IT-sikkerhetsleverandøren Check Point har gjennomført en vesentlig oppgradering av sin plattform, fra NG («Next Generation») til NGX. Leif Sundsbø (daglig leder) og Christian Sandberg («security engineer») fra Check Point Norge forteller at produktene som sogner til den nye plattformen vil være tilgjengelig her i landet fra neste uke.
– Hvordan kundene oppfatter utviklingen innen trusselbildet og evnen til å håndtere det, har stått sentralt i utviklingen av den nye plattformen, sier Sandberg. – Nye typer angrep og nye typer applikasjoner, for eksempel tale over IP, har utløst et mangfold av sikkerhetsarkitekturer. Kundene erfarer at selv om de bruker mer på sikkerhet, er innsatsen lite effektiv. Alt blir stadig mer komplekst.
Det Check Point lover med NGX, er en forent sikkerhetsplattform for løsninger langs randen av lokalnettet, innenfor lokalnettet, og mot web. Dette skal la små og store bedrifter og organisasjoner forenkle sikkerhetsarbeidet, redusere kostnadene, og samtidig være i stand til effektivt å verne seg mot dagens og morgendagens trusler.
– Vi oppfatter at tilbudene fra Check Point har falt inn i én av tre kategorier. Vi startet med brannmur og VPN (virtuelt privat nett), altså randvern, og har siden utvidet med både internt vern og vern mot web. I 2004 kom vi med en intern brannmur, InterSpect, og en websikkerhetsgateway, Connectra. Vi tok også inn Integrity-produktene til Zone Labs. Ved å forene alt dette kan vi tilby nye muligheter, for eksempel å sette brannmurregler rundt enkeltapplikasjoner.
Med NGX knyttes funksjonene i disse kategoriene – rand, intern og web – sammen i én felles driftsløsning. Samtidig er løsningene tilført mer intelligens for å gjøre dem både mer effektive og enklere å forholde seg til. Avanserte VPN-funksjoner skal gjøre det mer effetkivt å kople sammen store bedrifter.
– På driftssiden er VPN-1-familien (brannmur og VPN), InterSpect, Connectra og Integrity forent med sentralisert logging og sikkerhetsoppdateringer. Det forenkler driften kolossalt, spesielt fordi man enklere kan sørge for sikkerhetsmessig konsekvens tvers gjennom hele nettverket.
For å gjøre det enklere for support folk og kontrollører å sjekke sikkerhetstilstanden, er det innført webbasert tilgang til regler og innstillinger, slik at selve driftsklienten kan forbeholdes IT-avdelingen.
Sundsbø og Sandberg er spesielt stolte over de nye funksjonene rundt applikasjonssikkerhet, der IT-drift kan justere per applikasjon nøyaktig hva den enkelte har tilgang til.
– Vi kan tillate bare bestemte applikasjoner, og sørge for at ukjente eller ikke godkjente applikasjoner ikke får tilgang til ressurser. En orm som slippes inn i nettet, eller et hackerverktøy, vil derfor straks kunne isoleres. Da er det ikke lenger nødvendig med eget verktøy for snokvern. Vi har lagt ned mye arbeid rundt tale over IP, der vi tar alle protokoller, SIP, H.323 og så videre, og sjekker at de blir gjort riktige. Noe tilsvarende er gjort for peer-to-peer-funksjonalitet som i MSN Messenger. I grensesnittet til driftsverktøyet er det en ny fane merket «Smart Defense». Her justerer man sjekkingen av protokollene, for eksempel fjerntilgangsprotokollen RPC.
Klikk på bildet for å se hele skjermbildet av Check Point SmartDashboard
Applikasjoner som rettes mot web, har ofte vært rammet gjennom usikrede buffere, det vil si inndatamottak som tar i mot hva som helst, også lange kommandostrenger som blir liggende i minnet og i verste fall lar uvedkommende få kontroll over serveren. Check Point har tidligere lansert teknologi som fanger opp forsøk på å misbruke usikrede buffere, uavhengig av applikasjon. Med NGX er denne «Web Intelligence» med «Malicious Code Protection» utvidet til Sparc-prosessorer (Sun) fra tidligere bare Intel-prosessorer, og funksjonaliteten er gjort til en del av plattformen.
– Prinsippet er rett og slett at en virtuell maskin sjekker fortløpende om det er mulig å disassemble datastrømmen til assemblerkode. Erfaringen fra Intel-løsningen er at virkemåten er svært sikker, med bare 0,04 prosent falske positive. Funksjonen innebærer at dersom du putter Web Intelligence mellom webserveren og Internett, er det mange applikasjons- og systemoppgraderinger du kan utsette med god samvittighet.
VPN-forbedringene gjelder rutingbasert VPN, i tillegg til domenebasert som har vært Check Points tilbud hittil. Følgelig kan man kombinere dynamisk ruting med permanente tunneller, etter behov.
Les også:
- [19.08.2005] Check Point leverte gode tall
- [08.06.2005] Krever Pentagon-hacker utlevert
- [06.02.2004] Kritisk brannmur-hull i hver sjette bedrift
- [21.01.2004] Nytt sikkerhetsverktøy mot interne trusler