Noam Green, Product Manager di Check Point, vanta un’esperienza nel settore networking di oltre 14 anni, ha lavorato per aziende quali Satellite Communication, per differenti operatori di reti cellulari, Telco e come direttore del team di marketing e product management presso Mobixell Networks. In occasione del lancio di Check Point Threat Extraction abbiamo potuto rivolgergli alcune domande per approfondire la conoscenza della piattaforma di sicurezza.
– Check Point Threat Extraction propone un approccio innovativo per il rilevamento e la rimozione di malware, quali sono le peculiarità della piattaforma?
Threat Extraction viene offerta sotto forma di software blade aggiuntiva per i gateway Check Point Gateways. Si tratta di una funzionalità aggiuntiva del nostro pacchetto di Next Generation Threat Prevention.
– La piattaforma si propone come protezione “in tempo reale”, in termini pratici e di funzionamento, come si concretizza l’approccio “preventivo” di Threat Extraction?
Check Point Threat Extraction offre un approccio completamente nuovo per eliminare il malware presente nei documenti in arrivo via Email e scaricati dal Web. Dato che ogni documento può potenzialmente contenere malware, l’unico metodo per garantire documenti liberi dal malware è ricostruirli sulla base di elementi sicuri. I contenuti attivi ed altre forme di oggetti embedded vengono estratti dal documento, che poi viene di fatto ricostruito eliminando ogni minaccia potenziale e distribuendo agli utenti un documento libero da ogni forma di malware senza nessun delay.
Quando messaggi mail esterni sono inviati a un’organizzazione, questi vengono diretti al Check Point Gateway che è configurato come MTA (Mail Transfer Agent). Il gateway ricostruirà il documento e lo inoltrerà senza alcun delay al server Exchange, e da lì al destinatario. Il gateway invierà anche il documento allegato al sistema di Threat Emulation, in modo che l’amministratore possa essere avvisato di ogni forma di malware che possa essere stata identificata nel documento originale.
Con la stessa email, i dipendenti vengono avvisati se l’allegato è stato sottoposto al processo di Threat Extraction e se qualche contenuto è stato rimosso. Il file ricostruito è allegato all’email. Se i dipendenti hanno bisogno di accedere al file originale, devono solamente cliccare sul link contenuto nel messaggio. Verranno indirizzati a un portale di user check che chiederà loro il motivo per cui necessitano del file originale e di confermare che i file arrivano da una fonte affidabile.
Una volta fatto questo, l’utente avrà accesso al file originale se, e solo se, il file è stato riconosciuto non pericoloso dalla Threat Emulation.
– In termini di prestazione, secondo i Vostri test, quali solo le performance di elaborazione degli algoritmi di ricerca e prevenzione di Threat Extraction? Quale impatto possono avere su una rete tipica di una PMI (50 – 100 utenti) ?
Abbiamo condotto in merito migliaia di test che indicano che l’impatto della Threat Extraction sulle performance del gateway è nella sostanza trascurabile. Per le aziende di piccole e medie dimensioni è stimabile un rallentamento nelle prestazioni del gateway inferiore all’1%.