Hvorfor bruge Client Security produkter ?
Mekanismer
Hybride orme og andre trusler anvender forskellige mekanismer for at kunne sprede sig. F.eks. traditionel hacker teknik, som kan bruges til at afdække operativ systemet eller software sårbarheder ved at tilføje ondsindet kode/programmer som forårsager virusagtig adfærd som at destruere eller kopiere konfidentielle informationer. Almindelig antivirus er ikke længere tilstrækkelig, som det blev bevist med Lovsan/Blaster ormen. Læs evt mere om virus på www.c-cure.dk
Almindelig antivirus utilstrækkelig !
Almindelig antivirus kan ikke, når et nyt udbrud af en netværksorm, som f.eks Slammer starter, detektere koden fordi ormen ikke skriver noget til harddisken på PC’en. Antivirus produkterne til PC er designet til at finde orme som skriver til harddisken. Ingen af markedets antivirusproducenter tilbyder antivirus som kan detektere denne nye type netværksorme. Nogle af de nye orme er også istand til at downloade opgraderinger fra Internettet. De fleste virksomheder har i dag antivirus på e-mailservere og scanner også deres webtrafik, idet smittekilden oftest kommer herfra. Virusskribenterne har selvfølgelig også bemærket dette og har derfor designet vira som benytter andre mekanismer, for at omgås email og Webtrafik beskyttelsen.
Netværks orme
De seneste karakteristika på orme har været den stigende hastighed, hvorved de spredes. Indtil videre har den hurtigst spredende virus været Sobig, som spredte sig på 13 minutter. Slammer spredte sig på 15 minutter og fik i øvrigt hele Internettet til at sløve ned. På den tid kan ingen antivirusproducenter nå at opdatere deres signaturdatabaser.
Et eksempel herpå er Mydoom, som leder efter en default Kazaa folder, hvis den finder den, lægger den inficerede filer ned i folderen og lokker brugerne til at åbne dem, ved at udgive sig for at være et attraktivt software.En anden virus er Fizzer, som spredes ved at bruge Instant Messaging, peer to peer filesharing netværk og Internet Relay Chat (IRC). Disse kanaler kan blokeres ved gateway-firewall’en, men for systemadministrator er der ingen midler til at forhindre medarbejderne i at benytte disse applikationer på Laptops udenfor virksomhedens enemærker. Med mindre at man ikke tildeler lokale administrator-rettigheder. Dette kan selvfølgelig være godt nok, men er ikke altid hensigtsmæssigt overfor alle typer brugere. Er brugeren f.eks ikke i netværket, men ude, med en direkte adgang til Internettet, er der ingen mulighed for beskyttelse mod trusler der ankommer med webtrafikken og end ikke en personlig firewall vil kunne stoppe truslen.
Spyware i peer-to-peer software forøger risikoen for spredning af virksomhedens konfidentielle documenter på Internettet og åbner porte for hackere og orme. Med en proaktiv og centralt administreret desktop Firewall, samt et antispyware, kan man sikre at også mobile arbejdspladser er dækket af virksomhedens sikkerhedsregler.
Konklusion
Lovsan/Blaster tog 8-10 minutter pr. enhed at rense ud. En mellemstor virksomhed skal altså afsætte minimum een fuld arbejdsdag, blot til at rense klienternes PC'er.……Hvis en fremtidig netværksorm dertil er destruktiv og når at ødelægge data eller på anden måde forhindre adgang til dem, er redningsarbejdet langt mere omfattende.
Hvis virksomheden har medarbejdere, som benytter laptops, eksterne medier eller elektroniske informationer downloadet eksternt kan en gatewayfirewall, ikke beskytte mod de informationer, som ”bæres” direkte ind og ud på de enkelte enheder i netværket. Nye hurtigt spredende vira som indeholder orme eller trojaner med en særlig ”aktiveringsdato”, vil ikke blive opdaget af hverken almindelig antivirus eller en gatewayfirewall. Her kræves en lokal applikations kontrol eller en intrusion detektion mekanisme på den enkelte enhed. Et lokalt antispyware vil være et nødvendigt supplement for en komplet beskyttelse af den enkelte enhed, ved surfing på internettet.
