Vroeger of later zullen systemen geïnfecteerd of gehackt worden en is het beter om voorbereid te zijn dan af te vragen waarom detectie en preventie faalde, zo pleit een nieuwe beveiligingsmethode genaamd Intrusion Tolerance. Self-cleansing intrusion tolerance (SCIT) is geen vervanging van IDS, IPS, firewalls of andere traditionele beveiliging, maar biedt een extra laag die de gevolgen van een aanval probeert te beperken. "Intrusion tolerance is verschillend van intrusion detection en intrusion prevention. Het detecteert en voorkomt niet. Servers zijn vandaag de dag allemaal blootgesteld, wij proberen het verlies te beperken door te tijd dat een server aan het internet hangt te verminderen," zegt professor en onderzoeker Arun Sood van de George Mason Universiteit.
Sood is een bedrijf aan het oprichten dat de technologie wil gaan aanbieden. Tijdens IntrusionWorld zal hij meer details prijsgeven, wel is al bekend dat Sun Microsystems in het bedrijf heeft geinvesteerd. De oplossing komt erop neer dat servers op reguliere intervallen on- en offline gaan, zodat infecties zijn te verwijderen. Het schoonmaken bestaat echter uit het terugzetten van een schoon image of virtual machine, voordat de aanval of infecties plaatsvond. Op deze manier weet een aanvaller nooit wanneer hij zijn gehackte machine kwijt is. "Hoe langer de aanvaller op de server zit, des te groter de schade en kosten," zo laat Sood weten. De aanpak werkt zowel met redundante servers als virtual machines.
Beveiligingsexpert Thomas Ptacek is er niet van overtuigd dat de aanpak werkt. "Ik zie niet hoe je de blootstelling van servers kan beperken door een kwetsbare server door een andere te vervangen. Dit lijkt op het zoveelste plan dat vergeet dat aanvallen in milliseconden en niet in dagen plaatsvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.