Razorback: a koordinált vírusvédelem

A Sourcefire, mely korábban elsősorban a Snort IDS/IPS (Intrusion Prevention and Detection System) technológiájáról vált ismertté, nemrégen egy újabb projectet indított, amellyel ezúttal a kártékony programok valamint a nulladik napi sebezhetőségeket kihasználó támadások ellen száll ringbe. A project a Razorback nevet kapta. "Azt szeretnénk, ha mások is tesztelnék az új megoldást azért, hogy láthassuk, hogy az ötletünk valóban olyan innovatív, mint amennyire mi azt gondoljuk." - mondta Matt Watchinski, a Sourcefire sérülékenységek kutatásával foglalkozó csapatának vezetője.

A Razorback alapvető feladata, hogy folyamatosan monitorozza a különféle adatforgalmakat (HTTP, SMTP, stb.), és azokat továbbítsa a különböző védelmi megoldások felé. Ha például egy felhasználó a pendrive-járól egy fertőzött PDF-állományt tekint meg, és azt egy Razorback környezetben futtatott antivírus alkalmazás nem ismeri fel, akkor a Razorback a beépített "útválasztó" mechanizmusa révén a PDF-dokumentumot megpróbálja továbbítani egy olyan védelmi eszköz felé, amely hatékonyabban képes ellenőrizni a PDF-állományokat. Vagyis koordinálja a fájlellenőrzést. Ezek mellett képes együttműködni egyes SIEM (Security Information and Event Management) eszközökkel is.

"A Razorback egy olyan rendszert tartalmaz, amely megosztja az információkat a különböző biztonsági eszközök között. Ebben az egészben ez a legnagyobb ötlet" - vélekedett Watchinski. Az új megoldás folyamatosan gyűjti az adatokat a plugin-eken keresztül hozzá kapcsolt védelmi alkalmazásokból, és képes figyelmeztetések, jelentések generálására. A Razorback integrálható a biztonsági átjárókhoz, de akár dedikált szervereken is képes a feladatának elvégzésére. Az új szoftver nem feltétlenül valós időben tudja kiszűrni a káros tartalmakat, és jelenleg nem is arra tervezték, hogy közvetlenül blokkolja a gyanús adatforgalmat. A célja az, hogy akár párhuzamosan, több lehetőséget jelöljön ki biztonsági vizsgálatok céljából. Jelenleg együttműködik a Snort, a ClamAV és egyéb olyan nyílt forráskódú megoldásokkal, mit amilyen például a Postfix.

A Sourcefire arról egyelőre nem számolt be, hogy piacra lép-e olyan kereskedelmi szoftverrel, amely a Razorbackre épül. Minden bizonnyal ez attól is függ, hogy a nyílt forráskódú változat köré csoportosuló közösség miként vélekedik majd az újdonságról. A Razorback egyelőre GPLv2 licenc alatt érhető el.