ISS: wyprzedzić atak

Internet Security Systems zapowiada system, który ma zapobiegać atakom na sieć, zanim zagrożenie zostanie publicznie zidentyfikowane.

Firma zamierza udoskonalić produkty linii Proventia, na którą składają się urządzenia i oprogramowanie hostowe, zapewniając im mniejszą zależności od sygnatur, które właściwie dotyczą znanych już zagrożeń. Zamiast takich sygnatur, Proventia Enterprise Security Platform (ESP) ma blokować zagrożenia w oparciu o zaawansowaną wiedzę o lukach bezpieczeństwa, którą zespoły badawcze ISS gromadzą współpracując ściśle z dostawcami oprogramowania.

Proventia ESP ma zawierać moduły agentów - dla desktopów i serwerów - w sposób ciągły wykonujących ocenę podatności na ataki i przekazujących raporty do konsoli zarządzającej ISS o nazwie SiteProtector.

Zespół badawczy ISS bada systemy operacyjne i aplikacje, pod kątem ich słabych punktów, we współpracy z Microsoftem i innymi dostawcami oprogramowania. Chociaż ISS zazwyczaj nie ujawnia swojej wiedzy o nieszczelnościach, dopóki dostawca wadliwego programowania nie zapewni łatek, to pomysł leżący u podstaw Proventia ESP zakłada stosowanie z wyprzedzeniem, w urządzeniach ISP i oprogramowaniu hostowym, łatek wirtualnych. Firma zaczęła już, bez rozgłosu, stosować te rozwiązania dla niektórych zagrożeń w produktach Proventia i SiteProtector, szczególnie dla nieszczelności typu 'przepełnienie bufora'.

ISS jest prawdopodobnie pierwszą firmą deklarującą tego typu strategię w projektowaniu produktów, chociaż inni dostawcy, np. Sourcefire, także pracują nad połączeniem informacji pochodzących z oceny podatności na ataki z możliwościami wykrywania wtargnięć, mając na uwadze poprawienie precyzji działania IDS.

Produkty IPS, które blokują podejrzany ruch, borykają się z problemem dużego rozrzutu dokładności rozpoznania, ponieważ ich użytkownicy często obawiają się, że IPS może blokować ruch legalny, fałszywie rozpoznany jako próba ataku.