Przegląd narzędzi do wykrywania wtargnięć

Jeżeli sieć jest pod obstrzałem hakerów próbujących ukraść informację lub siać spustoszenie w systemie komputerowym, to priorytety przeciwdziałań są następujące:

- Alarm: podjąć natychmiastowe działania zmierzające do wykrycia intruza.

- Zabezpieczyć uszkodzenia i odeprzeć atak: powstrzymać wtargnięcie, przerywając wszelką komunikację z intruzem.

- Podjęcie kontrofensywy: zidentyfikować włamywacza.

W przeglądzie opisano cztery systemy wykrywania wtargnięć. BlackICE i ICEcap z firmy Network ICE wyróżniają się pierwszorzędnymi funkcjami śledzenia i alarmowania. BlackICE jest produktem specjalizowanym - agentem zajmującym się wykrywaniem intruzów. Agent ten po zidentyfikowaniu nieproszonego gościa raportuje ten fakt do ICEcap - modułu zarządzania, którego zadaniem jest analiza zbieranych przez agentów informacji o wtargnięciach do sieci. Informacja ta jest używana do umiejscawiania zmasowanych ataków na sieć.

Intruder Alert firmy Axent Technologies jest czymś w rodzaju skrzynki narzędziowej eksperta ochrony, charakteryzującym się dużą elastycznością w tworzeniu reguł ochrony sieci. Centrax firmy CyberSafe to produkt typu wszystko w jednym, zawierający audyt ochrony, monitorowanie, wykrywanie wtargnięć i alarmy. Z kolei eTrust Intrusion Detection firmy Computer Associates oferuje alarmy w czasie rzeczywistym, a jego silną stroną jest monitorowanie ochrony i zarządzanie regułami, chociaż wykonuje też pewne czynności z zakresu wykrywania włamań.

Alarmy

Włamywacze rzadko podchodzą do „bram” sieci z bronią w ręku. Przede wszystkim badają, czy nie ma „bocznych furtek” lub „otwartych okien”.

Cierpliwie rejestrują wzorce ruchu oraz adresy IP, a następnie wykonują pozornie nieszkodliwe wywiady o urządzeniach i użytkownikach.

Do zidentyfikowania tak chytrych napastników trzeba zatrudnić nadzwyczajnie czuły system wykrywania wtargnięć. Produkt taki musi być zdolny do powiadamiania nie tylko o oczywistych włamaniach, ale także o podejrzanych zdarzeniach, które często wyglądają niewinnie, ale mogą być przejawem ukrytej działalności hakera.

Przykładowo: wykrycie intensywnej pracy programu do łamania haseł jest zdecydowanym powodem do alarmu. Załóżmy jednak, że maszyna otrzymuje ping z pcAnywhere. Zdarzenie to może być przejawem działalności normalnego użytkownika zdalnego, ale też nie można wykluczyć, że to właśnie haker poszukuje połączenia z nie chronionym klientem pcAnywhere.

W obu przypadkach sytuacja zasługuje na odnotowanie w celu dalszej analizy.

Alarmy wysyłane przez BlackICE są bardzo specyficzne, nawet te „prosto z pudełka”. Wyświetlane są między innymi takie komunikaty, jak BackOrifice attack, pcAnywhere ping i Unit scan. Przy takim alarmie nie można mieć wątpliwości, jakie zdarzenie miało miejsce i - w większości przypadków - jakie jest jego znaczenie. Można także konfigurować alarmy według własnych potrzeb, ale zazwyczaj nie jest to potrzebne.

Ciekawym mechanizmem, który można znaleźć w produktach Network ICE i Intruder Alert Axenta, jest możliwość sprowadzania najnowszych sygnatur ataku, według których mogą być identyfikowani włamywacze, przy czym lepsza dostępność tych wzorców jest po stronie Network ICE.

Intruder Alert i Centrax dysponują dużymi możliwościami alarmowania, ale są one efektywne jedynie wtedy, gdy poprawnie zostaną ustawione reguły ochrony i konfiguracja alarmów oraz właściwie napisane komunikaty alarmowe. Innymi słowy produkty zapewniają narzędzia do budowania własnego systemu wykrywania wtargnięć. Inną sprawą jest to, czy dysponuje się odpowiednią wiedzą i doświadczeniem albo pieniędzmi na wynajęcie doświadczonych specjalistów ochrony.