HP en IBM uitbreiding voorkomt verspreiding wormen
Hewlett-Packard heeft een software uitbreiding voor haar ProLiant servers en HP BladeSystem gepresenteerd, waarmee de verspreiding van virussen en wormen binnen het netwerk binnen milliseconden gestopt kan worden. De Virus Throtte software maakt geen gebruik van de traditionele signatures, maar kijkt naar virus-achtig gedrag dat door machines vertoond wordt. Vindt het een geinfecteerde machine, dan wordt die direct van het netwerk afgesloten. De software stuurt dan een bericht naar de systeembeheeder, zodat die kan kijken wat er aan de hand is.
En niet alleen HP, ook IBM heeft haar eigen technologie ontworpen om de verspreiding van wormen tegen te gaan. IBM's "Antidote" software laat de systeembeheerder security policies binnen het netwerk instellen, waaronder een feature die het mogelijk maakt dat alle geinfecteerde machines geblokkeerd worden. (Internet News, CRN)
Kan me voorstellen dat deze functie ook wel eens aardig
verstorend kan werken.
Ergens zal gedefinieerd staan wat virus-achtig gedrag is. Dit wijzigt vaak,
en als er geen regelmatige updates verschijnen heb ik er geen vertrouwen
in.
"maar kijkt naar virus-achtig gedrag" is toch hetzelfde als
een definitie?
Ergens zal gedefinieerd staan wat virus-achtig gedrag is.
Dit wijzigt vaak,
en als er geen regelmatige updates verschijnen heb ik er
geen vertrouwen
in.
Neen: een virus-definitie (A)beschrijft hoe een virus-code
eruit ziet. Het heeft dus kennis van 'het slechte' . Ook
wel 'misuse detection' genoemd.
Virus-achtig gedrag (B)is een afwijking van het 'normale'
(goed) gedrag. Zo'n systeem heeft kennis over 'het goede' ,
en wat daar van afwijkt wordt als 'slecht' gemarkeerd. Ook
wel annomaly detection genoemd. Een ander concept dus.
A: goede resultaten voor gedefinieerde virussen, maar dus
geen zero-day bescherming. Updates nodig. Komt (theoretisch)
een eind aan.
B: (meestal) een zelf-lerend mechanisme dat een soort
baseline maakt van 'goed gedrag'. Zero-day bescherming,
geen updates nodig, maar ook: erg omgevings afhankelijk en
grote kans op false-positives omdat een afwijking van het
'normale' niet automatisch betekent dat het een virus betreft.
SF
tegenhouden omdat er altijd gebruikers zijn die attachments
blijven openen, soms zelfs om de systeembeheerder te zieken.
Een hacker die echt in een systeem in wilt breken schrijft
zijn eigen virus/worm/trojan die niet opgepikt wordt als een
virus omdat het programma "normaal" reageerd.
Maar HP en IBM zullen daar wel beter over nagedacht hebben ;)
GateHawk
in de praktijk gaat werken...
Voorbeeld: stel dat je nog inbelt naar je ISP. Als die zijn
inbelnummer verandert wil je dat kunnen instellen (duh). Je
wilt echter niet dat een virus jouw inbelnummer kan
veranderen in een duur betaalnummer in een exotisch land.
Knap systeem dat het eerste toelaat maar het tweede wel
verhindert. Er zijn wel allerlei mouwen aan te passen, maar
het blijft een fragiel systeem als je het mij vraagt.
Maar ik wil het ook weer niet bij voorbaat naar de
prullenmand verwijzen, ik ben benieuwd wat er gaat gebeuren.
Maar ook skeptisch.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
