Korzystanie z podstawowych aplikacji biznesowych i baz danych za pośrednictwem sieci stało się praktyką powszechną. Jednak oprócz niewątpliwych korzyści wnosi ona także zagrożenia systemu informatycznego przedsiębiorstwa. Liczba zagrożeń bezpieczeństwa, prób ataku i naruszeń stale rośnie, zwiększa się również złożoność tych zagrożeń.

Z tego powodu niesłabnącym zainteresowaniem cieszą się produkty związane z bezpieczeństwem systemów komputerowych: systemy wykrywania włamań (IDS), systemy oceny podatności na ataki, skanery antywirusowe czy systemy zarządzania tożsamością.

Ewolucja systemów IDS

Pierwsze rozwiązania systemów IDS (Intrusion Detection System) skupiały się głównie na analizie zdarzeń post factum. Dzisiejsze aplikacje IDS monitorują, wykrywają i reagują na nieautoryzowane działania w sieci w czasie rzeczywistym.

Większość ataków mieści się w jednej z trzech kategorii: rekonesans (np. skanowanie portów), wykorzystanie istniejących luk w celu uzyskania dostępu do sieci oraz ataki DoS blokujące normalne działanie systemu lub przeciążające sieć.

IDS rozpoznaje takie działania, skanując ruch i poszukując w nim sygnatur znanych ataków, anomalii w ruchu i stosowaniu protokołów oraz oznak nieuzasadnionych działań, które mogą doprowadzić do ataku z zewnątrz lub wewnątrz sieci.

IDS, jak wszystkie nowe technologie, zawiera wiele niedoskonałości. Jedną z bardziej uciążliwych jest generowanie nadmiernej liczby fałszywych alarmów. Mała precyzja identyfikacji włamań powoduje, że legalny ruch, o charakterystyce zbliżonej do ataków sieciowych, może być uznany za próbę włamania.

Nadmierna liczba fałszywych alarmów może prowadzić do osłabienia czujności administratorów. Nowa klasa oprogramowania zarządzającego, przystosowana do zarządzanie informacjami związanymi z bezpieczeństwem, zapewnia możliwość redukcji liczby fałszywych alarmów przez lepsze strojenie sensorów lub lepszą korelację zdarzeń pochodzących z logów urządzeń sieciowych.

Świadomość własnych słabości

Testowanie systemów ochrony jest jednym z podstawowych elementów zapewniania bezpieczeństwa sieciom komputerowym. Podstawowym kryterium testów jest ocena podatności na atak (VA - Vulnerability Assessment). Polega ona na zbieraniu informacji o systemie, takich jak parametry sterowania dostępem, ustawienia na zaporach ogniowych, logowania i - co najtrudniejsze - obserwacje zachowań użytkowników systemu komputerowego.

Proces oceny i wyszukiwania nieszczelności może także dostarczyć podstawowych danych pomagających w identyfikowaniu zmian w systemach po rzeczywistym ataku, sprowadzając proces reperacji do rzeczywiście uszkodzonych elementów.

Skanery do wyszukiwania słabych punktów w systemach komputerowych znane są na rynku od dziesięciu lat. Nie osiągnęły one takiego stopnia dojrzałości, jakiego życzyliby sobie zarządcy sieci. Często raportują fałszywe rozpoznania i odnosi się wrażenie, że ich twórcy wychodzą z bezpodstawnego założenia, iż sama liczba zidentyfikowanych słabych punktów Đ niezależnie od precyzji rozpoznania Đ określa wartość produktu.

Niezależnie jednak od mankamentów znaczenie skanerów w całym systemie ochrony dużych sieci korporacyjnych stale rośnie. IDC spodziewa się na tym rynku obrotów rzędu 657 mln USD w roku 2004.

Skuteczność ochrony antywirusowej

W miarę stosowania coraz ściślejszej ochrony przeciwko znanym wirusom czy robakom napastnicy zaczynają wykorzystywać do ich transportu protokoły webowe używane zazwyczaj do niezwiązanych z atakami celów, innymi słowy Đ protokoły przepuszczane przez zapory ogniowe.

W tej sytuacji krytyczną rolę w bezpieczeństwie weba zaczynają odgrywać centralne skanowanie antywirusowe i ochrona zawartości przy dostępie do Internetu, usuwające szkodliwą zawartość jeszcze przed strefą ochronną sieci. Zastosowanie scentralizowanych usług ochrony antywirusowej było wcześniej utrudnione ze względu na wydajność i ograniczenia skalowalności rozwiązań opartych na zaporach ogniowych.

Nowe wirusy pojawiają się nieustannie, a olbrzymia większość ataków wirusowych jest związana z pocztą elektroniczną. Oznacza to, że obrona antywirusowa na bramach pocztowych, serwerach i desktopach musi być uaktualniana regularnie i często w celu zapobieżenia przedostawaniu się wirusów do sieci przedsiębiorstwa.

Ponadto możliwości obrony antywirusowej opierają się na dostatecznie zasobnej bazie danych sygnatur znanych wirusów i zdolności do blokowania działania wirusów nieznanych.

W odpowiedzi na rosnące zagrożenia infekcjami wirusowymi i trudności w utrzymaniu usług ochrony na rozproszonych desktopach pojawiła się tendencja centralizacji ochrony antywirusowej, polegająca na umieszczeniu jej w punkcie dostępu do Internetu. Celem takiego podejścia jest usuwanie szkodliwej zawartości na obrzeżu strefy ochronnej sieci, zanim dostanie się ona do sieci.