Polowanie na hakera
- NetWorld,
- 01.01.2000
Przegląd narzędzi do wykrywania wtargnięć
Jeżeli sieć jest pod obstrzałem hakerów próbujących ukraść informację lub siać spustoszenie w systemie komputerowym, to priorytety przeciwdziałań są następujące:
- Alarm: podjąć natychmiastowe działania zmierzające do wykrycia intruza.
- Zabezpieczyć uszkodzenia i odeprzeć atak: powstrzymać wtargnięcie, przerywając wszelką komunikację z intruzem.
- Podjęcie kontrofensywy: zidentyfikować włamywacza.
W przeglądzie opisano cztery systemy wykrywania wtargnięć. BlackICE i ICEcap z firmy Network ICE wyróżniają się pierwszorzędnymi funkcjami śledzenia i alarmowania. BlackICE jest produktem specjalizowanym - agentem zajmującym się wykrywaniem intruzów. Agent ten po zidentyfikowaniu nieproszonego gościa raportuje ten fakt do ICEcap - modułu zarządzania, którego zadaniem jest analiza zbieranych przez agentów informacji o wtargnięciach do sieci. Informacja ta jest używana do umiejscawiania zmasowanych ataków na sieć.
Intruder Alert firmy Axent Technologies jest czymś w rodzaju skrzynki narzędziowej eksperta ochrony, charakteryzującym się dużą elastycznością w tworzeniu reguł ochrony sieci. Centrax firmy CyberSafe to produkt typu wszystko w jednym, zawierający audyt ochrony, monitorowanie, wykrywanie wtargnięć i alarmy. Z kolei eTrust Intrusion Detection firmy Computer Associates oferuje alarmy w czasie rzeczywistym, a jego silną stroną jest monitorowanie ochrony i zarządzanie regułami, chociaż wykonuje też pewne czynności z zakresu wykrywania włamań.
Alarmy
Włamywacze rzadko podchodzą do „bram” sieci z bronią w ręku. Przede wszystkim badają, czy nie ma „bocznych furtek” lub „otwartych okien”.
Cierpliwie rejestrują wzorce ruchu oraz adresy IP, a następnie wykonują pozornie nieszkodliwe wywiady o urządzeniach i użytkownikach.
Do zidentyfikowania tak chytrych napastników trzeba zatrudnić nadzwyczajnie czuły system wykrywania wtargnięć. Produkt taki musi być zdolny do powiadamiania nie tylko o oczywistych włamaniach, ale także o podejrzanych zdarzeniach, które często wyglądają niewinnie, ale mogą być przejawem ukrytej działalności hakera.
Przykładowo: wykrycie intensywnej pracy programu do łamania haseł jest zdecydowanym powodem do alarmu. Załóżmy jednak, że maszyna otrzymuje ping z pcAnywhere. Zdarzenie to może być przejawem działalności normalnego użytkownika zdalnego, ale też nie można wykluczyć, że to właśnie haker poszukuje połączenia z nie chronionym klientem pcAnywhere.
W obu przypadkach sytuacja zasługuje na odnotowanie w celu dalszej analizy.
Alarmy wysyłane przez BlackICE są bardzo specyficzne, nawet te „prosto z pudełka”. Wyświetlane są między innymi takie komunikaty, jak BackOrifice attack, pcAnywhere ping i Unit scan. Przy takim alarmie nie można mieć wątpliwości, jakie zdarzenie miało miejsce i - w większości przypadków - jakie jest jego znaczenie. Można także konfigurować alarmy według własnych potrzeb, ale zazwyczaj nie jest to potrzebne.
Ciekawym mechanizmem, który można znaleźć w produktach Network ICE i Intruder Alert Axenta, jest możliwość sprowadzania najnowszych sygnatur ataku, według których mogą być identyfikowani włamywacze, przy czym lepsza dostępność tych wzorców jest po stronie Network ICE.
Intruder Alert i Centrax dysponują dużymi możliwościami alarmowania, ale są one efektywne jedynie wtedy, gdy poprawnie zostaną ustawione reguły ochrony i konfiguracja alarmów oraz właściwie napisane komunikaty alarmowe. Innymi słowy produkty zapewniają narzędzia do budowania własnego systemu wykrywania wtargnięć. Inną sprawą jest to, czy dysponuje się odpowiednią wiedzą i doświadczeniem albo pieniędzmi na wynajęcie doświadczonych specjalistów ochrony.