De anti-virus softwareindustrie is zonder twijfel de geografisch meest wijd verspreide software business in Europa. Van Noorwegen en Finland tot Spanje, van Ierland tot Rusland tref je immers producenten van ‘inheemse’ securitysoftware aan. Zoals Norman Data Defense Systems uit Noorwegen.
Met een naam als Norman Data Defense Systems denk je meteen aan een spin-off van de Noorse strijdkrachten, maar toch niet. Norman zag het daglicht als een bedrijf dat zich toespitste op data back-up. Maar, zo stelt Righard Zwienenberg, chief research officer, “omdat alles voor [het maken van] de back-up moest worden gescand, werd anti-virus in de procedure opgenomen, en dat is gebleven, terwijl het back-up deel is verdwenen.” Omdat back-ups over het netwerk verliepen, is dat meteen ook de reden van Normans expertise om datastromen in het netwerk te scannen.
In het netwerk
De aanpak van Norman steunt op een eigen ‘zandbak’-technologie, de ‘SandBox Analyzer’, die “een eigen versie van een Windows systeem simuleert.” In die ‘zandbak’ wordt het gedrag van binnenkomende Win32 code bekeken en geanalyseerd, terwijl ook het klassieke systeem van ‘signatures’ wordt aangewend. Vandaag heeft Norman op dit gebied ervaring met versies van Windows 98 tot Windows 7. “We hebben dit alles zelf geschreven, op basis van de beschikbare documentatie,” waarbij Norman-medewerkers ook wel langdurig Microsoft zelf bezoeken. Zelfs als het systeem wat meer is dichtgetimmerd, zoals Windows Mobile 7, “vinden we er wel wat op. We hebben wel een goede samenwerking.” De kracht van de hedendaagse systemen zorgt er voorts voor dat de performantie van de systemen niet lijdt onder deze technologie, stelt Zwienenberg gerust. De Pro-uitvoering kan ook worden voorzien van een module voor een ‘live’-koppeling met het internet, terwijl ook een abonnement kan worden genomen op updates inzake gevaarlijke url’s en servers, evenals rapporten over geanalyseerde bestanden.
Norman koppelt die analyse-expertise tevens aan zijn oorspronkelijke netwerkervaring, met een Norman Network Protection oplossing. Het betreft een toestel dat transparant als een ‘gateway’ fungeert zowel voor binnenkomende als uitgaande datastromen, maar ook tussen segmenten van het bedrijfsnetwerk. Als verdachte of gevaarlijke bestanden worden ontdekt, is quarantaine hun lot, met logs die vastleggen wie wat heeft gedaan. Door de inhoud van het dataverkeer zelf te controleren vermijdt Norman tevens de beperkingen van lijsten met goede en ‘slechte’ websites (white/black lists). De oplossing wordt zowel als software op gecertifieerde hardware, als in de vorm van een appliance aangeboden. Wat de prijs betreft, merkt Swieneberg droogjes op dat je maar eens moet berekeken hoeveel bijvoorbeeld een dag productieverlies wel kost?
Stuxnet ultieme waarschuwing
Die expertise om datastromen in netwerken te screenen past Norman ook toe in de industriële netwerkwereld. “De productiesystemen zijn steeds vaker met de bedrijfsbeheersystemen, zoals erp, gekoppeld en dat kan een bron van besmetting vormen, stelt Zwienenberg. De recente Stuxnet worm is een scherpe waarschuwing voor wat op dit gebied nog te wachten staat. Daarom biedt Norman zijn netwerkgesteunde screening ook aan voor de controle van het verkeer tussen de – vaak breed geconnecteerde – bedrijfskant van een onderneming en de beheersoftware van die productiesystemen.
Overigens ziet Zwienenberg de Stuxnet worm als “een politieke daad,” gezien de getroffen doelwitten. Hij voorspelt wel een stijging van aanvallen, ook door georganiseerde misdaad, op industriële systemen. Daarbij kan worden gedacht aan ‘ransomware’-aanvallen, met software die dreigt productiesystemen stil te leggen (of dat zelfs doet), tenzij ‘losgeld’ wordt betaald. Zwienenberg was overigens niet helemaal gelukkig met de hoeveelheid informatie die over Stuxnet werd gepubliceerd. Hoewel geen voorstander van ‘security by obscurity’ (of het verzwijgen van problemen), is “soms iets niet vertellen beter dan een hele uitleg. De malware wereld gaat immers zo snel dat met iets wat bekend raakt, de volgende dag al iets wordt gedaan, in plaats van na enkele maanden zoals vroeger.” Het maakt het werk van de antivirusschrijvers moeilijker, want zij moeten met de hele omgeving rekening houden en die niet schaden, terwijl een virusschrijver rustig die systemen kan laten crashen. Overigens is Zwienenberg erg duidelijk: “niemand heeft hier ooit een virus geschreven!”
Security in de cloud?
Het aanbieden van securitydiensten in de cloud ziet Zwienenberg als complementair. Een volle bescherming met cloud services vereist immers een live link naar het internet. Liever had hij gezien dat systemen aan eindgebruikers zouden worden geleverd met alle poorten dicht, op deze na die echt nodig zijn voor het gewenste dataverkeer. Het hele cloudgebeuren, zoals dat vandaag in de belangstelling staat, met toepassingen en data in die cloud, bevindt zich volgens Zwienenberg wel nog in de kinderschoenen, met problemen rond mogelijk misbruik en dergelijke. Dus nog werk op de plank voor velen.
Guy Kindermans
Fout opgemerkt of meer nieuws? Meld het hier