Hirdetés

Védelem a vírus ismerete nélkül?

BusinesSecure és ClientShield

Legyen cikkünk főszereplője egy rendszergazda, valamint a cég, amelynek hálózati biztonságáért felel. Nyilván vennie kell egy vírusirtót. Lehetőleg irtsa a férgeket, a spamet és a spyware-t is. Védje a szervereket is, no, meg nem ártana, ha központilag is menedzselhető lenne. A beszerzést követően feltelepíti, bekonfigurálja a szoftvert. Pár héttel később megjelenik a világhálón az épp legújabb, világszinten is gyorsan terjedő fertőzés. Mivel a cég dolgozói eleve raklapszám kapják a tengerentúli és távol-keleti spamet, így a rendszer már hajnalban fertőzött. Hősünk délelőtt már a főnökség előtt áll, számonkérésen (mennyibe került a vírusvédelmi rendszer?). Délután megérkezik az új vírusdefiníció, estére a veszély elhárítva. Egy nap kiesett, és rendszergazdánkat munkaadói megint megfenyegették a felmondással. Elgondolkozik, mit tehetne még. Ennél gyorsabban lehetetlen reagálni, a heurisztikát meg inkább nem piszkálná, mert akkor meg a vakriasztások miatt eldobott levelek miatt kap a fejére.

Pedig milyen egyszerű lenne, gondolja hősünk, hiszen miből állna megírni egy kódot, ami, mondjuk, figyeli a futó alkalmazásokat, és ha az egyik a címjegyzékben lévő összes címzettnek küldeni akar, akkor az legalábbis gyanús.

2005 óta már létezik ilyen termék. A spanyol antivírus, behatolásvédelmi és számítógépes biztonsággal foglalkozó Panda Software által kifejlesztett TruPrevent technológiával ellátott komplex vállalati szoftverei megoldást jelentenek a valóban ismeretlen fenyegetések ellen is. Ezek közül is a legnépszerűbb a kis- és középvállalkozások számára kialakított BusinesSecure, mely a munkaállomás, valamint a fájl- és nyomtatószerver védelmét foglalja magában.

 

A védelmi megoldás négy alkotóelemből áll:

  • a ClientShield nevezetű munkaállomás-védelemből,
  • a FileSecure Windows és Novell alapú fájl- és nyomtatószerverek védelméből,
  • a CommandlineSecure elnevezésű parancssori antivírus-alkalmazásból
  • és a mindezeket összefogó, vállalati hálózatok védelmének hatékony üzemeltetésére kialakított központi menedzsment-szoftverből, az AdminSecure-ból.

 

ClientShield, a kőkemény védőjátékos

A rendszer alapkövét a hálózatba kötött munkaállomások teljes körű védelme képezi, amelyet a TruPrevent technológiával kiegészített ClientShield biztosít. Legfőbb feladata természetesen a vállalat munkaállomásainak és hordozható eszközeinek vírus- és behatolás elleni védelme, és az általuk okozott sérülések javítása. Ezek mellett persze tartalmaz spam, kémprogram és adathalászat elleni védelmet, valamint web-tartalomszűrést is. Mindezekért a Panda SmartClean2-technológiája a felelős. Természetesen rendelkezik automata adatbázis-frissítéssel is, illetve a Panda webes fórumain az adott problémára vonatkozó részletes leírások is elérhetőek.

Külön említést érdemel a szűrendő események közül a vállalati környezetben általános és folyamatosan fennálló problémának tekinthető kéretlen levelek esete. Elég 2-3 site-on megadni az email-címünk – például egy driver-letöltéshez – és pár napon belül már özönlenek is a világ legkülönbözőbb tájáról származó spamek, melyek nem csak bosszantóak, de komoly erőforrásokat is lekötnek mind feldolgozó-kapacitás, mind háttértár tekintetében. A ClientShield MAPI, POP3, SMTP és NNTP védelme mellé beépített anti-spam/anti-hoax technológiája speciális szabályok, Bayesian szűrők, tiltólisták és öntanulás segítségével választja külön a káros leveleket a felhasználóétól.

A jelek szerint a Panda külön figyelmet szentel a hálózatbiztonság integritására is, így kívülről, vagy hordozható gépről bejelentkezők csak akkor férhetnek a hálózati erőforrásokhoz, ha mindenben megfelelnek a beállított hálózatbiztonsági előírásoknak. A program fejlesztésekor a spanyolok tekintettel voltak a régebbi munkaállomásokat alkalmazó cégekre is. A kliens keresőmotorja tényleg minimális erőforrás-igényűre sikerült: veterán Win98-as gépek is jól használhatóak vele.

Másrészről viszont ez még mindig kevés, mert az ismeretlen biztonsági réseken beosonó kártevők ellen, definíció nélkül még mindig ugyanolyan védtelen a cégünk gépe, mintha pucér Windows-zal vágnánk neki a hálónak. A Panda elgondolkodott ezen a problémán, és a másik végéről fogta meg azt: megpróbálta csokorba szedni, hogy mit is csinál egy rosszindulatú kód általában, majd ezek definíciójával egészítette ki korábbi megoldásait. A technológia alacsonyszintű csomagvizsgálaton és a futó kódok összes kommunikációjának, valamint memóriahasználatának vizsgálatán alapul.

Egyszerű példánál maradva, ha egy futó alkalmazás/szolgáltatás a címjegyzék összes címére levelet akar küldeni, túlterheléses támadás céljából (DoS), vagy puffertúlcsordulást készül előidézni, akkor a TruPrevent közbelép és blokkolja a „gyanúsítottat” – szemben a többi behatolásérzékelő rendszerrel.

A technológia az elmúlt egy évben sikerrel bizonyított, és tényleg meggátolta az idén megjelent kártevők tevékenységét addig, amíg pár órával később a vírusdefiníció birtokában már lehetségessé vált a biztonságos eltávolításuk.

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Előzmények