Doordat malware-infecties niet altijd zijn te voorkomen, moeten slimme firewalls in de toekomst technieken bevatten om bot-activiteit binnen netwerken te ontdekken en te verhinderen. Dat zegt mede-oprichter en chef technologie Nir Zuk van Palo Alto Networks.
'We hebben ons gerealiseerd dat de oorlog om machines op het netwerk te beschermen niet kan worden gewonnen', vertelt Nir Zuk in een interview met Computable. 'Palo Alto Networks doet veel onderzoek naar meer manieren om te voorkomen dat machines van buitenaf worden geïnfecteerd. Maar als iemand malware op jouw machine wil installeren, dan lukt ze dat. Dat is moeilijk te voorkomen. We werken daarom aan heel unieke manieren om te voorkomen dat malware die zich al binnen het netwerk genesteld heeft, gaat communiceren met de buitenwereld.'
Op korte termijn zal deze functionaliteit nog niet terug te vinden zijn in de firewalls van het bedrijf. 'Maar er gaat een verschuiving op de markt komen naar het voorkomen van het weglekken van informatie, in plaats van het voorkomen van infectie', zo voorspelt Zuk.
'Vroeger was het doel van malware om je lastig te vallen: om je machine te laten rebooten of je data te wissen. Nu is het om je data te stelen. Maar dan moeten ze er wel in slagen om die data naar buiten te krijgen. Dankzij onze kennis van applicaties en protocollen werken we aan nieuwe methoden om dat te voorkomen. Het gaat om een nieuw concept. We bouwen algoritmes om malware binnen netwerken uit te dagen en te laten zien of ze betrouwbaar zijn of malware. We hebben leuke trucs gevonden om tussen beide een onderscheid te maken.'
Nir Zuk
De huidige cto van firewallleverancier Palo Alto Networks was begin jaren negentig de uitvinder van de 'stateful inspection firewall', als hoofdontwerper bij firewallleverancier Check Point. Die technologie betekende in die tijd een revolutie: in plaats van elk ip-pakketje op zich te bestuderen, controleert zo'n firewall of een ip-pakketje onderdeel is van een bestaande verbinding, of probeert een nieuwe verbinding te leggen.
Die technologie voldoet inmiddels niet meer, aldus Zuk. Omdat webapplicaties niet te herkennen zijn aan het ip-adres of de poort die ze gebruiken, moet de firewall applicatiebewust worden. Deze missie was voor Zuk reden om in 2005 zijn toenmalige werkgever Juniper te verlaten en Palo Alto Networks op te richten. Dat bedrijf maakt firewalls die het netwerkverkeer classificeren op basis van de inhoud ervan: ze weten van elk ip-pakket welke gebruiker het heeft verstuurd, met welke applicatie, en wat de gebruiker met die applicatie aan het doen is. Daarnaast beveiligt de firewall ip-pakketten tegen malware.
Ik betwijfel of Nir Zuk de uitvinder van stateful inspection is. Ik gebruikte deze techniek in elk geval al in een simpele firewall die ik oktober/november 1993 voor mijn toenmalige werkgever schreef. En voor zover ik mij herinner had ik de idee overgenomen uit een andere tool (die dus nog ouder moet zijn).
“Maar als iemand malware op jouw machine wil installeren, dan lukt ze dat.”
Ik vind dat een boude uitspraak. Waarschijnlijk ook meer gedaan vanuit commercieel/promotief uitgangspunt.
Ik zou zeggen als overheid zijnde: verbiedt intern ALLE closed source software, en maak zelf software als die momenteel niet in open source versie te krijgen is.
Wedden dat je ALLEEN al door deze stap 99.9999% minder malware hebt (binnen dit open source overheidssysteem dan)?
In elk geval is ’t nu allemaal symptoonbestrijding wat de klok slaat, i.p.v. aanpakken van de oorzaken. En dat is sowieso niet slim.
Volgens de Wikipedia wordt de uitvinding toegekend aan Nir Zuk en zijn Checkpoint team destijds.
Voor de rest ben ik het grotendeels eens met mm. Symptoonbestrijding is niet slim.
Wellicht dat de traditionele ICT monitoring markt hier wat kennis kan leveren.. zij monitoren al jaren lang de hardware en software binnen bedrijven. Zo is bijvoorbeeld vanuit TSMS het Vital Data Security System (www.vdss.nl) ontstaan. Als Malware zich nu ook maar waagt aan vitale data gegevens, dan wordt er gelijk aan de alarm bel getrokken!