laget heter «buffer overflow exploit prevention», forkortet «BOEP».
– Innbruddsforsøk som stoppes av brannmuren eller IPS-laget, har innvirkning på hvordan maskinen fungerer. BOEP-laget virker derimot på samme måte som en sikring i et strømnett: Det krasjer hele systemet før den ondsinnede koden får gjort noe. PC-en må bootes igjen, men alle spor av den ondsinnede koden er borte.
Fra applikasjonssiden er klassisk signaturbasert antivirus det første forsvarslaget.
Proventia Desktop omfatter ennå ikke dette laget. Ifølge Gotthardsson vil det komme til høsten. ISS kommer til å kjøpe signaturene fra en partner. Per i dag kan ISS-produktet likevel brukes til å påtvinge bærbare PC-er å holde denne delen av virusvernet kontinuerlig oppdatert.
Det andre laget på denne siden er noe ISS kaller «application protection» eller «application control». Det går ut på at man sentralt kan definere tilpassede lister over både tillatte og ikke tillatte applikasjoner.
Det tredje laget heter Virus Prevention System (VPS). Det omfatter patentert teknologi som fanger opp ny kode og kjører den i en virtuell maskin hvor dens oppførsel analyseres. Gotthardsson mener å ha erfaring for at om lagene med henholdsvis klassisk antivirus og applikasjonskontroll svikter, så vil VPS-laget slå til. Dette ble observert hos kunder da de første Netsky-angrepene kom.
Den lagdelte strukturen på vernet innebærer at ISS ikke behøver å lage egne moduler for å ta seg av spionvare.
– Spyware møter hindringer i både applikasjonskontrollen, VPS-laget og IPS-laget. Vi er blitt antispywaresertifisert med denne løsningen. Når vi legger inn signaturer, vil vi sørge for signaturer av både virus og spyware. Da vil spionvare møte fire effektive lag.
Øistein Aspaas understreker at Proventia Desktop ikke selges til énbrukere.
– Det er et enterprise-produkt. Man er avhengig av å ha en policy i bunn for å bruke det riktig. Brukeren skal ikke se det, og skal heller ikke kunngjøre noe med det. Hvis man vil, kan det gjøres totalt usynlig, unntatt i Windows-oversikten over aktive prosesser.
Gotthardsson demonstrerer produktet ved å kjøre kjente infeksjoner av både virus og trojaner, blant annet gjennom jpeg-sårbarheten der ondsinnet kode forsøkes overført bare man går inn på et nettsted med et infisert bilde. Proventia stanser nedlastingen og gir en feilmelding. Dersom en trojaner har greid å snike seg inn på maskinen, makter Proventia å hindre at den sprer seg til resten av nettverket. Hadde Microsoft hatt Proventia da Sasser slo til, ville med andre ord hele epidemien vært unngått: Sasser kom inn på bærbare PC-er mens de var tilknyttet åpne nett, og spredte seg lynraskt i Microsofts interne nett når PC-ene ble koplet opp der.