ISS analysgrupp X-Force släppte nyligen sin kvartalsrapport “Internet Risk Impact Summary” (IRIS). Rapporten bygger på statistiska data och trendanalyser från över 16 miljoner säkerhetshändelser från 400 nätverks- och serverbaserade intrångsdetektorer. I rapporten konstateras att Internetbaserade hot blir allt mer svårartade och att de växer i fortsatt hög takt. Antalet kända sårbarheter har ökat med 65% om man jämför det tredje kvartalet i år med motsvarande period förra året. Det som tydligt framgår av rapporten är att hybridhoten tenderar till att vara de mest svårbemästrade hoten.
Vad är en hybrid? Hybrid är skadlig kod uppbyggd som en kombination av flera tidigare fristående säkerhetshot. Virus, maskar, trojaner och hackerteknik kombineras till automatiska hackerverktyg som samtidigt attackerar flera sårbarheter, och som snabbt sprids i nätverk. Exempelvis hann Nimda infektera över 2,2 miljoner PC och servrar inom loppet av 24 timmar.
En hybrid överlistar oftast nätsäkerhetsskydd som endast skyddar mot fristående hot. Dessutom kan en hybrid maskera sig genom att ständigt förändra skepnad. Hybriderna står idag för ca 25% av alla hot.
De aggressiva maskarna såsom Klez, Spida, Nimda och Slapper drabbar fortsatt system med hög intensitet samtidigt som de uppvisar en längre livslängd vilket framgår av nedanstående två exempel:
* Linuxmasken Slapper spreds snabbt över Internet och infekterade 20.000 servrar inom 72 timmar.
* Masken Nimda fortsatte att spridas över Internet och efter nio månader har dess frekvens minskat med endast 44,5 procent.
För att vända trenden krävs samverkan av de nätsäkerhetsskydd ni redan investerat i. Om nätsäkerhetsskydden införskaffades för lång tid sedan och har varit orörda sedan dess är det stor risk att de tjänat ut sin roll. Ett nätsäkerhetsskydd och dess konfiguration är ett levande verktyg. För att ge ett exempel så var det acceptabelt för tre-fyra år sedan att ha en generös policy för tillåtna trafikslag från det interna nätet till Internet. Idag är den delen av policyn näst intill lika viktig som policyn för tillåtna trafikslag från Internet till det interna nätet, för att ge ett gott skydd mot de hybridhot som blir allt fler.
© 2002 Thomas Nilsson, Certezza AB
Thomas Nilsson
