Ochrona niezupełnie doskonała
- Piotr Dorosz,
- Przemysław Kazienko,
- 16.12.2002
Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.
Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.
Poszukiwanie uniwersalnego lekarstwa na problemy z bezpieczeństwem systemów informatycznych trwa od lat. Początkowo wydawało się, że rozwiążą je inteligentne systemy antywirusowe. Wraz z rozwojem Internetu firmy zaczęły zwracać uwagę na systemy zaporowe, jednak i one okazały się niewystarczające - badania wykazują, że duża część udanych włamań odbywa się przy udziale uprawnionych użytkowników.
Rozwiązaniem kwestii naruszeń bezpieczeństwa miały być systemy wykrywania włamań IDS (Intrusion Detection Systems), którym powierzono zadanie nie tylko wykrywania, ale i aktywnego przeciwdziałania atakom. Systemy informatyczne nadal bywają atakowane, choć skuteczność włamań w firmach posiadających IDS istotnie spada. Trzeba jednak pamiętać, że mniejsza liczba ataków nie oznacza automatycznie mniejszych strat, a źródłem potencjalnych problemów może być system detekcji.
Kryteria oceny systemu IDS
Aby móc wszechstronnie ocenić system wykrywania włamań, potrzebne są miary jakości odpowiednie dla danego systemu. Są to:
Posługiwanie się powyższymi miarami jest o tyle problematyczne, że nie istnieje żadna instytucja standaryzująca lub wyznaczająca parametry jakościowe systemów IDS. Dane techniczne podawane przez producentów odnoszą się najczęściej do wyników osiąganych w warunkach laboratoryjnych, które z reguły znacznie różnią się od przeciętnego środowiska produkcyjnego, dlatego wszelkie deklaracje w tym zakresie należy traktować ostrożnie. Najlepiej weryfikować je przed dokonaniem zakupu - w ramach pilotażu w środowisku możliwie zbliżonym do warunków rzeczywistych.
Jak wybrać właściwy system IDS
Wybór systemu wykrywania włamań to trudne zadanie. W praktyce, oprócz rozważenia powyższych ogólnych kryteriów jakościowych, do rozwiązania pozostaje niebanalny problem doboru systemu odpowiedniego do specyfiki i możliwości organizacji. Przed dokonaniem zakupu warto odpowiedzieć sobie na wiele pytań, które można pogrupować w kilka kategorii.
Co chronić? Jakie zasoby będzie chronić system IDS? Czy będzie to pojedynczy komputer (host-based IDS - HIDS) czy cała sieć (network-based IDS - NIDS), a może tylko połączenie internetowe (wtedy wystarczy HIDS)? Gdy sieć składa się z kilku podsieci o różnym znaczeniu dla organizacji, każda z nich musi być w praktyce chroniona oddzielnie. Czy kupić jeden system z wieloma sondami czy też oddzielne systemy? W tym drugim przypadku pojawia się naturalny problem współpracy między systemami.