Bramy - sposób na malware

W rozwoju bram ochronnych WWW pojawiły się dwa nowe trendy. Po pierwsze, rozwiązania typu brama antymalware odchodzą od klasycznego podejścia, opierającego się na lokalnej (w ośrodku użytkownika) bazie danych sygnatur malware, i wykorzystują do radzenia sobie z nowymi odmianami malware - kwerendowanie centralnej bazy danych malware (w ośrodku dostawcy) w modelu just-in-time. Po drugie, dostawcy zalecają umieszczanie urządzenia bramowego inline - między internetem a siecią lokalną, zamiast podłączania go do "portu podsłuchu".

W obu przypadkach celem pozostaje potrzeba zwiększania bezpieczeństwa. Dostawcy uważają, że nawet częstsze uaktualnianie w lokalizacji użytkownika bazy danych sygnatur malware, URL i adresów IP, nie zawsze może nadążać za szybko rozprzestrzeniającymi się nowymi odmianami malware (w przyszłości trzeba będzie zapewne zaplanować trochę dodatkowego pasma na połączeniach internetowych, żeby dostosować się do sytuacji, gdy wzrośnie liczba zapytań do bazy danych malware po stronie dostawcy).

Co w laboratorium

Przedstawiamy wyniki testów rozwiązań typu gateway czterech dostawców. Urządzeń antymalware - McAfee WW 1900E Web Gateway V6.8.6; Symantec 8450 Web Gateway 5.4 + 8300 Mail Security oraz Websense Web Security Gateway V10000 - a także oprogramowania - Trend Micro, pracującego na serwerze użytkownika Interscan Web Security Virtual Appliance 5.0 i Interscan Messaging Security Virtual Appliance 7.0, z modułem centralnej konsoli raportów (Advanced Reporting and Management 1.0).

Kolejnym kierunkiem rozwoju jest dogłębna i gruntowna inspekcja ruchu sieciowego, która staje się jedynym efektywnym sposobem powstrzymywania malware przed wejściem do sieci. Podejście polegające na prostym monitorowaniu pod kątem malware i raportowaniu rezultatów do administratorów, którzy następnie ręcznie przeprowadzają czyszczenie, jest nieefektywne i niemal niewykonalne.

Pojawienie się skomplikowanych rootkitów uczyniło ze spyware problem trudny do rozwiązania i ręczne usuwanie najnowszych spyware jest co najmniej problematyczne.

Ręczne usuwanie złośliwych kodów wywodzących się z rootkitów jest niezwykle trudne, ponieważ nie można skasować "skażonych" pozycji rejestru, kiedy pracują procesy malware. Można zatrzymać taki proces, ale Windows na ogół zdąży zrestartować kod złośliwy, zanim usunie się pozycję z rejestru. Wiele rootkitów ustawia także właścicielstwo pozycji rejestru na kogoś innego niż użytkownik komputera, co stwarza kolejną komplikację. Aby stosunkowo łatwo, ręcznie usunąć rootkita, najlepiej załadować zainfekowany komputer z dysku dystrybucyjnego Windows i następnie użyć opcji naprawczych z interfejsu wierszy komend w celu usunięcia plików wykonywalnych malware. Wtedy można - z rozwagą - usunąć niepożądane pozycje z rejestru oraz pliki danych.

Websense Security Gateway: Zarzadzanie regułami politykiPodejście zakładające użycie pakietów TCP RESET do kasowania ruchu malware także pozostawia pewne ryzyko. Brama antymalware może osiągnąć zerowe opóźnienie, używając portu podsłuchu do inspekcji ruchu internetowego pod kątem malware i powiązań z malware (zamiast inspekcji typu inline). Po rozpoznaniu malware poprzez URL, adres IP lub (po otrzymaniu ostatniego pakietu części wykonywalnej malware) porównanie sygnatury - brama podejmuje próbę zablokowania wprowadzenia niepożądanego programu do sieci poprzez proste "oszukanie" maszyn pod adresem źródłowym (malware) i przeznaczenia (klient) pakietami TCP RESET, które są transmitowane do każdego partnera sesji.