IDS i IPS

IPS (Intrusion Prevention System), które mogą zapobiegać wtargnięciom, dystansują w popularności IDS (Intrusion Detection System).

Problem leży jednak w tym, że zarówno IDS, jak i IPS charakteryzują się wysokim procentem fałszywych rozpoznań. W sytuacji kiedy IDS jedynie błędnie rozpoznaje, IPS dodatkowo blokuje ruch uznany za potencjalnie niebezpieczny, w tym często istotny ruch legalny. Chociaż dostawcy pracują nieustannie nad poprawieniem dokładności, przypadkowe zablokowanie legalnego ruchu może mieć niekiedy bardziej katastrofalne skutki dla biznesu niż niezablokowanie szkodliwego ataku.

IDS i IPS są lokalizowane na poziomie filtrowania sieci - do identyfikacji zagrożeń przechodzących pomiędzy sieciami - lub na poziomie hostów. Hostowe IPS i IDS są przeznaczone do ochrony wyłącznie hostów, na których są zlokalizowane. Sieciowe IDS/IPS identyfikują - a w przypadku IPS także blokują - zagrożenia ogólne, natomiast rozwiązania hostowe są konfigurowane do ochrony systemów przed atakami na specyficzne systemy operacyjne lub aplikacje.

IDS i IPS stosują dwa rodzaje technologii. Najbardziej rozpowszechniona jest technologia "odcisku palca", czyli wykrywania na podstawie sygnatur. Działa ona w sposób podobny do skanerów antywirusowych, tzn. wykorzystuje bazę danych sygnatur znanych ataków i na tej podstawie identyfikuje poszczególne zagrożenia. Baza sygnatur musi być stale uaktualniania i może być nieskuteczna w przypadku nowych lub zmodyfikowanych ataków.

Technologia druga to wykrywanie anomalii - wykorzystuje profilowany punkt odniesienia do rozpoznawania statystycznych odchyleń od wzorców ruchu, na przykład nieautoryzowane operacje na plikach. Motory wykrywania anomalii są użyteczne do wykrywania zagrożeń nieznanych lub zmodyfikowanych.

Którą z technologii powinno się wybrać: IDS czy IPS? Idealne rozwiązanie to zastosowanie obu. Większość zagrożeń można łatwo rozpoznać na podstawie bazy sygnatur, ale wykrywanie anomalii pozwala na wyłapywanie zagrożeń, które nie posiadają specyficznych sygnatur.

Antywirusy i antyspamy

Tradycyjne rozwiązania antywirusowe, używające baz danych wzorców wirusów, są bardzo skuteczne w wykrywaniu już znanych zagrożeń, ale nie radzą sobie z wirusami "dnia zerowego", czy też zmodyfikowanymi odmianami znanych wirusów.

Dostawcy starają się zaradzić temu, wprowadzając heurystyczne metody skanowania i usprawniając system dostarczania uaktualnień. Skanery heurystyczne, podobnie jak technologie wykrywania anomalii, analizują pliki, poszukując w nich zakodowanych akcji, takich jak modyfikowanie form wykonywalnych, samodzielne motory SMTP i zapisy do wrażliwych pozycji rejestrów. Technologie heurystyczne nie są nowością, ale dostawcy ciągle je ulepszają, poprawiając dokładność ich działania i zmniejszając prawdopodobieństwo fałszywych rozpoznań.

Ponieważ programy szkodliwe mogą infekować komputer z różnych stron - Internetu, nośników wymiennych czy kanałów P2P - najlepszą lokalizacją oprogramowania antywirusowego jest desktop. Ochrona na desktopie może wykrywać kody szkodliwe niezależnie od drogi, którą się tam dostały.

Ochrona serwerów pocztowych też jest pożądana, ponieważ robaki i wirusy są dostarczane pocztą elektroniczną. Często więc umieszcza się rozwiązania antywirusowe w urządzeniach bramowych, gdzie kontrolują ruch sieciowy. Chociaż w teorii brama taka powinna być dogodnym miejscem wyłapywania kodów szkodliwych, to jednak skanowanie każdego pakietu i porównywanie go z dużą bazą sygnatur w znaczący sposób zmniejsza przepustowość sieci. W praktyce więc większość rozwiązań bramowych skanuje jedynie kilka popularnych protokołów, takich jak SMTP, HTTP i FTP. Pozostawia to całe mnóstwo innych portów i protokołów poza kontrolą.

Filtry antyspamowe są coraz bardziej wymyślne, a skuteczność sięgająca 90% jest dzisiaj praktycznie normą. Najlepsze rozwiązania łączą filtrowanie według algorytmu Bayesa z używaniem białych i czarnych list nadawców poczty elektronicznej.

Wiele rozwiązań antyspamowych zawiera także mechanizmy antywirusowe. Niektóre z nich wykonują blokowanie załączników, a inne zawierają funkcje skanowania poczty.

Największym problemem rozwiązań antyspamowych są fałszywe rozpoznania, które mogą zablokować legalną pocztę. Jednak po odpowiednim dostrojeniu filtrów liczba fałszywych rozpoznań może być zminimalizowana.

Kwarantanna sieciowa

Skanery antywirusowe nigdy nie osiągną stuprocentowej dokładności, a jeden niezałatany system lub komputer z nieaktualnionym skanerem antywirusowym może zainfekować całą sieć przedsiębiorstwa.

Mając to na uwadze, dostawcy oferują technologie kwarantanny komputerów zainfekowanych lub niespełniających wymogów przyjętej polityki bezpieczeństwa. Rozwiązania kwarantanny sieciowej zapobiegają temu, aby komputery niewłaściwie skonfigurowane, niezałatane czy z nieaktualnymi sygnaturami antywirusowymi nie były podłączane do sieci.

Rozwiązania kwarantanny sieciowej wymagają niekiedy specyficznych serwerów i oprogramowania klienckiego, najczęściej specjalnych urządzeń sieciowych lub specjalnego oprogramowania, które współpracuje z routerami czy przełącznikami w obsłudze blokowania na poziomie sieciowym lub niższym. Niestety, kwarantanna nie jest łatwa w implementacji, a brak standardów nie zachęca do stosowania rozwiązań z tego obszaru.