Bezpieczeństwo zintegrowane

W pracach nad rozwojem systemów wykrywania włamań dominują trzy kierunki: poszukiwanie skuteczniejszych metod rozpoznawania ataków, poprawa wydajności oraz integracja z innymi systemami bezpieczeństwa.

W pracach nad rozwojem systemów wykrywania włamań dominują trzy kierunki: poszukiwanie skuteczniejszych metod rozpoznawania ataków, poprawa wydajności oraz integracja z innymi systemami bezpieczeństwa.

Kierunki prac na d systemami wykrywania wlamańWyznacznikiem jakości systemów IDS jest obecnie przede wszystkim ich wydajność. Systemy nie działające w czasie rzeczywistym już dziś mają niewielki udział w rynku i można przypuszczać, że w niedalekiej przyszłości ich rola będzie marginalna.

To właśnie z powodu poszukiwania wydajności od pewnego czasu na rynku systemów wykrywania włamań obecne są rozwiązania sprzętowe IDS appliance. Mimo prostoty instalacji i utrzymania tego typu urządzeń, nie wydaje się, aby miały one wyprzeć istniejące rozwiązania czysto programowe - przede wszystkim dlatego że mają ograniczone możliwości konfiguracyjne. Urządzenia o zamkniętej konstrukcji mogą znaleźć zastosowanie w stosunkowo prostych sieciach, niezbyt często modyfikowanych. W dużych i bardzo złożonych sieciach, które ciągle ewoluują, jeszcze długo lepiej będą się sprawdzać rozwiązania programowe.

Problem wydajności systemów programowych można częściowo rozwiązać, np. łącząc je ze specjalnymi szybkimi sondami. Najnowszy trend w dziedzinie poprawiania wydajności wykrywania włamań to systemy IDS działające w trybie inline. Ich konstrukcja jest następująca: cały ruch wchodzi do urządzenia IDS przez jeden interfejs sieciowy i jest poddawany analizie w jego wnętrzu, a następnie wychodzi z urządzenia drugim interfejsem. Nowy typ rozwiązań ma zasadniczą przewagę nad dotychczasowymi konstrukcjami, wykorzystującymi pojedyncze karty sieciowe działające w trybie promiscuous - pewność, że żadne pakiety nie są gubione. Poza tym urządzenie IDS działające inline ma możliwość natychmiastowego, skutecznego zablokowania podejrzanych pakietów.

W poszukiwaniu odstępców

Większość dostępnych na rynku systemów do detekcji włamań wykorzystuje bazy wzorców ataków, zwanych też sygnaturami. Podobnie jak w przypadku systemów antywirusowych, podejście to ma mankamenty. Po pierwsze, sygnatury opierają się na analizie już wykonanych ataków, nie wykryją więc ataków nowego typu, a często nawet mutacji starych metod. Po drugie, stworzenie wzorców i ich dystrybucja zajmują czas - dopóki firma ich nie otrzyma i nie zainstaluje, może liczyć wyłącznie na intuicję i doświadczenie administratorów.

Zawodność metod opartych na sygnaturach sprawiła, że coraz powszechniej są one uzupełniane mechanizmami wykrywającymi odstępstwa od typowych, oczekiwanych zachowań serwerów, systemów operacyjnych, usług sieciowych i oczywiście użytkowników. Wykrywanie anomalii polega na porównywaniu obserwowanych działań użytkowników, systemów i aplikacji z wcześniej ustalonym wzorcem zachowania typowego. Wszelkie odstępstwa od "szablonów" są traktowane jako potencjalnie niebezpieczne. Takie podejście ułatwia wykrywanie nadużyć dokonywanych przez własnych pracowników.

Wszystko wskazuje na to, że już w niedalekiej przyszłości systemy IDS będą wykorzystywały zarówno sygnatury, jak i metody z zastosowaniem analizy anomalii. Wykrywanie nietypowych zdarzeń to pole dla eksploracji danych, analizy statystycznej i sztucznej inteligencji, które razem stosowane mają umożliwić automatyczne wykrywanie nowych ataków. Korzyścią ich zastosowania będzie także ograniczenie liczby fałszywych alarmów poprzez zdefiniowanie zestawu zachowań charakterystycznych dla konkretnej organizacji.

Ważkim problemem występującym we współczesnych systemach IDS jest zapewnienie reakcji systemu adekwatnej do zaistniałego problemu. W praktyce jest to bardzo trudne, ponieważ wielu zdarzeń sieciowych nie można jednoznacznie uznać za groźne bądź niegroźne - wiele zależy od kontekstu, a odpowiednia analiza wymaga najczęściej ingerencji ludzkiej. Zbyt duży automatyzm nie jest wskazany, czasami bowiem prowadzi do błędnych wniosków. Pochopne działanie może mieć negatywny wpływ na dostępność systemów bądź usług krytycznych z punku widzenia biznesu.