Artikel top billede

Sådan kan du udnytte smart sladrehanks-funktion i cloud'en

Skyen giver dig alle tilgængelige sikkerhedsinformationer i netop det øjeblik, dine sikkerhedssystemer skal tage beslutningen om at lade noget slippe igennem eller ej. Nu får du også fortrydelsesret på forkerte handlinger. Her er forklaringen.

Dit antivirusprogram fejler hver eneste dag, og du får ingen information om fejlene.

Nu har sikkerhedsbranchen udpeget skyen som sladrehank, før der slipper ondsindet kode ind i dit netværk. Du kan ligefrem blive advaret tilbage i tiden.

Teknologier som antivirus, firewall, mail-filtre eller web-filtre er rigtig gode til at gøre opmærksom på sig selv, når der er fanget malware eller andre sikkerhedsproblemer i programmets signaturer eller filtre.

Men når noget uønsket slipper igennem, er der total tavshed i dit antivirusprogram og resten af dit sikkerhedssystem.

"Hver gang dine sikkerhedssystemer fejler - og det gør de hele tiden - fejler de i stilhed, og det er et kæmpe problem," fortæller Christian Heinel, der er sikkerhedsmand i Cisco i Danmark.

For at løse det problem sætter sikkerhedsfirmaerne i større og større grad deres lid til skyen og big data-teknologier til analyse af sikkerhedsinformationer.

Cloud-baseret sikkerhedssystemer skal gennem en kombination af opsamling af malware-koder, der florerer på nettet, og statistiske værktøjer sikre dit netværk mod ondsindet kode.

Sandkassen er ikke kun til børn

Der er nemlig flere fordele ved at sende sikkerheden op i skyen.

Skyen giver blandt andet mulighed for at bygge sandkasser til afvikling af kode uden for netværkets rammer, og så kan man følge op på hændelser, der allerede er sket i netværket.

Der er nemlig kræfter nok i skyen til at følge netværkstrafikken i længere perioder, hvilket betyder, at en sikkerhedshændelse, der er sket for en måned siden, stadig kan opfanges i filtreringen af trafikken i netværket.

"Skyen gør skalering mulig, og det betyder, at sikkerhedsprogrammerne aldrig glemmer en beslutning. Når en firewall eller et sikkerhedsprogram skal træffe en beslutning om at lade noget slippe igennem eller ej, så kan beslutningen tages på baggrund af al den viden sikkerhedsfirmaerne har i skyen på netop det tidspunkt, hvor beslutningen tages," fortæller Christian Heinel, og fortsætter:

"Hvis det senere skulle vise sig at være en fejl, og at beslutningen var forkert, har skyen mulighed for at gøre opmærksom på det og udføre tilbageskuende handlinger. Det er fordelene ved at bruges skyen til sikkerhed."

Læs også: Magtfuld amerikansk sikkerheds-mand: Sådan får vi løst de største sikkerhedsproblemer

Hvad gør skyen bedre end de traditionelle lokale sikkerhedssystemer med eksempelvis signaturer?

"Der er primært to ting. Det ene er mængden af data i skyen. Du skal have store mængder informationer for at være repræsentativ og statistisk i orden," fortæller han.

I Ciscos system er der eksempelvis 1,6 millioner målepunkter, der dagligt føder virksomhedens sky med gigabytes af data om trusselsbilledet. Databasen udvides med 1,1 million nye malware-eksemplarer hver dag. 

"Det andet, der er afgørende, er naturligvis kvaliteten af data. Data skal bestå af informationer om ondsindet software lige nu, men også om brugernes opførsel, eksempelvis i forbindelse med afsendelse og modtagelse af e-mail."

Det handler ikke om indholdet i mails, men om statistik i forbindelse med hvem, der snakker med hvem, og i hvilket omfang.

På den måde kan skyen bygge en personlig brugerprofil ud fra hundredevis af parametre og foretage handlinger ud fra profilens oplysninger.

"Hvis du pludselig modtager 20 mails fra en helt ukendt afsender, så skal der eksempelvis hejses et gult flag."

Den samme teknik anvendes i forbindelse med webtrafik eller på enkelte filer.

Hvordan analyserer i enkelte filer i systemet?

"Et konkret eksempel er, at du henter en PDF-fil - det kan både være fra nettet eller i netværket. Kender skyen ikke allerede filen, så er der flere muligheder og ved at udlicitere opgaven til skyen, så er der også nogle processormæssige fordele," siger han.

Først er der et signaturbaseret opslag i skyen. Herefter analyseres filen i forbindelse med sit omdømme: Hvor er den set før og i hvilken sammenhæng.

Det er også muligt at afvikle filen i skyen i en sandkasse, før den slippes løs i netværket, eller analysere på dele af en fil.

"Vi ser først på header-informationen, der fortæller om filens opbygning og adfærd. Det er eksempelvis hvilke dll'er, den snakker med på modtagermaskinen."

Hvis der stadig er tvivl, så kan filen eksekveres i skyen i en sandkasse.

Hvor kommer informationerne i jeres sky fra?

"De kommer fra vores kunder, der kan acceptere, at informationerne anvendes til analyse. På den måde sendes et webbesøg først forbi et af vores datacentre først, hvor det registreres. Informationerne analyseres og skubbes herefter tilbage i form af bedre sikkerhed. Men det er helt frivilligt, at være med. "

Tilbage til fremtiden

En interessant mulighed ved sikkerhed i skyen er, at man kan give tilbageskuende analyser.

Er en fil allerede blevet åbnet af en bruger, men efterfølgende har det vist sig, at det er en ondsindet fil, så kan it-afdelingen informeres.

"Skyen kan give informationer tilbage til det tidspunkt, hvor filen er åbnet. Herefter kan man følge informationerne om filens position, færden eller andre, der har været i forbindelse med filen."

Kan man spole tiden tilbage til før, filen er åbnet i netværket?

"Nej, det er ikke muligt. Man kan sætte berørte maskiner i karantæne og oplyse de netværksansvarlige om situationen. Man kan stoppe ulykken i forbindelse med eksempelvis 0-dagsmalware, og så kan virksomheden selv lægge en backup på."

Hvor langt kan man gå tilbage i tiden?

"I princippet glemmer skyen aldrig, men det afhænger af, hvor meget plads du har tildelt funktionen. Det er samme princip, som man kender det fra fortryd-funktionen i Word, der kan sættes op til at gemme ti, 100 eller 1.000 arbejdsgange."

Er det en generel tendens blandt sikkerhedsfirmaerne at benytte disse cloud-teknologier?

"Ja, det er ved at vinde indpas. Der er forskellige metoder, og omfanget af services er også forskelligt, men tendensen i sikkerhedsbranchen går helt sikkert mod skyen. Vi har valgt at sende en 'crawler' baseret på open source-kode gennem netværket og mappe profilerne op mod active directory for at skabe overblik over netværket. Andre leverandører har andre teknologier."

Er disse løsninger for private, eller er det kun til virksomheder, at skyen er klar?

"Det er primært til firmaer i øjeblikket, og det er til firmaer i den tunge ende af skalaen."

Kan private ikke få adgang til sikkerhed i skyen?

"Ikke direkte, men der er en gør-det-selv-cloud-sikkerhedsløsning i form af en gratis agent, der bruger skyen til at detektere malware. Det er faktisk den samme cloud, som virksomhederne bruger i deres løsninger," fortæller han.

Klienten hedder Immunet, oplyser han.

Den giver langt fra elle de funktioner som virksomhederne kan købe sig til, men det er et fint supplement til sikkerheden på en almindelig computer. Man kan få malware-beskyttelse, men der er ingen værktøjer eller retrospektiv sikkerhed i løsningen.

Så man kan bygge en cloud-baseret beskyttelse på hjemmemaskinen, der finder den malware, som traditionelt antivirus-software ikke finder?

"Fordelen er, at skyen opdateres hele tiden. Derfor er Immunet langt hurtigere end et lokalt sikkerhedssystem, der eksempelvis opdateres en gang om ugen. Men det er kun et supplement til et sikkerhedsløsning på computeren," lyder det fra Christian Heinel.

Læs også:
CSC trods Danmarkshistoriens største hackersag: Vi forventer da flere kunder i fremtiden

Magtfuld amerikansk sikkerheds-mand: Sådan får vi løst de største sikkerhedsproblemer

Gartner: Her er de vigtigste teknologier i 2015