Bramy - sposób na malware
- Józef Muszyński,
-
- Barry Nance,
- 10.05.2010
TCP RESET instruuje zarówno nadawcę, jak i odbiorcę o przerwaniu bieżącej transmisji danych. Urządzenie nasłuchuje przepływ konwersacji i kiedy wykryje malware, kieruje komendę do klienta i hosta malware w celu jego zatrzymania.
Brama musi być bardzo szybka - powinna wysłać pakiety TCP RESET zanim klient (ofiara) przetworzy ostatni pakiet związany z malware. Wniosek z tego jest taki, że najbardziej efektywną metodą zastopowania malware jest dogłębna i szczegółowa inspekcja ruchu sieciowego przed dopuszczeniem jego przepływu w stronę klienta.
W jakim zakresie testowane produkty obsługują TCP RESET? McAfee nie korzysta z tej metody, używając zamiast niej modelu, który nazywa positive security - wykorzystuje podejście inline do blokowania malware. Websense zachowuje równowagę: używa TCP RESET do kontroli protokołów P2P i IM, a na inspekcję pakietów zdaje się przy ruchu HTTP, Secure-HTTP i FTP. Symantec też oferuje oba podejścia: inline i port podsłuchu w wykrywaniu malware. Trend Micro preferuje inspekcję pakietów inline, używając portów podsłuchu do monitorowania, skanowania i powiadamiania pozapasmowego.
Trend Micro - pulpit Advanced Reporting and Management
Można zakładać, iż bezpieczne jest odwiedzanie tylko zaufanych witryn WWW. Jednak cyberkryminaliści nierzadko przejmują np. banery reklamowe, i choćby z tego powodu zaniechanie wdrożenia efektywnej bariery osłonowej na styku z internetem jest dużym ryzykiem.