Sikkerhedshuller i webbrowsere udgør en ofte overset sikkerhedstrussel ikke bare for private, men også for virksomheder.
Har medarbejderne webadgang, kan et sikkerhedshul potentielt lukke ondsindede programmer indenfor i virksomheden.
- En slåfejl er nok til at havne på en forkert hjemmeside, siger teknisk chef Johannes Ullrich fra sikkerhedsorganisationen SANS til Computerworld.
Ikke tilstrækkelig beskyttelse
Havner en medarbejder på en ondsindet side, der benytter et exploit til at installere et ondsindet program på medarbejderens pc, så er det langt fra sandsynligt, at antivirus og firewall er tilstrækkelig beskyttelse.
Bedste bud for it-chefen er at lade webtrafikken gå gennem en proxy-server og håbe, at de ondsindede sider bliver filtreret fra.
I løbet af de seneste par år har virus-bagmændene nemlig skiftet taktik og har udset sig nye mål.
Den væsentligste udvikling er skiftet fra "graffiti-virus", hvor det gjaldt om at få opmærksomhed, til de kommercielle virus, der både er blevet mere sofistikerede og rettet mod mindre mål.
Rootkits er et eksempel
- Rootkits til Windows er et eksempel på, hvor sofistikerede de er blevet. Selv den seneste variant af Bagle benyttede sig af et rootkit, siger Johannes Ullrich.
Et rootkit gør det muligt at skjule en kørende proces fra de øvrige dele af systemet, så almindelige antivirusprogrammer eksempelvis ikke kan finde dem.
Virus-programmørerne skrev førhen nye virus fra bunden af, men er nu begyndt at samle dem af velkendte komponenter.
Det skulle give antivirusfirmaerne en fordel, fordi de på den måde lettere skulle kunne genkende nye varianter.
Men de nyeste varianter bliver udsendt i pakkede versioner til en mindre gruppe ofre, før de bliver pakket om, og en ny udgave tager over.
Det spolerer den metode med digitale fingeraftryk af virus-filerne, som antivirusfirmaerne benytter til at genkende virus.
Nødt til at følge med
- Antivirus- og anti-malware-producenterne er nødt til at gøre noget for at følge med. Lige nu er de håbløst bagefter, siger Johannes Ullrich.
Kombinationen af hurtigt ændrede varianter og målrettede mindre angreb, gør den nuværende taktik med daglige opdateringer til antivirus nærmest ubrugelig som beskyttelse.
Antivirusfirmaerne er da også begyndt i større omfang at forsøge at kombinere signaturgenkendelse med de såkaldte heuristiske metoder, som eksempelvis norske Normans Sandbox.
Men disse metoder er endnu ikke fuldt ud pålidelige.
Samtidig betyder de mere komplekse ondsindede programmer, at oprydningsarbejdet bliver mere kompliceret og tidskrævende.
For at skabe en tilstrækkelig beskyttelse af en virksomhed eller organisations it-systemer er man derfor i dag nødt til at sikre sig i flere lag.
Brugere skal have nødvendig uddannelse
Det betyder, at brugerne skal have den nødvendige uddannelse, serverne skal have de nødvendige forsvarssystemer og selve netværket skal beskyttes med firewalls, proxy og andre defensive systemer.
- En hacker kan let komme forbi hvert enkelt af systemerne. Derfor er man nødt til at stable dem oven på hinanden, siger Johannes Ullrich.
Sikkerhedsfirmaet StillSecure opdeler den lagdelte sikkerhedsmodel i fem niveauer:
Første lag er de såkaldte perimeter-forsvarsværker som firewall, netværksbaseret antivirus og VPN-kryptering.
Andet lag er selve netværket, der beskyttes med systemer som intrusion detection og prevention (IDS/IPS), software til overvågning og styring af sårbarheder og sikkerhedsopdateringer, adgangskontrol til netværket og identitetsstyring.
Tredje lag er værtsmaskinerne eller servere, som ud over de ovennævnte systemer kan beskyttes med antivirus, adgangskontrol og styring af sårbarheder.
Fjerde lag er de enkelte applikationer, som kan beskyttes med inputsvalidering, altså kontrol af de data, der fødes ind i systemet.
Femte lag er beskyttelsen af data, som eksempelvis kan ske gennem kryptering.
Hvert enkelt system tilbyder en vis beskyttelse, men den optimale beskyttelse opnås først, når en hacker bliver tvunget til at finde en vej forbi alle fem lag.
