Włamywacz schwytany na gorącym uczynku

Symantec zaprezentował system wykrywania zagrożeń ManHunt zintegrowany z IDS.

Symantec zaprezentował system wykrywania zagrożeń ManHunt zintegrowany z IDS.

Pół roku od przejęcia Recourse Technologies przez Symanteca polski oddział tej firmy wprowadził do sprzedaży nowy produkt - system wykrywania i przeciwdziałania zagrożeniom ManHunt 2.2. Do niedawna ManHunt był sztandarowym rozwiązaniem Recourse.

W ofercie nowego właściciela ManHunt jest zintegrowany z rozwiązaniem Symanteca - Host Intrusion Detection 4.0. W odróżnieniu od Host Intrusion Detection, którego działanie oparto przede wszystkim na analizie sygnatur, ManHunt śledzi w czasie rzeczywistym natężenie ruchu, sprawdza stan protokołów i poszukuje anomalii w pracy sieci. Według zapewnień producenta system może przeciwdziałać atakom wykorzystującym nowe mechanizmy, jeszcze nie umieszczone w bazie sygnatur.

Podstawowe elementy ManHunt to: sensory do zbierania danych z różnych elementów, np. przełączników i routerów, oprogramowanie analizujące (Correlation Analysis Framework) i interfejs administratora. Oprogramowanie wymaga dedykowanego serwera wyposażonego w system Solaris, 512 MB pamięci na każdy procesor i tylu kart Fast lub Gigabit Ethernet, ile punktów sieci ma być monitorowanych. W podstawowej konfiguracji ManHunt monitoruje do 10 segmentów sieci.

Dodatkowym elementem systemu może być ManTrap - pułapka typu HoneyPot.

Program ostrzega przed zagrożeniami i natychmiast reaguje na włamania i ataki typu DDOS, wykorzystując mechanizmy zakończenia sesji lub filtry QoS. Ponadto ManHunt wyposażono w funkcję automatycznego zapisu informacji o ruchu w sieci w przypadku wykrycia podejrzanej aktywności, a także w mechanizm FlowChaser do śledzenia i wykrywania źródeł ataków. Zastosowanie funkcji FlowChaser wymaga współpracy z routerami Cisco obsługującymi technologię NetFlow. Zaletą ManHunt jest funkcja agregacji danych, która zapobiega rejestracji jako odrębnych dużej ilości danych dotyczących zdarzeń, wynikających z pojedynczego ataku.

ManHunt umożliwia zarówno statyczną kontrolę portów, jak i programowe przełączanie sensorów z analizy jednego portu na drugi (roaming). Mechanizm ten pozwala na zwiększenie liczby kontrolowanych elementów sieciowych bez potrzeby instalowania dodatkowych kart Ethernet lub serwerów ManHunt. Administrator może określić priorytety dotyczące częstotliwości skanowania określonych portów.

Symantec zapowiada, że technologia ManHunt zostanie wkrótce zintegrowana z innymi produktami firmy, takimi jak Gateway Security i Symantec Client Security. Cena netto licencji na Symantec ManHunt zależy od przepustowości i wynosi ok. 55-560 tys. zł dla sieci o transmisjach od 100 Mb/s do 2 Gb/s.