Il concetto che ormai il "perimetro di rete" così come lo immaginavamo tempo fa non esista più credo sia ben assimilato. Il problema oggi è come aumentare la sicurezza delle singole macchine in una rete (endpoint security) senza rendere la cosa troppo dispendiosa per l'azienda in termini di tempo e denaro.
Un articolo di SecurityFocus (qui la prima parte) affronta parzialmente il problema proponendo una politica di collaborazione fra i singoli host.
Comportamenti sospetti notati dai device di sicurezza presenti su una singola macchina (dal personal firewall all'euristica di un antivirus) possono essere condivisi in maniera automatica con altri utenti sulla rete. Scopo dichiarato ovviamente è quello di trovare un pattern per diagnosticare eventuali attacchi sconosciuti.
Si tratta a mio avviso di una buona idea. Del resto quando un "warning" rimane su un singolo computer quasi sempre la cosa muore lì, mentre con un sistema di sharing si potrebbe capire se lo stesso warning sia apparso contemporaneamente su più computer, fatto che ovviamente porterebbe a controlli più approfonditi.
Dall'articolo:
Collaborative software components and users can leverage endpoint security technology to acquire a broader view of attack trends at a local or global network scale. Automatic sharing of security alerts, normal and abnormal behavior patterns of commonly used applications, and configuration settings for endpoint security policies can all provide improvements to the visibility and effectiveness of endpoint security solutions. Behavioral models can be enriched and improved with the addition of globally-seen behavior rather than just local execution patterns.
