Új vírusmegelőző megoldást kínál a Cisco

A január 26-án megjelent MyDoom féreg által okozott károk értékét nehéz becsülni, de így is dollár milliárdokban mérhető. A MyDoom minden eddigi vírusnál és féregnél hatékonyabb volt, sikerrel bénította meg az SCO webhozzáférését. Ezidáig több mint 1 millió Microsoft Windows alapú számítógépet fertőzött meg. Volt olyan Internet-szolgáltató, akinél minden tizenkettedik e-mailben ez a féreg lapult. A kártevő azért tudott ennyire hatékony lenni, mivel a mintaillesztésen alapuló víruskeresők nem tudtak azonnali védelmet nyújtani ellene, az új vírusadatbázis kifejlesztéséhez és elterjesztéséhez idő kellett. Terjedését csak a korszerű megoldásokat követő vírus- és betörésdetektorok voltak képesek megakadályozni.

A Cisco Security Agent (CSA) megoldása egy új technológiájú betörés-detektáló és megelőző rendszer. Működésének alapja az, hogy a számítógépen üzemelő betörés-detektáló rendszer nem mintaadatbázissal hasonlítja a kapott hálózati forgalmat, e-mailt, vagy file-t, hanem olyan szabályrendszert tartalmaz, ami leírja egy jó magatartást tanúsító felhasználó tevékenységét. Ez a szabályrendszer határozza meg az alkalmazások „normális” viselkedését. Éppen ezért ez a megoldás nem igényli az állandó adatbázis frissítést, és hatékony tud lenni az ismeretlen vírusokkal szemben is. Hiszen nem az adott file mintázatát vizsgálja, hanem az alkalmazás hatását, viselkedését. Az adott esetben, a MyDoom első variánsára kiadott víruskereső frissítés teljesen hatástalan lehetett a B variánsra, nem tudta felismerni, pedig hatásában hasonlóak voltak. Ezt csak az alkalmazások viselkedését vizsgáló betörésdetektor tudja felismerni.

A CSA mindenféle konfigurálás nélkül, a default beállításokkal képes volt felfedezni és megakadályozni a féreg terjedését. Ez persze nemcsak a MyDoom esetén mondható el, hanem az eddig elterjedt vírusokat (CodeRed, Nimda, Slammer, MsBlast) is default beállításként, adatbázis változtatás nélkül képes volt detektálni és megakadályozni a továbbterjedésüket. Ez a technológia update nélkül is (zero update) képes hatékonyan védelmet nyújtani.

A számítógép (host) alapú betörés-detektáláson túlmenően számos más, hálózat alapú védekezési módszer áll rendelkezésünkre. Az egyik legkézenfekvőbb a hálózat alapú betörésdetektor alkalmazása, amely sokféle formában megvalósítható. Akár önálló rendszerként (appliance) akár valamilyen hálózati eszközbe (router, vagy switch) integrált megoldásként alkalmazható. Ezek a mintákat tartalmazó adatbázis frissítése után képesek felismerni a férget, és megakadályozni annak továbbterjedését.