Mekanismer
Hybride orme og andre trusler anvender forskellige mekanismer for at kunne sprede sig. F.eks. traditionel hacker teknik, som kan bruges til at afdække operativ systemet eller software sårbarheder ved at tilføje ondsindet kode/programmer som forårsager virusagtig adfærd som at destruere eller kopiere konfidentielle informationer. Almindelig antivirus er ikke længere tilstrækkelig, som det blev bevist med Lovsan/Blaster ormen.
Almindelig antivirus utilstrækkelig !
Almindelig antivirus kan ikke, når et nyt udbrud af en netværksorm, som f.eks Slammer starter, detektere koden fordi ormen ikke skriver noget til harddisken på PC’en. Antivirus produkterne til PC er designet til at finde orme som skriver til harddisken. Ingen af markedets antivirusproducenter tilbyder antivirus som kan detektere denne nye type netværksorme. Nogle af de nye orme er også istand til at downloade opgraderinger fra Internettet. De fleste virksomheder har i dag antivirus på e-mailservere og scanner også deres webtrafik, idet smittekilden oftest kommer herfra. Virusskribenterne har selvfølgelig også bemærket dette og har derfor designet vira som benytter andre mekanismer, for at omgås email og Webtrafik beskyttelsen.
Netværks orme
De seneste karakteristika på orme har været den stigende hastighed, hvorved de spredes. Indtil videre har den hurtigst spredende virus været Sobig, som spredte sig på 13 minutter. Slammer spredte sig på 15 minutter og fik i øvrigt hele Internettet til at sløve ned. På den tid kan ingen antivirusproducenter nå at opdatere deres signaturdatabaser.
Et eksempel herpå er Mydoom, som leder efter en default Kazaa folder, hvis den finder den, lægger den inficerede filer ned i folderen og lokker brugerne til at åbne dem, ved at udgive sig for at være et attraktivt software.En anden virus er Fizzer, som spredes ved at bruge Instant Messaging, peer to peer filesharing netværk og Internet Relay Chat (IRC). Disse kanaler kan blokeres ved gateway-firewall’en, men for systemadministrator er der ingen midler til at forhindre medarbejderne i at benytte disse applikationer på Laptops udenfor virksomhedens enemærker. Med mindre at man ikke tildeler lokale administrator-rettigheder. Dette kan selvfølgelig være godt nok, men er ikke altid hensigtsmæssigt overfor alle typer brugere.
Spyware i peer-to-peer software forøger risikoen for spredning af virksomhedens konfidentielle documenter på Internettet og åbner porte for hackere og orme. Med en proaktiv og centralt administreret desktop Firewall, kan man sikre at også mobile arbejdspladser er dækket af virksomhedens sikkerhedsregler.
Konklusion
Lovsan/Blaster tog 8-10 minutter pr. enhed at rense ud. En mellemstor virksomhed skal altså afsætte minimum een fuld arbejdsdag, blot til at rense klienternes PC'er.……Hvis en fremtidig netværksorm dertil er destruktiv og når at ødelægge data eller på anden måde forhindre adgang til dem, er redningsarbejdet langt mere omfattende.
Hvis virksomheden har medarbejdere, som benytter laptops, eksterne medier eller elektroniske informationer downloadet eksternt kan en gatewayfirewall, ikke beskytte mod de informationer, som ”bæres” direkte ind og ud på de enkelte enheder i netværket. Nye hurtigt spredende vira som indeholder orme eller trojaner med en særlig ”aktiveringsdato”, vil ikke blive opdaget af hverken almindelig antivirus eller en firewall. Her kræves en lokal applikations kontrol eller en intrusion detektion mekanisme på den enkelte enhed.
Vi har flere produkter som håndterer problematikken med netværksorme. Bl.a. Norman Internet Control og F-Secure Client Security, men Trend Micro er også et godt bud på en løsning. År 2004's største orme-angreb blev alle fundet først af F-Secure.
F-Secure Client Security består af :
Central og sikker administration også over internettet (Bygget på PKI struktur)
Verdens eneste antivirus med tre individuelle scannere.
Virusadvarsels service og Intrusion Detection systemet opdager Troyaner (keybordhookers, bagdøre etc.), som ikke vil forhindres af traditionel Firewall. Er dynamisk opdateret, således at nye kendte troyaner opdages.
Internet Shield
Forhindrer netværksorme, Slammer,….Som f.eks. udnytter sårbarhed i RPC protokollen etc.
F-Secure® Anti-Virus Client Security™ er designet til at beskytte mod:
• Virus og anden ondsindet kode
• Hacker- og netværksorme angreb
• Brugen af forbudte software som komprommiterer vriksomhedens sikkerhedsregler
F-Secure Anti-Virus Client Security kombinerer antivirus, desktop firewall, intrusion prevention, application control og virus nyheder I en tæt integreret løsning.
| 
