Security-Appliance mit "Virtual-Machine"-Ansatz

03.05.2006
Die Startup-Firma FireEye bringt eine NAC-Appliance (Network Access Control) auf den Markt, mit deren Hilfe sich Malware und Attacken schnell identifizieren und eindämmen lassen sollen.

Die noch namenlose, Switch-gestützte NAC-Appliance von FireEye basiert auf der Virtual-Machine-Technik des Startup-Unternehmens und soll es ermöglichen, angriffspezifischen Datenverkehr im Netz schnell zu identifizieren. Bei diesem Verfahren werden sowohl Desktop- und Server-Betriebssystem als auch Applikationen innerhalb der als virtuelle CPU fungierenden Appliance kopiert. Gleichzeitig analysiert sie, wie sich der durch einen Managed Switch laufende Traffic auf diesen auswirken könnte. "Ziel ist es, die Verwundbarkeit für Malware zu modellieren", erläutert FireEye-CEO Ashar Aziz das Prinzip. Identifiziert die Appliance schädlichen Netz-Traffic, kann sie den Switch aktivieren, der daraufhin entweder die Ports schließt oder das Gerät unter Quarantäne stellt.

Laut Aziz handelt es sich bei der NAC-Appliance nicht um ein Inline-Gerät. Sie blockiere demnach keine Datenpakete, sondern ermögliche es Netz-Administratoren, LAN-Segmente zum Schutz vor einem Angriff oder infizierte Maschinen zu einem Zeitpunkt zu isolieren, noch bevor eine Bedrohung von Sicherheitsexperten eingehend analysiert wurde.

Auf der ersten Version der Appliance, die im Juni auf den Markt kommen soll, werden Kopien sowohl von gepatchten als auch ungepatchten Windows-Anwendungen laufen, um zu analysieren, wie sie eintreffender Datenverkehr nachteilig beeinflussen könnte. Linux-Unterstützung ist noch für diesen Herbst geplant. Außer FireEye nutzt lediglich Avinti, ein unter anderem von Symantec finanziertes Startup im Bereich E-Mail-Security, das Virtual-Machine-Konzept auf ähnliche Weise in seinem "iSolation Server". (kf)