Ochrona niezupełnie doskonała

Subskrybuj RSS A A A
16 grudnia 2002
Piotr Dorosz, Przemysław Kazienko

Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.

Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.

Poszukiwanie uniwersalnego lekarstwa na problemy z bezpieczeństwem systemów informatycznych trwa od lat. Początkowo wydawało się, że rozwiążą je inteligentne systemy antywirusowe. Wraz z rozwojem Internetu firmy zaczęły zwracać uwagę na systemy zaporowe, jednak i one okazały się niewystarczające - badania wykazują, że duża część udanych włamań odbywa się przy udziale uprawnionych użytkowników.

Rozwiązaniem kwestii naruszeń bezpieczeństwa miały być systemy wykrywania włamań IDS (Intrusion Detection Systems), którym powierzono zadanie nie tylko wykrywania, ale i aktywnego przeciwdziałania atakom. Systemy informatyczne nadal bywają atakowane, choć skuteczność włamań w firmach posiadających IDS istotnie spada. Trzeba jednak pamiętać, że mniejsza liczba ataków nie oznacza automatycznie mniejszych strat, a źródłem potencjalnych problemów może być system detekcji.

Kryteria oceny systemu IDS

Aby móc wszechstronnie ocenić system wykrywania włamań, potrzebne są miary jakości odpowiednie dla danego systemu. Są to:

  • Dokładność - określa, jak precyzyjnie system wykrywania włamań potrafi wychwycić podejrzane z punktu widzenia bezpieczeństwa działania użytkowników w systemie. Mała dokładność to duży procent fałszywych alarmów (false positive). Polega to na sygnalizowaniu jako podejrzane w pełni uprawnionych działań użytkowników, a także nietypowych (ale nie niebezpiecznych) działań wynikających z niesprawności sprzętu lub oprogramowania. Na rzeczywistą dokładność systemu IDS w miejscu instalacji mają wpływ specyfika wykorzystywanych aplikacji i usług sieciowych oraz jakość pozostałych zabezpieczeń. Informacja o tym, że jakiś system wykrywa 90% ataków, nie oznacza, że taką samą dokładność będzie on miał, działając w środowisku klienta.

  • Kompletność - to liczba wykrytych przez system ataków w stosunku do rzeczywistych ataków, które były wymierzone w chroniony system. Mała kompletność wynika z dużego procentu nie wykrytych ataków lub ich prób (false negative).

  • Wydajność - określa zdolność systemu IDS do przetwarzania dużych ilości danych (skomplikowanych audytów lub dużych strumieni pakietów sieciowych). Jest to wielkość maksymalnego obciążenia. Mała wydajność uniemożliwia wykrywanie włamań w czasie rzeczywistym, a co za tym idzie podejmowanie odpowiednio szybkiej reakcji. Ponadto, ze względu na przeciążenie, niektóre ataki mogą być nie wykryte. Z powodu słabej wydajności system IDS może być podatny na ataki, np. ataki powodziowe (flood), polegające na wysyłaniu w stronę atakowanego systemu ogromnej liczby pakietów.

  • Czas reakcji - czas, który mija od wystąpienia objawu ataku (np. pojawienia się w systemie niebezpiecznego pakietu) do czasu podjęcia przez system środków zaradczych.

    Posługiwanie się powyższymi miarami jest o tyle problematyczne, że nie istnieje żadna instytucja standaryzująca lub wyznaczająca parametry jakościowe systemów IDS. Dane techniczne podawane przez producentów odnoszą się najczęściej do wyników osiąganych w warunkach laboratoryjnych, które z reguły znacznie różnią się od przeciętnego środowiska produkcyjnego, dlatego wszelkie deklaracje w tym zakresie należy traktować ostrożnie. Najlepiej weryfikować je przed dokonaniem zakupu - w ramach pilotażu w środowisku możliwie zbliżonym do warunków rzeczywistych.

    Jak wybrać właściwy system IDS

    Wybór systemu wykrywania włamań to trudne zadanie. W praktyce, oprócz rozważenia powyższych ogólnych kryteriów jakościowych, do rozwiązania pozostaje niebanalny problem doboru systemu odpowiedniego do specyfiki i możliwości organizacji. Przed dokonaniem zakupu warto odpowiedzieć sobie na wiele pytań, które można pogrupować w kilka kategorii.

    Co chronić? Jakie zasoby będzie chronić system IDS? Czy będzie to pojedynczy komputer (host-based IDS - HIDS) czy cała sieć (network-based IDS - NIDS), a może tylko połączenie internetowe (wtedy wystarczy HIDS)? Gdy sieć składa się z kilku podsieci o różnym znaczeniu dla organizacji, każda z nich musi być w praktyce chroniona oddzielnie. Czy kupić jeden system z wieloma sondami czy też oddzielne systemy? W tym drugim przypadku pojawia się naturalny problem współpracy między systemami.

    m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
    w swoim smartfonie.

    • Oceń artykuł

    średnio: 0 liczba ocen: 0
    1  2  3  dalej »
    Podziel się |

    Komentarze (0)

    +Dodaj komentarz

    Najpopularniejsze

    Najnowsze

    e-Sąd z odsieczą sprawiedliwości

    e-Sąd z odsieczą sprawiedliwości
    Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

    e-Zdrowie w Polsce i na świecie

    e-Zdrowie w Polsce i na świecie
    Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

    Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

    Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
    Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

    Cyberprzestępcy podążają za użytkownikami

    Cyberprzestępcy podążają za użytkownikami
    Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

    Jak zaplanować karierę w branży IT

    Jak zaplanować karierę w branży IT
    Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

    Jakie są różnice między chmurą a wirtualizacją

    Jakie są różnice między chmurą a wirtualizacją
    Wirtualizacja jest obecnie standardową technologią, stosowaną powszechnie w IT. Od środowiska chmury prywatnej dzieli ją jednak długa droga, gdyż wymaga ona uzupełnienia o istotne składniki.

    Jakie są różnice między chmurą a wirtualizacją

    Jakie są różnice między chmurą a wirtualizacją
    Wirtualizacja jest obecnie standardową technologią, stosowaną powszechnie w IT. Od środowiska chmury prywatnej dzieli ją jednak długa droga, gdyż wymaga ona uzupełnienia o istotne składniki.

    Rekomendacje

    

    Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
    Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
    Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
     © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88