Het nieuwe systeem, genaamd Virus Prevention System (VPS), vormt volgens ISS een beveiligingslaag tussen het netwerk en de 'buitenwereld' en is in staat nieuwe lekken te dichten door virtuele patches te installeren.

Volgens Jean-Paul Ballerini, technologie-expert bij ISS, is VPS ontstaan uit de wens om proactief op internetdreigingen te kunnen reageren in plaats van achteraf actie te moeten ondernemen.

VPS doet zijn werk binnen een eigen virtuele omgeving waarin binnenkomende content wordt geanalyseerd. Binnen deze virtuele omgeving kan op basis van herkenning worden ontdekt of binnenkomende content kwaadaardig is.

Testen

ISS heeft het afgelopen jaar in alle stilte getest met VPS door twee systemen met elkaar te vergelijken. Het ene systeem werd beveiligd met VPS, de andere met een virusscanner die niet werd geüpdatet.

Na een jaar werd geconstateerd dat VPS 95 procent van alle kwaadaardige content had geblokkeerd op basis van slimme herkenning. Slechts in 0,001 procent had VPS onterecht content geblokkeerd. Bij het systeem dat met antivirussoftware werd beschermd, kwam meer dan de helft van alle kwaadaardige content nog door.

"Een firewall en antivirus is vandaag de dag simpelweg niet meer genoeg", aldus Ballerini. "Veel bedrijven moeten nu nog noodgedwongen op een lek wachten voordat een patch kan worden geïnstalleerd. Met een virtuele patch ben je op voorhand beschermd."

Virtuele patches

Voor deze virtuele patches is VPS afhankelijk van X-Force, de onderzoekstak van ISS die doorlopend op zoek is naar mogelijke beveiligingslekken in software. (Dit overigens niet zonder resultaat: van alle vorig jaar ontdekte kritieke lekken werd meer dan de helft ontdekt door een onderzoeker van ISS.)

Zodra een lek is ontdekt, seint ISS de fabrikant van het bewuste product in. Terwijl de fabrikant dan aan een 'echte' patch gaat werken, zorgt ISS ervoor dat zijn product beschermd is tegen door te kijken naar de kenmerken van een mogelijke exploit.

"ISS filtert niet op basis van signatures maar op basis van gedrag", vervolgt Ballerini. "We hebben inmiddels zo'n 600 verschillende gedragspatronen in kaart gebracht. Dit zorgt ervoor dat VPS content kan analyseren. In de virtuele omgeving kan vervolgens worden gekeken of content kwaadaardig is."

Gateway

VPS op de desktop werkt alleen voor Windows-omgevingen omdat aanvallers het volgens ISS nu eenmaal het meest op dit besturingssysteem hebben voorzien. Dit wil overigens niet zeggen dat de rest van het netwerk onbeschermd is.

VPS wordt geleverd in combinatie met het reeds bestaande utm-aanbod (unified threat management) van ISS. Hierdoor kan VPS op de gateway worden gecombineerd met inbraakpreventietechnieken. Dit moet ervoor zorgen dat pogingen om bijvoorbeeld Cisco's IOS te exploiteren, worden geblokkeerd.

Meer informatie over VPS is te lezen in een speciale whitepaper van ISS.

Bron: Techworld