SecureCore — технология превентивного выявления и блокировки атак неизвестных ранее видов

Не секрет, что хакеры сегодня действуют все более оперативно, используя информацию о новых уязвимых местах в программных системах. Это делает актуальным создание средств предотвращения вторжений, способных эффективно выявлять и блокировать новые атаки, даже если соответствующие заплаты для программ еще не разработаны. Компания Determina предложила оригинальную программную технологию SecureCore, которая, по словам ее представителей, станет надежным заслоном на пути хакеров.

«Экран памяти» (memory firewall) построен на базе технологии, разработанной исследователями Массачусетского технологического института. В создание данной технологии несколькими инвестиционными фондами уже было вложено порядка 19 млн. долл.

Директор компании Determina Нанд Малчандани заявил, что новое решение устраняет необходимость в предварительном определении сигнатур вредоносного кода или политик безопасности, позволяя без вмешательства человека вести эффективную борьбу с массовыми атаками червей наподобие Blaster или Slammer, осуществляющих проникновение в информационную систему через память компьютера.

Новые программные средства защиты внедряются в память, используемую приложением, и предусматривают выполнение некоторых «правил поведения», которые должны неукоснительно соблюдаться всеми прикладными программами. Если приложение пытается осуществить какие-то действия, противоречащие выработанным правилам, они немедленно блокируются, а системные администраторы получают уведомление о нештатной ситуации.

Новое решение включает в себя два основных компонента. Это программный агент SecureCore, который устанавливается на сервере и следит за функционированием операционной системы, Web-сервера, базы данных, сервера сообщений и другого системного программного обеспечения, а также консоль управления, предназначенная для централизованной установки агентов, ведения журналов и управления событиями.

«Экран памяти — вроде охранника, стоящего возле банкомата, — пояснил Малчандани. — Он следит за каждой операцией, выполняемой клиентами, и мгновенно узнает о любых отклонениях от нормы».

В отличие от этого другие средства обнаружения вторжений работают подобно охраннику, который стоит у дверей и проверяет всех людей, входящих в банк и выходящих из него. Но снаружи не видно, что происходит внутри.

В компании Thermo Electron с оборотом в 2 млрд. долл., занимающейся поставками оборудования для научных исследований, в течение двух месяцев проводилось тестирование бета-версии SecureCore. По словам менеджера Thermo Electron по сетевой безопасности Майкла Каменса, он и его коллеги пришли к выводу, что новая технология способна эффективно противостоять атакам, подобным недавнему нашествию Sasser.

Ранее системным администраторам приходилось устанавливать обновления всякий раз после того как поступала информация об обнаружении опасной бреши. Способность SecureCore выявлять и блокировать атаки неизвестного доселе вида означает, что системным администраторам более не придется всякий раз выключать свои серверы и устанавливать заплаты только в рамках заранее спланированных мероприятий по технической поддержке.

«В результате мы экономим время, — подчеркнул Каменс, в настоящее время курирующий вопросы, связанные с развертыванием SecureCore на 500 серверах. — У нас появляется возможность не останавливать критически важный для компании сервер в середине рабочего дня».