TippingPoint is misschien een kleinere speler op de IPS markt, maar daardoor niet minder interessant. Het bedrijf werd eind 2004 door netwerkgigant 3Com gekocht. Tegenwoordig verschijnt men vaak in het nieuws via het Zero Day Initiative, een programma waarbij onderzoekers voor het melden van nieuwe beveiligingslekken worden betaald. Aan de hand van deze informatie kan dan een "virtuele pleister" worden ontwikkeld, die het bedrijf dan weer naar alle TippingPoint IPS klanten stuurt. Wij interviewden Senior Systems Engineer Jeroen Janssen en vroegen hem over "virtual patching" en zero days.

Intrusion Prevention draait om het voorkomen van aanvallen. Aanvallen die via een signature of hun gedrag herkend worden, maar hoe voorkom je een nieuwe aanval waar nog geen update voor is? TippingPoint doet dit op verschillende manieren. Zo betaalt het onderzoekers als ze informatie over nieuwe lekken aanleveren. Deze informatie wordt dan gebruikt voor het reverse engineeren van het lek zodat er een patch tegen alle mogelijke exploits ontwikkeld wordt.

De update wordt echter niet op de kwetsbare software, maar in het IPS geladen. Die kan dan een aanval die via het lek probeert binnen te komen herkennen en stoppen. Ook als andere aanbieders, bijvoorbeeld Microsoft lekken in hun software bekend maken, worden de updates gereverse engineered, zodat er binnen 24 uur een virtuele patch beschikbaar is. Dit heeft als voordeel dat de systemen van een bedrijf beschermd zijn, ook al is de systeembeheerder er nog niet aan toegekomen om alle patches uit te rollen, of eerst de patches wil testen voordat men die installeert.

Janssen legt verder uit dat het voor sommige bedrijven, zoals een autofabrikant, niet mogelijk is om de systemen te patchen omdat dit de software van de produktielijn kan verstoren. De beschikbaarheid en produktiviteit van het systeem zijn voor de fabrikant veel belangrijker dan de veiligheid. In sommige gevallen kan het systeem ook niet geupgrade worden, omdat de produktie software hier niet mee overweg kan.

In dit soort gevallen helpt het IPS als een virtueel vangnet, zodat de systemen beschermd zijn, maar de software onaangepast blijft. "Je dwingt op deze manier mensen niet om tot diep in de nacht patches te installeren, zonder dat ze goed weten wat de gevolgen van de patches zijn" aldus Janssen.

Op de vraag hoe ethisch het is om beveiligingslekken voor financieel gewin geheim te houden laat Janssen weten dat TippingPoint altijd de vendor inlicht en pas naar buiten komt als er een patch beschikbaar is. Concurrerende IPS aanbieders worden echter twee dagen voordat de patch verschijnt van het lek op de hoogte gesteld, zodat ook zij hun maatregelen kunnen nemen. "Wij zijn niet de secret service die mensen voor lekken betalen, wij willen voorkomen dat gefrustreerde onderzoekers die geen gehoor bij de grote vendors vinden hun informatie op BugTraq plaatsen zodat iedereen achter de feiten aanloopt". Op deze manier wordt een fabrikant ook niet gedwongen om snel een patch in elkaar te draaien die dan niet goed blijkt te werken.

Digitale vuurtoren
Voor echt nieuwe aanvallen, waar nog geen lek of exploit van bekend zijn, gebruikt de IPS vendor het "Lighthouse project". Wereldwijd staan er allerlei IPS in universiteitsnetwerken bij ISPs om informatie over nieuwe aanvallen te verzamelen. Janssen merkt op dat er bijvoorbeeld in Afrika andere vormen van wormen rondgaan dan waar wij in Europa mee te maken krijgen, wat komt door doelgroep en gebruikte taal.

IPS podcast
TippingPoint heeft eigen hardware gebouwd, switchting hardware, met interfaces zonder MACen IP-adres, waardoor het vanuit het netwerk gezien een volledig transparante oplossing is. Op deze manier kan een aanvaller het IPS niet zien of exploiten. Om ervoor te zorgen dat beheerders met het IPS overweg kunnen geeft het bedrijf ook verschillende cursussen en zijn er zelfs podcasts voor de klanten waar men over de nieuwste lekken geinformeerd wordt en zelfs te horen krijgt hoe men het IPS moet configureren.

Twee van de lekken die Microsoft deze maand gepatcht heeft zijn afkomstig van het Zero Day Initiative. De kwetsbaarheden werden op 15 juni en 31 augustus aan de softwaregigant gemeld, die ze een aantal maanden later eindelijk wist te dichten.

Meer uitleg over de virtuele patch is te vinden in het whitepaper "Science of Vulnerability Filters: A Virtual Software Patch". (Via de link zijn ook nog andere interessante IPS papers te vinden)