Детектор червей от Check Point ведет учет уязвимостям

Производитель брандмауэров Check Point выпустил устройство для защиты корпоративных сетей от кибератак, использующих известные уязвимости в LAN-протоколах и приложениях. Устройство InterSpect сообщается с регулярно обновляемой базой данных известных уязвимостей, и когда пакеты, связанные с определенным приложением, начинают вести себя подозрительно, перехватывает управление, ставит соответствующий ПК на карантин и предупреждает пользователя о том, что доступ к общей сети временно прекращается — до тех пор, пока компьютер не будет очищен.

Управляющий директор Check Point UK Ник Лав пояснил ZDNet UK, что компании, как правило, защищают свои сети по периметру, и если злоумышленный код занесен вовнутрь (например, через зараженный ноутбук), то возникают проблемы. InterSpect позволяет сегментировать сеть, так что в случае тревоги зоны риска — такие как «зона соприкосновения», где работает много пользователей с ноутбуками, — могут быть быстро изолированы от остальной сети.

«Если в зоне соприкосновения окажется лаптоп, зараженный червем, InterSpect физически отключит это устройство от общей корпоративной сети. Оно будет подключено к другой части сети, которая обеспечивает доступ к необходимым службам для восстановления и очистки ПК», — пояснил Лав.

По его словам, потребность в такой защите вызвана тем, что перед установкой патчей компании обычно выполняют серию тестов, и у злоумышленников есть возможность воспользоваться уязвимостями. Лав приводит в пример MSBlast, использующий уязвимость, о которой было объявлено в апреле 2003 года, а патч для нее опубликовали в июле. Червь MSBlast появился в августе того же года — и, хотя об уязвимости было известно уже несколько месяцев, всю вину возложили на системы, основанные на контрольных сигнатурах. «Ни одна такая система не могла и не сможет обнаружить червя, если он смутировал, — в этом случае их надо опять обновлять», — говорит Лав.

Он уверяет, что, если бы в то время существовала система InterSpect, она обнаружила бы попытку воспользоваться уязвимостью Microsoft, о которой уже было известно. «Мы не разыскиваем известные злонамеренные пакеты — мы выявляем поведение приложений, обращенное к этим уязвимостям. Мы можем заключить, что приложение ведет себя неестественно; следовательно, структура пакетов и их поток злонамеренны, и мы блокируем их».

Аналитическая фирма IDC утверждает, что рынок аппаратуры защиты сетей демонстрирует уверенный рост, но Check Point, вероятно, столкнется с конкуренцией со стороны доминирующих на этом рынке Cisco и NetScreen, доли рынка которых составляют соответственно 27,7% и 20,8%.

InterSpect от Check Point поддерживает протоколы CIFS, MS SQL, DCOM, Sun RPC, DCE RPC, HTTP и др. Продукт поступит в продажу немедленно по цене от 9000 до 39000 долл.