Beveiliging netwerk wordt ‘proactiever’

Ook de vele lekken in de besturingssystemen en hulpprogramma’s van Microsoft worden naar hartenlust uitgebuit. Voor sommige van deze ‘exploits’, zoals het in juni vanuit Rusland verspreide Download.Ject, is nog niet eens een afdoende remedie gevonden._ Het antwoord op deze bedreigingen is doorgaans reactief. Leveranciers van antivirussoftware spuien aan de lopende band herziene versies van hun zogenaamde DAT-files, bestanden met elektronische ‘handtekeningen’ van alle bekende virussen. Ook andere bedreigingen worden doorgaans achteraf gepareerd met specifieke maatregelen, zoals het blokkeren van bepaalde IP-poorten in de firewall. ‘Zero day’ De tijd die verstrijkt tussen de ontdekking van een nieuwe zwakke plek en de eerste kwaadaardige software (‘malware’) die misbruik maakt van zo’n beveiligingslek wordt steeds korter. Het moment nadert dat er helemaal geen tijd meer over is tussen ontdekking en misbruik, een fenomeen dat beveiligingsexperts wel aanduiden met het begrip ‘zero-day’-aanval. Onderzoeks- en adviesbureaus als Gartner verwachten dat hardwarematige enterprise firewalls van leveranciers als Check Point, Juniper en Cisco steeds meer voorzieningen zullen krijgen voor het weren van indringers in het bedrijfsnetwerk (‘intrusion prevention’). Traditionele firewalls blijken namelijk grotendeels ineffectief te zijn tegen de zich massaal verspreidende internetwormen en virussen. Onschadelijk maken van deze aanvallers is alleen mogelijk door grondig onderzoek (‘deep inspection’) van de schadelijke lading die de virussen met zich meevoeren. Nieuwe firewalls zijn met grotere accuratesse in staat kwaadaardige pakketjes te blokkeren terwijl het essentiële dataverkeer doorgaat. Ook McAfee Security, tot voor kort bekend als Network Associates, heeft de stap gemaakt van detectie naar preventie. Onlangs presenteerde het bedrijf nieuwe versies van twee intrusion prevention systemen (IPS’en), Intrushield 2.1 en Entercept 5.0. Daarvan is het eerstgenoemde actief op netwerkniveau en het tweede op hostniveau._ Reactief Simon Leech, security systems engineer bij de Nederlandse vestiging van McAfee in Amsterdam, constateert dat bestaande beveiligingsproducten erg reactief te werk gaan. "Ze blinken niet uit in het beveiligen van de netwerkinfrastructuur of de bureau-pc’s in bedrijven. Bij de uitbraken van bijvoorbeeld LoveSam, SQL Slammer en Sasser zag je dat die beveiligingsproducten maar een bepaald niveau van bescherming bieden." Je kunt jezelf wel afdoende beschermen door tijdig de juiste updates, hotfixes en patches te installeren, maar daar komt het niet altijd meteen van. Bedrijven komen bij calamiteiten IT-handen te kort en willen nieuwe patches bovendien eerst testen. Bijkomend probleem is dat mobiele gebruikers niet altijd aanwezig zijn om de laatste updates op hun notebook te laten installeren. Ook een systeem dat inbraken signaleert (intrusion detection system, IDS) kan schadelijke gevolgen niet voorkomen. Leech: "Ik vergelijk een IDS altijd met een autoalarm. Als je dat ’s nachts hoort afgaan en je uit je slaapkamerraam kijkt, zie je de inbreker al met je autoradio de straat uitrennen." Een preventief werkend IPS kan in zulke situaties van meet af aan bescherming bieden, aldus Leech. "Een goed IPS begrijpt je netwerk en de systemen die het moet beschermen en kan daardoor bescherming bieden tegen kwaadaardig gedrag. De analyses die het IPS maakt, zijn deels gebaseerd op regels en handtekeningen. Dat is heel nuttig om reeds bekende bedreigingen te ontdekken. Maar daarnaast werkt het met gedragsanalyse, het detecteert anomalieën in het netwerkverkeer. Afwijkende zaken worden geblokkeerd en legitiem verkeer blijft ongemoeid." Antivirus McAfee is bezig een deel van de IDS-technologie te integreren in zijn antivirusproducten. Dat is mede ingegeven door marketing, erkent Leech. "Virusbestrijding is gemeengoed geworden. De virusscanners van bijvoorbeeld McAfee, Symantec en Trend Micro zijn in feite allemaal even goed. Microsoft komt binnenkort ook met een antivirusproduct. Om concurrerend te blijven moet je je onderscheiden en de klant een steeds hoger niveau van bescherming bieden." En dus komt McAfee binnenkort op de markt met versie 8.0.i van Virusscan Enterprise Edition, met een snufje proactiviteit. Zo kan de software voortaan zogenaamde ‘buffer overflows’, een door virusmakers beproefde aanvalsmethode, bestrijden. Deze functionaliteit is ontleend aan Entercept. Zolang de juiste patches niet zijn geïnstalleerd valt het vollopen van de geheugenbuffers dan nog steeds niet te voorkomen, maar wel is het mogelijk een halt toe te roepen aan het uitvoeren van kwaadaardige programmacode als gevolg van de buffer overflow.