Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. april 2005.
I krigen mod hackerne bygger den nyetablerede virksomhed Third Brigade forsvarsværker til at fange angreb, efter at første og anden forsvarslinie - firewall og antivirusprogram - er brudt.
Host Intrusion Prevention - HIP - er en niche i sikkerhedsindustrien, som tiltrækker sig stigende opmærksomhed. Det handler om redskaber til at forhindre indtrængen i en virksomheds servere og dermed beskytte data og applikationer. Sælgere af Intrusion Detection og Prevention systemer til at opdage og forebygge indtrængen var eksempelvis langt fremme på banen ved den årlige RSA sikkerhedskonference i San Francisco i sidste måned.
Her blev - som ved et kongeligt bal - også præsenteret debutanter. Blandt dem den bare otte måneder gamle canadiske virksomhed Third Brigade. At den tiltrak sig opmærksomhed skyldes ikke mindst, at den har brancheblåt blod i årerne. Virksomheden med dens fire stiftere er udsprunget af Entrust Technologies, en af de førende globale sikkerhedsvirksomheder, der eksempelvis har leveret infrastrukturen til TDC's digitale signatur.
Brian O'Higgins var for godt ti år siden med til at stifte Entrust som Chief Technology Officer. Samme position har han nu i Third Brigade. Fra sit kontor i Kanata vest for den canadiske hovedstad Ottawa kan han kigge over til sin gamle virksomhed, hvorfra medarbejdere fra tid til anden byder sig til i den nye. Selv emmer han af begejstring over det nye projekt, der satser på en opblomstrende niche, Entrust ikke har ønsket at begive sig ind i.
- Jeg har altid nydt det tidlige stadie i en virksomhed. Det er sjovere. Og det er altid lettere anden gang, siger han om etableringen af Third Brigade, der blev sat i værk sidste sommer.
Det er gået usædvanligt glat, konstaterer han. Ikke overraskende.
- Vi er et hold af erfarne folk, vi ved, hvad vi vil, og vi har de rigtige kontakter. Dertil har vi købt det teknologiske grundlag. Vi har så at sige sprunget over garage-fasen.
Brian O'Higgins og hans medstiftere lukkede i sidste måned første finansieringsrunde med 12 millioner dollar i ny kapital. Indtil da havde gruppen været misundelsesværdigt selvfinansierende. Den lagde ud med at købe tre små teknologivirksomheder. Blandt dem det Montreal-baserede Internet Development Research Centre (IDRC), som bibragte et kerneelement i teknologien og allerede havde både omsætning og kunder. En af de største er europæisk - den tyske internetudbyder WebControl med kunder som T-Mobile og Sparkassen Finanz Portal, som oplyser, at det pågældende HIP-software fra IDRC har sikret serverne mod indtrængen af ondartede orme som for eksempel MySpooler.
Third Brigade har travlt og har ambitioner. Netop på sikkerhedsområdet går udviklingen hurtigt. Som Brian O'Higgins udtrykker det, kan sidste års løsning ikke tackle næste års problemer. Og generelt er det nye virksomheder, der bringer nye løsninger frem. Blot gælder det om hurtigt at snuppe førertrøjen. Det er nødvendigt at være en hovedkraft i branchen.
Foreløbig huserer en snes medarbejdere i lokalerne i Kanata, der foreløbig er alt for store. Hen mod slutningen af året anslås antallet imidlertid at være øget til 50, og den virkelige vækst ventes i 2006.
- Vi har en plan for hurtig vækst. Værdien af selskabet skal være adskillige hundrede millioner dollar, når vi når treårsalderen. Det, mener jeg, er muligt, siger Brian O'Higgins - og tilføjer på næsten europæisk vis, at han beklager, hvis det forekommer arrogant at lufte den slags ambitioner.
At patche eller ikke patche - og hvor hurtigt - er det store spørgsmål for it-afdelingerne, der skal manøvrere i et omskifteligt sikkerhedsklima, hvor operativsystemerne nok er blevet bedre, men hackerne er blevet hurtigere. En stadig vanskeligere patch-situation åbner forretningsmulighederne for Third Brigade.
- Angrebene flytter sig. Nu er der særlig gang i netværksangreb, især mod internet-porten, Port 80. Der vil altid være virus og orme, men de kan ikke slå en virksomhed ihjel. Det kan derimod målrettede angreb, hvor hackere søger efter svage punkter og angriber her. Virksomhederne søger at løse problemerne ved at patche. Men en patch kan udløse svagheder, og efterhånden er det svært at patche hurtigt nok. Tidligere var patch-cyklus - tiden fra en svaghed blev opdaget, til der kom en patch - et år, nu er den nede omkring seks dage. Og en it-medarbejder risikerer snarere at blive fyret for en dårlig patch end for at lade noget slippe gennem, siger Brian O'Higgins.
De patenterede løsninger fra Third Brigade er lagt an på at sikre it-kronjuvelerne, mens it-afdelingen venter på næste patch, og give de ansvarlige for it-driften kontrol med patch-situationen, forklarer han.
Brian O'Higgins noterer i øvrigt, at nogle miljøer simpelthen er vanskelige at lappe med en patch. Eksempelvis indlejrede Linux-systemer.
Third Brigade, hvis software er regelbaseret med XML som ramme og al programmering i Java, har både en version til Linux, som er udviklet i det tilkøbte selskab Armored Networks, og en Windows-version gennem IDRC. Dyb HIP kalder virksomheden sin teknologi med henvisning til, at det sidder i netværkslaget af serveren.
I Ottawa indgår Third Brigade i en stærk klynge af sikkerhedsvirksomheder og -forskere, som Brian O'Higgins gør, hvad han kan for at styrke. Virksomheden glæder sig over at være canadisk - frem for at have sine rødder i USA, hvor regeringen har lagt skrappe eksportrestriktioner på sikkerhedsprodukter. Det canadiske nationalitet hjalp virkelig Entrust på eksempelvis det kinesiske marked, fortæller Brian O'Higgins.
Billedtekst:
Engel Third Brigades CTO, Brian O'Higgins, er veteran indenfor PKI, Public Key Infrastructure eller offentlig nøglekryptering, og så er han aktiv lokal investor i netværket Ottawa Angel Alliance. Naturligvis som ekspert på sikkerhedsområdet.
Boks:
HIP, NIP og andre værn
Intrusion Prevention systemer er bygget til at beskytte it-systemer mod uautoriseret indtrængen, hærværk og forstyrrelser. De sikrer fortrolighed og integritet af data, og at computer og netværk ikke bliver lagt ned.
To modeller med hver sin arkitektur søger at opfylde IP-kravene.
Host Intrusion Prevention (HIP) er software, der implementeres direkte i computersystemet, som skal beskyttes.
Network Intrusion Prevention (NIP) er et software- eller dedikeret hardwaresystem, der er forbundet direkte med netværket og beskytter de tilkoblede systemer.
Baggrunden er, at der i stadig mere komplekse netværk distribueres følsom information til en voksende gruppe med eksempelvis flere mobile brugere. Risikoen for indtrængen af orme, vira og andre skadelige elementer øges, og dermed vokser behovet for beskyttelse.
Traditionelle Intrusion Detection systemer kom på banen i slutningen af 90'erne. De gjorde ikke noget for at stoppe trafikken, men udsendte blot advarsler, så it-medarbejdere manuelt kunne gribe ind. Men efterhånden som IDS-advarslerne greb om sig, kunne man ikke længere følge med.
En ny generation af hybrid-angreb skabte behov for mere effektiv beskyttelse. Orme som Sasser, SQL Slammer og Nimda lagde virksomheder ned. Firewall- og antivirusløsninger er værdifulde, men ikke altid tilstrækkelige.
Voksende marked
Det globale marked for Intrusion Detection og Intrusion Prevention systemer vil accelerere og nå en omsætning på omkring 932 millioner dollar i 2007, vurderer analysefirmaet Infonetics Research, Inc.
I de seneste tal fra selskabet opgøres markedets omfang i 3. kvartal 2004 til 135 millioner dollar. Det ventes at stige 35 procent til 182 millioner dollar i samme periode i år.
Der er hård kamp om førerpositionen på markedet for løsninger, der kan opdage og forhindre indtrængen i systemerne. Foreløbig deler Cisco og Internet Security Systems den med hver 22 procent. Symantec kommer ind på en tredjeplads på det samlede IDS/IPS-marked, mens McAfee tager fjerdepladsen.
Traditionelle netværksbaserede IDS-produkter tegner sig for 39 procent af omsætningen og dermed den største andel, mens server-IDS/IPS produkter tegner sig for 32 procent.
Infonetics Research definerer imidlertid området bredt og medtager produkter udenfor den rene Host Intrusion Prevention niche, som Third Brigade satser på.
På det område konkurrerer Third Brigade ifølge dagbladet Ottawa Citizen frem for alt mod to nyetablerede californiske selskaber, henholdsvis Sana Security og Determina. Begge har også lige sikret sig en kapitalindsprøjtning - på henholdsvis 22 og 19 millioner dollar.
Boks:
God "Host Intrusion Prevention" (HIP) sikrer en bredere beskyttelse imod kendte og Zero-day angreb.
Grad af webangreb Ingen HIP Hip Dyb HIP
Ingen beskyttelse Nogen beskyttelse Maksimal beskyttelse
Dokumentation
Autorisation
Klientside
Kommandoudførelse
Afsløring af information
Logisk Ydre firewalls og Network HIP leverer delvis beskyt- Dyb HIP beskytter imod de fleste web
Prevention Systems er telse. Men angreb såsom angreb ved at afskærme de udsatte
ikke nok "SQL Injection" kan dog ikke områder på serverens netværk og afværge
til at stoppe angreb mod beskyttes af almindelig HIP- angreb, inden de når de operative systemer
serveren. løsninger. eller applikationer.
