Volgens Sourcefire is Razorback een ‘defence routing system’. Het monitort bepaalde soorten verkeer, zoals http en e-mail, waarna de data naar elk soort van beveiligingsanalysesysteem kan worden gestuurd dat maar beschikbaar is. Het maakt vervolgens niet uit of de tools waarmee Razorback werkt open source zijn of niet. Op dit moment werkt het vooral met open source tools, zoals Snort en ClamAV, maar dat kan snel veranderd worden als er interesse is in het project.

Bruikbaar formaat

Het onderzoeksteam van Sourcefire heeft het systeem open source gemaakt zodat anderen het ook kunnen testen. “We willen dat anderen het kunnen testen om te zien of dit idee echt zo vernieuwend is als we denken”, zegt Matt Watchinski van het onderzoeksteam. Volgens hem is Razorback geïnspireerd door beveiligers die te maken hebben met ‘advanced persistent threats’, gerichte en hardnekkige aanvallen. Die moeten veel verschillende tools gebruiken. Razorback zou alle inlichtingen van al deze tools bij elkaar brengen en ze in een bruikbaar formaat aanleveren.

Analyse

Het nieuwe beschermingsframework kan direct worden geïntegreerd in de security gateways, maar het kan ook worden ingezet op standalone servers. De meest voor de hand liggende plaats voor Razorback is direct achter de antivirus, aldus Sourcefire. Van daar uit kunnen bijvoorbeeld PDF’s van een usb-stick, waarin door de antivirus geen bekende dreiging is gevonden, toch nog worden doorgestuurd naar een forensische tool, die ze vervolgens nog eens analyseert op eventuele zero-day exploit code. Op deze manier kan alle informatie snel worden gecombineerd.

Coördinatie

Razorback coördineert de beveiliging dus alleen, zodat veel verschillende security tools gelijktijdig aan het werk kunnen, waarna de output en feedback terug gaat naar Razorback. Uiteindelijk moet alle securitysoftware op deze manier goed samen gaan werken.

Razorback is uitgebracht onder de GPLv2 licentie. Sourcefire heeft nog geen plannen om er een commercieel product te maken.

Bron: Techworld