Check Points Interspect houdt gedrag applicaties in de gaten

Firewall-fabrikant lanceert beveiligingsprogramma

26 januari 2004 | Jeff Ronge Firewall-fabrikant Check Point heeft Interspect gelanceerd, een beveiligingsprogramma dat (zakelijke) netwerken beschermt tegen aanvallen van buitenaf die gebruik maken van bekende zwakke plekken in LAN-protocollen en -applicaties.

Interspect werkt met een database van bekende kwetsbare plekken die regelmatig wordt ververst. Als door een applicatie verstuurde data-pakketten verdacht gedrag vertonen, treedt Interspect in werking door de betreffende pc in quarantaine te zetten en de gebruiker te waarschuwen dat alle netwerktoegang tijdelijk wordt opgeschort, totdat het systeem is opgeschoond.

Peter Sandkuijl, Check Points Technical Manager Benelux, legt uit dat bedrijven weliswaar gewend zijn de buitengrens van hun netwerk te beschermen, maar dat problemen ook van binnenuit kunnen komen. Door een geïnfecteerde notebook die een werknemer mee naar huis heeft genomen bijvoorbeeld. Volgens Sandkuijl kan Interspect een netwerk indelen in segmenten, zodat zones met een verhoogd risico, waarin bijvoorbeeld veel notebookgebruikers werkzaam zijn, indien nodig snel zijn af te schermen van de rest van het netwerk.

"Als een door een worm geïnfecteerde laptop wordt aangesloten op het netwerk zal Interspect het apparaat de toegang ontzeggen. In plaats daarvan wordt de laptop verbonden met een ander deel van het netwerk, waar de diensten aanwezig zijn voor het patchen en schoonmaken van het systeem", aldus de Technical Manager.

Sandkuijl verklaart verder dat dit soort beveiligingsmethodes nodig zijn omdat bedrijven een serie tests willen doen voor ze nieuwe patches installeren op alle op het netwerk aangesloten systemen. Dat geeft virusschrijvers de tijd kwetsbare plekken uit te buiten. Als voorbeeld geeft de Check Point-woordvoerder de MSBlast-worm die misbruik maakte van een al in april 2003 aangekondigde kwetsbare plek, waarvoor in juli een patch uitkwam. MSBlast werd in augustus 2003 voor het eerst gesignaleerd. Hoewel de kwetsbare plek al maanden bekend was, werden veel systemen besmet. "De worm werd op dat moment nog steeds niet gedetecteerd door antivirus-applicaties of firewalls, en toen dit wel het geval was moesten gebruikers deze software bij elke mutatie van de worm opnieuw verversen", vertelt Sandkuijl.

Als Interspect destijds beschikbaar was geweest, had de applicatie volgens de Technical Manager opgemerkt dat de eerder door Microsoft gepubliceerde kwetsbare plek werd misbruikt. "Interspect kijkt niet naar data-pakketten met bekende wormen of andere virussen, maar controleert of applicaties proberen kwetsbare plekken uit te buiten. Het kan vaststellen dat het gedrag van de applicatie niet natuurlijk is en de datastroom blokkeren."

Volgens onderzoeksbureau IDC zal de markt voor beveiligingsapplicaties sterk groeien, maar krijgt Check Point wel te maken met forse concurrentie. Cisco en NetScreen domineren deze sector, met marktaandelen van respectievelijk 27,7 en 20,8 procent. Check Points nieuwe product is direct beschikbaar en kost, afhankelijk van de grootte van het netwerk waarop het gaat draaien, tussen de 9.000 en 39.000 dollar. Lees meer artikels over : check point, interspect, firewall, worm

bron: ZDNet