Trusselbildet fra ondsinnet kode har endret seg. Det ble blant annet dokumentert gjennom den nyeste Itakt-undersøkelsen (Internett- og telebransjens anti-kriminelle tiltak). I San Francisco, der det nå pågår en internasjonal samling av IT-sikkerhetsbransjen i regi av RSA Security, har den norske virusverneren demonstrert et kommende verktøy som er tilpasset det nye trusselbildet.
Tradisjonelt har virus, trojanere og ormer vært brukt til hærverk, og til å rekruttere mangelfullt vernede pc-er til zombie-nett. Det nye er at ondsinnet kode brukes av organiserte kriminelle til ulike typer svindel. Målet er ikke blinde angrep mot de mange, men målrettede angrep der det er stor økonomisk gevinst å hente. Itakt-undersøkelsen dokumenterer økt frykt blant norske IT-sjefer for phishing, sosial manipulering og ID-tyveri, og mindre frykt for «tekniske trusler» som spionvare, søppelpost, hacking, virus og sikkerhetshull.
– Vi har valgt «Proactive Forensic Toolkit» som foreløpig betegnelse på vår nye verktøykasse, fordi den bygger på den utvidede utgaven av vår Sandbox-teknologi, den som i utgangspunktet er rettet mot etterforskning, altså «forensics», sier OEM- og teknologisjef Arvid Gomez i Norman til digi.no.
Hensikten er å oppnå en automatisert prosess som utløses når det avdekkes unormal oppførsel av en klient i nettverket, og som avsluttes ved at smittede klienter renses og alle gis varig immunitet mot den spesifikke trusselen som førte til den unormale oppførselen.
Oppfatningen av hva som utgjør «unormal oppførsel» oppnås ved å analysere historiske data samlet gjennom Sandbox. Når unormal oppførsel identifiseres i en klient, brukes Sandbox til å dekode trusselen og til å lage en hensiktsmessig regel. Så skal verktøykassen sørge for at denne regelen fordeles gjennom nettverket, samt rense smittede pc-er og sperre for framtidige forekomster av samme trussel.
Opplysninger om en ny trussel kan også legges inn manuelt: Hvis man leser om et nytt angrep som man tror man bør ta tiltak mot, kan informasjon om registry-endringer, tvilsomme filer med mer legges inn i verktøykassens driftskonsoll. Derfra kan man sette i gang et søk, med instrukser om automatisk å avinstallere den aktuelle ondsinnede koden.
Verktøykassen kan også brukes til automatisk å søke opp og avinstallere hittil ukjent ondsinnet kode avslørt av Sandbox. Den skal med andre ord kunne automatisere nettverkets vern mot «nulldagsangrep».
Gomez sier at Norman tar sikte på å gjøre verktøykassen markedsklar innen sommeren, og at endelig navn og tidsplan vil foreligge om kort tid. Verktøykassen vil ikke bare markedsføres direkte til bedriftskunder, men også inngå i produkter fra andre selskaper. Normans IT-sikkerhetsteknologi finnes i dag i produkter fra selskaper som MessageLabs, Microsoft, eEye Digital Security, SonicWALL, og Bauer.
Les også:
- [09.06.2009] Norman kjøpes av Ola
- [26.05.2009] Helhetlig IT-sikkerhet i ny Norman-pakke
- [14.05.2009] «DNA»-register avslører skadevare
- [22.04.2009] Norman åpner for integrasjon av Sandbox