Vorige week had Security.nl een persoonlijk en exclusief interview met Snort-bedenker Martin Roesch, waarbij ook de vragen van onze lezers aan bod kwamen. Snort is het gratis en open source Intrusion Detection en Prevention systeem, bedoeld om indringers buiten systemen te houden. Lezers van Security.nl konden vragen insturen, die Roesch allemaal heeft beantwoord.

Daarnaast heeft hij tien vragen uitgekozen die allemaal een gesigneerd Snort t-shirt en een luxe Sourcefire pen krijgen. Sourcefire is het bedrijf dat Roesch rondom Snort oprichtte. De komende dagen zullen de vragen en antwoorden vanwege de lengte in verschillenden artikelen online verschijnen.

(het eerste deel en tweede deel van de vragen en antwoorden)

Nu mensen meer diensten naar de cloud verplaatsen, externe opslag, applicaties, etc., en netwerken worden meer gesegmenteerd en verspreid, is er nog steeds de noodzaak voor lokale netwerkmonitoring? En indien niet, hoe denk je dat netwerkmonitoring er in de toekomst zal uitzien?

Roesch: De noodzaak voor lokale netwerkmonitoring zal altijd blijven bestaan. Omdat je dingen in de cloud plaatst betekent niet dat je geen gebruikersomgeving hebt die je wilt beveiligen. Er zullen altijd problemen blijven bestaan. De meest voorkomende aanvalsvector is nu client-side malware, die niet gericht is je op cloud infrastructuur, maar op je endpoint. Dus moet je je daar tegen wapenen en begrijpen wat er gaande is. In de toekomst zal netwerkmonitoring vooral op 'awareness' zijn gebaseerd. Het begrijpen van de omgeving waarin je opereert zodat je naar veranderingen kunt bekijken."

We weten dat Snort een bekende IDS/IPS tool voor het monitoren van netwerkverkeer is om verdachte activiteiten te detecteren en voorkmen. Door de overname van Immunet is SourceFire's strategie nu gericht op het concurreren me andere bekende anti-virusbedrijven? En welke voordelen heeft ten opzichte van andere virusscanners die er zijn?

Roesch: Het gaat niet om de concurrentie met andere anti-virusbedrijven. We concurreren met ze omdat we de technologie hebben die datgene doet wat zij doen, alleen beter. Wat we zien is dat de anti-viruswereld niet goed werkt. Als je met de meeste zakelijke consumenten praat die zakelijke anti-virussoftware gebruiken, dan haten ze hun leverancier. Ze haten ze echt. Dat vertelt mij dat er ten eerste iets mis is, dat deze software niet goed werkt, en ten tweede dat er hier een mogelijkheid is."

"De ontwikkelaars van Immunet begrepen dit ook en begonnen met een schone lei om een nieuw model voor anti-virus te ontwikkelen, dat de netwerk-aard van computers gebruikt. Het voordeel is dat we met Immunet geavanceerde detectie kunnen doen, zonder een infrastructuur te hebben die twintig jaar geleden werd ontworpen. Het model voor anti-virus werd twintig jaar geleden ontwikkeld en wordt nog steeds gebruikt. Ik heb een agent, zet die op mijn desktop, download een boel definities, inspecteer al mijn bestanden en klaar is kees. Nu gebruiken anti-virusbedrijven ook de cloud, waarbij ze de hashes van een bestand in de cloud vergelijken. Is de hash van een bekend kwaadaardig bestand, dan slaat de virusscanner alarm. Dat werkt prima zolang je alle kwaadaardige bestanden kan definiëren, maar dat kun je niet. Daarnaast is er ook het false positive probleem, zoals we een aantal weken geleden met McAfee zagen dat SAP-bestanden ten onrechte als malware beschouwde. En dat gebeurt vaker en is een groot probleem."

"Immunet is een licht AV-agent. Sommige van deze anti-virus agents op de desktop kunnen 350MB zwaar zijn. De Immunet agent weegt 8MB en laat je geen definities downloaden om het te laten werken. Alle detectie wordt in de cloud gedaan. Als ik een bestand open doe ik een één op één lookup voor bekende foute bestanden, maar daarnaast kan ik ook andere dingen doen, zoals naar de generieke structuur van het bestand kijken om zo malware-families te detecteren."

"Ik kan een 'prevalance analyse' doen, wat uniek voor Immunet is. We hebben 1,4 miljoen gebruikers op Immunet. Je kunt naar de prevalence van een bestand kijken. Als een bestand op één desktop bestaat, is het dan iets nieuws of polymorfische malware. Dan is er een 99,999% kans dat het polymorfische malware is. Dus we kijken op al die desktops en zien zo zero-day, polymorfische malware, wat niemand op het moment kan doen. Als we het zien gebeuren, kunnen we gegevens over deze nieuwe malware verzamelen en iedereen in onze cloud tegelijkertijd beschermen, omdat ik geen definities naar de desktop stuur. Ik doe alles in de cloud, wat me real-time bescherming geeft. Het is echt heel verschillend van andere virusscanners."

"Immunet stuurt geen bestanden naar de cloud, maar metadata over de bestanden. Daar kun je heel interessante dingen mee doen. Ze bewaren alle queries die naar de cloud zijn gestuurd. Als ze nieuwe detectie aan de cloud toevoegen, dan hoeven ze dat niet naar alle desktops te sturen die zich opnieuw moeten scannen. Ze onderzoeken dan alle eerdere queries en halen alles eruit dat nu als malware wordt herkend. Malware die eerst nog niet werd herkend, wordt zodoende later wel gedetecteerd, waarna de betrokken gebruikers worden gewaarschuwd. We plaatsen het dan in quarantaine en vertellen mensen hoe ze het kunnen schoonmaken. We benaderen echt mensen dat ze malware hebben en hoe ze zichzelf kunnen helpen. Het is lichtgewicht, vereist geen definities, update zichzelf, gebruikt de netwerk-connectivity."

Voor het geval de internetverbinding wegvalt is er voor gebruikers de ClamAV client, die met Immunet is geïntegreerd. Verder worden alle lookups bewaard en zodra er weer verbinding is verstuurd. 75% van alle malware die Immunet detecteert wordt slechts één keer gezien en is polymorfische malware. De gemiddelde levensduur van een virus is zes uur. Immunet kan ook naast bestaande virusscanners draaien.

Voor de professionele versie komt er ook een white en blacklist. Daar kunnen bedrijven custom applicaties aan toe voegen. "Als je dingen wil blacklisten, bijvoorbeeld Internet Explorer 6 omdat je denkt dat het malware is, omdat het dat ook eigenlijk is, kun je dat op de blacklist plaatsen zodat niemand binnen de onderneming het kan draaien. Met Snort zitten we op netwerkniveau en met Immunet op de client. Dat geeft ons een goede defense in depth. Bij de RSA hack was er een goede kans geweest dat we dat hadden gevonden en voorkomen." De consumentenversie van Immunet is gratis.

Heeft de toevoeging van ClamAV een groot verschil gemaakt?

Roesch: Het maakt op veel manieren een verschil. We hebben toegang tot alle gegevens die door het ClamAV Project worden verzameld. Dat is zeer interessant, want de gemeenschap die ClamAV gebruikt is groter dan die Snort gebruikt. We ontvangen gigantisch veel gegevens via ClamAV."

Het gaat elke dag om tussen de 60.000 en 100.000 malware -exemplaren van de gemeenschap. Roesch spreekt inmiddels van een grote dierentuin bij Sourcefire, waar ze elke dag 20.000 malware-exemplaren uitvoeren en command & controle gegevens verzamelen over wat de malware op netwerkniveau doet. De informatie wordt voor zowel ClamAV als Snort gebruikt. "ClamAv is vanuit inlichtingen gezien zeer waardevol, omdat het ons inzicht geeft in wat er op het internet gebeurt", aldus Roesch. "We hebben het nu ook met Immunet gecombineerd, zodat je je eigen signatures kunt schrijven. Niemand op de planeet kan signatures voor hun desktop virusscanner schrijven, maar wij wel."

Volgende week de laatste antwoorden van Martin Roesch