Agent bezpieczeństwa

ComArch oferuje Protector IDS - system wykrywania włamań w sieciach korporacyjnych.

ComArch oferuje Protector IDS - system wykrywania włamań w sieciach korporacyjnych.

Krakowski przedstawił najnowszą propozycję w dziedzinie bezpieczeństwa - system wykrywania włamań w sieciach rozproszonych Protector IDS. To kompleksowe rozwiązanie, przeznaczone głównie dla dużych firm. Jego zadaniem jest śledzenie wszystkich zdarzeń w sieci pod kątem bezpieczeństwa, wykrywanie nieprawidłowości i ich raportowanie administratorom. Nowy produkt był tworzony z założeniem, że klienci mają wiele różnych cząstkowych systemów bezpieczeństwa. "Klienci niejednokrotnie skarżyli się, że brak koordynacji w zarządzaniu bezpieczeństwem powoduje nawet kilkugodzinne opóźnienia w obiegu informacji na temat sieciowych incydentów. Protector IDS powstał właśnie z myślą o nich" - twierdzi Tomasz Kwiecień, dyrektor handlowy w ComArch SA w Krakowie. System został już wdrożony przez 3 klientów, w tym przez Netię Telekom SA.

Według producenta, czas wdrożenia rozwiązania jest szacowany na 3-6 miesięcy, natomiast jego cena wraz z usługami wdrożeniowymi dla ok. 1 tys. stanowisk może wynieść 100-200 tys. USD.

Agenci są wszędzie

Dane o zdarzeniach sieciowych są zbierane w czasie rzeczywistym przez oprogramowanie klienckie (agenty), działające na wszystkich komputerach i serwerach włączonych do sieci firmowej. Obecnie dostępne jest oprogramowanie klienckie na następujące platformy: Windows 98/ NT4.0/2000, Solaris 2.6/7/8, HP-UX 11, Compaq Tru64 Unix 4/5, Linux Alpha/Intel. Protector IDS kontroluje parametry systemu operacyjnego, np. pliki systemowe i konfiguracyjne usług, wpisy w rejestrze itp., ale również zachowanie aplikacji i poprawność protokołów wymiany danych.

Wymiana danych pomiędzy agentami a serwerem systemu Protector IDS jest szyfrowana. Zastosowany protokół wymusza wzajemne uwierzytelnianie komponentów w ramach wbudowanej w system infrastruktury klucza publicznego.

Jeżeli agent wykryje nieprawidłowości, odpowiednia informacja pojawi się na konsoli administratora w ciągu maksymalnie 10 sekund. W standardowej konfiguracji, jeżeli administrator nie zareaguje w ciągu 3 minut, zostanie do niego wysłana wiadomość e-mail, a po kolejnych 5 minutach - wiadomość SMS. W treści alarmu podejrzane stanowisko komputerowe jest opisywane za pomocą trzech parametrów jednocześnie: adresu MAC karty sieciowej, adresu IP i nazwy w domenie.

System nie ogranicza się tylko do informowania uprawnionych osób. Posługując się sztuczną inteligencją i zbiorem zdefiniowanych reguł, Protector IDS potrafi samodzielnie podjąć działania zapobiegawcze, np. rozłączyć sesję TCP pomiędzy adresem włamywacza a systemem atakowanym. W tym celu ComArch opracował oparte na sieciach neuronowych oprogramowanie wnioskujące FireFly oraz towarzyszącą mu bazę wiedzy na temat zagrożeń. Sposób działania systemu, w tym reakcje na zdarzenia lub ich sekwencje, można zaprogramować na konsoli administracyjnej za pomocą języka skryptowego.

Analiza wszystkiego

Protector IDS integruje się z systemami do zarządzania infrastrukturą: Tivoli i HP OpenView, co pozwala na natychmiastową identyfikację stanowiska włamywacza z dokładnością do gniazdka sieciowego. System analizuje pliki log czołowych produktów bazodanowych, serwerów WWW, serwerów pocztowych, firewalli, a także innych systemów typu Intrusion Detection. Może też pobierać dane z innych źródeł np. bazy logów systemu kontroli dostępu do pomieszczeń.

Dane napływające od agentów są rejestrowane i interpretowane przez moduł centralny systemu o nazwie Manager. System udostępnia także rozbudowane funkcje raportowania. Rekordy z logami są chronione przed zmianami i w określonych odstępach czasu zapisywane na nośnikach jednokrotnego zapisu.

Moduł Manager zbudowano korzystając z bazy Oracle 8.1, pracującej na platformie Sun Solaris. Wkrótce pojawi się uproszczona, tańsza wersja systemu na platformy: Windows NT/SQL Server.


TOP 200