Открытый проект Razorback – защита от эксплоитов 0day

Компания Sourcefire, известная такими продуктами для обеспечения безопасности сетей, как антивирус ClamAV и технология предупреждения вторжений Snort, представила свою новую разработку. Проект с открытым исходным кодом Razorback предназначен для обнаружения вредоносных программ, особенно эксплоитов для неустраненных уязвимостей.

По словам Мэтта Ватчинского (Matt Watchinski), старшего управляющего командой исследователей уязвимостей в Sourcefire, в настоящий момент компания приступает к открытому тестированию защитного фреймворка Razorback для оценки перспективности этой технологии.

В его состав входит защитная система маршрутизации, отслеживающая определенные виды трафика, такие как HTTP или электронная почта на базе Web или SMTP. Продублированная информация передается инструментам системы анализа безопасности, подключенной к Razorback. Разработчики предусмотрели возможность его совместного использования как с открытыми, так и с проприетарными средствами сетевой безопасности.

Инструменты контроля Razorback могут составлять единое целое с шлюзами безопасности, а также применяться на отдельных серверах. Специалисты Sourcefire заявляют, что лучше всего использовать инструменты мониторинга Razorback в сочетании с фильтрующим модулем антивирусного приложения, а сферами его применения могут стать продукты для обработки секретной информации и системы управления мероприятиями.

"Razorback отслеживает ресурсы организации, которые могут представлять собой особый интерес. Таковыми являются, например, PDF-файлы, порой содержащие вредоносный код," – объясняет Ватчинский. Контролируемые файлы могут быть переданы инструментам технической экспертизы для анализа на предмет содержания кода эксплоитов или наличия в них известных уязвимостей.

Защитную систему маршрутизации Razorback не обязательно использовать в режиме реального времени. Помимо того, она не предназначена для непосредственного блокирования потенциально небезопасных данных. Разработчики проекта поставили перед собой цель установить множество каналов для одновременной передачи и дублирования данных, безопасность которых может оказаться под угрозой, для обработки и анализа, а также обеспечить обратную связь. По мере того как Razorback будет развиваться, его функциональность могут дополнить сторонние программы, расширяющие возможности блокировки и распознавания угроз.

На сегодняшний день в Razorback реализована поддержка технологии Snort и антивирусного приложения ClamAV, также разрабатываемого Sourcefire, а также других проектов с открытым исходным кодом, таких как Postfix.

Компания пока не раскрывает своих планов по производству коммерческих продуктов, основанных на Razorback. В то же время ее представители сообщают, что организации, занимающиеся защитой информации, заинтересованы в развитии защитных систем маршрутизации, в том числе открытых, одной из которых является Razorback. Sourcefire планирует выпускать ее по лицензии GPLv2, реализуя код бесплатно для пользователей и производителей сетевых инструментов, однако не исключена вероятность превращения Razorback в коммерческий продукт, что повлечет за собой появление схемы лицензионных отчислений.