Trend Micro hat einen Service angekündigt, der Organisationen im Kampf gegen Botnetze unter die Arme greifen soll. Dabei handelt es sich um sich schnell verändernde Netze gekaperter Computer, wie sie für Denial-of-Service-Attacken (DoS), aber auch Spam-Kampagnen sowie Identitätsdiebstahl und andere bösartige Aktivitäten eingesetzt werden. Laut Paul Moriarty, Director Produktentwicklung für Internet Content Security bei Trend Micro, basiert der auf den Namen "InterCloud" getaufte Dienst auf der Base-Technik (Behavioral Analysis Security Engine) des Herstellers. Diese ermöglicht es, Bot-Rechner in verwalteten Netzen aufzuspüren und zu isolieren.
Base analysiert Applikations- und Netzinfrastrukturdaten wie DNS-Abfragen und BGP-Routing-Tabellen (Border Gateway Protocol). Dabei soll die Engine in der Lage sein, Bot-typisches Verhalten zu identifizieren, wozu beispielsweise eine von der Norm abweichende Folge von DNS-Abfragen zählt. Aus Daten, die aus Trend Micros weltweitem Forscher- und Kundennetz stammen, gewinnt der neue Service zudem Kenntnis über neue oder aufkommende Bot-Aktivitäten, die das Bot Identification Team des Herstellers identifiziert und überwacht.
InterCloud soll sich in Teilen auf einen neuen gehärteten DNS-Server stützen, der es ermöglicht, verdächtige Daten zu sammeln und potenziell von Bot-Programmen befallene Host-Systeme zu melden. "Anhand der DNS-Logs eines Tages können wir Unternehmen sagen, wie viele Spam-Bots oder Zombie-Rechner sie haben", so Moriarty.
InterCloud-Kunden könnten infizierte Systeme loswerden, indem sie ihnen den Zugang zum Netz verweigern, sie unter Quarantäne stellen, entsprechende Updates einspielen oder sie scannen und desinfizieren, erklärt Dave Rand, CTO von Tend Micros Internet Content Security Group. Zudem soll der Service ein Web-basierendes Management-Portal bieten, über das sich Bot-Aktivitäten überwachen beziehungsweise melden lassen, aber auch Sicherheitsregeln gemanaged werden können.
Nach Angaben von Moriarty sind nur wenige Enterprise-Security-Produkte in der Lage, Hunderte oder auch Millionen von Hosts zu unterstützen. Daher verlassen sich ISPs und große Organisationen beim Sicherheits-Management häufig auf interne Security-Teams und -Produkte. Diesen mangle es jedoch an der breiten Perspektive, die Anbieter mit weltweiten Forschungsaktivitäten und einer globalen Kundenbasis einbringen könnten.
Trend Micro will den Service und die Base-Technik in dieser Woche auf der Demofall '06 in San Diego vorstellen. (kf)