Bezpieczeństwo zintegrowane

Bezustannie trwają prace nad określeniem idealnej architektury dla systemu IDS. Zaproponowano już wiele rozwiązań: systemy HIDS, NIDS, architektury hybrydowe (np. NNIDS) i architektury wieloagentowe. Opracowano też założenia dla architektur odpornych na ataki typu DoS i DDoS, w których trudno widoczne, mobilne agenty systemu IDS przenoszą się z atakowanego hosta do miejsc nie atakowanych.

W toku dalszych prac należy spodziewać się postępującej integracji systemów IDS z innymi systemami bezpieczeństwa. Już dziś niektóre systemy IDS współpracują z oprogramowaniem antywirusowym i systemami zaporowymi. W ramach integracji systemy IDS przejmą też prawdopodobnie funkcjonalność skanerów integralności (file integrity checkers) oraz - przynajmniej w części - analizatorów protokołów (protocol scanners). Kwestią czasu jest integrowanie systemów IDS ze skanerami bezpieczeństwa (vulnerability assessment tools). IDS mógłby w takim przypadku szukać luk w zabezpieczeniach chronionych systemów i zgłaszać tego typu informacje lub nawet - w ramach prewencji - rekonfigurować czy wyłączać pewne usługi.

Ten kierunek rozwoju niesie jednak ryzyko dalszej komplikacji systemów ochronnych i w efekcie - paradoksalnie - obniżenia ogólnego poziomu bezpieczeństwa.

W dalszej przyszłości być może nastąpi integracja dzisiejszych systemów IDS z systemami służącymi do kontroli treści, co umożliwiłoby opracowanie metod reakcji na incydenty bardziej adekwatne do zagrożeń. Przykładem takich systemów są projekty Carnivore czy Sorm. Próby realizacji tego typu funkcji w systemach komercyjnych nie przyniosły dotychczas zadowalających efektów.

Do pełnej integracji systemów wykorzystywanych w procesie wykrywania włamań będzie konieczne określenie otwartych standardów komunikacji oraz ich implementacja w produktach. To na razie poważny problem. Trwają wprawdzie prace nad stworzeniem standardów umożliwiających korelację danych gromadzonych i przetwarzanych przez różne systemy IDS, a także nad uniwersalnym formatem dzienników aktywności systemów. Jednak do pełniej kompatybilności rozwiązań różnych dostawców jeszcze daleko.

Przyszłością systemów IDS jest coś, co szumnie nazywa się EMS - Enterprise Security Management. Chodzi o kompleksowe rozwiązania umożliwiające implementację polityki bezpieczeństwa na poziomie całej organizacji, na które składają się centralna konsola zarządzająca, współdziałająca z sondami na poziomie hostów oraz sondami sieciowymi, zintegrowana z systemem antywirusowym i systemami zaporowymi, a także inne rozwiązania czuwające nad bezpieczeństwem.

Nowe koncepcje

Ciekawym kierunkiem rozwoju systemów IDS jest koncepcja kontrapenetracji (reverse cracking), której celem jest wytropienie osoby odpowiedzialnej za atak. U podstaw tego podejścia leży założenie, że skoro nastąpiło włamanie, w chronionym systemie musiały istnieć luki. Na podstawie analizy danych z włamania system IDS miałby - oczywiście z pomocą człowieka - nauczyć się sposobu działania intruza i śledzić jego dalsze poczynania - aż do identyfikacji. Interwencje tego typu - zwłaszcza podejmowane poza własną siecią - budzą jednak wątpliwości natury prawnej i etycznej.

Inna koncepcja dotycząca włamań, stara, lecz zyskująca ostatnio rozgłos dzięki projektowi The HoneyNet Project, to tzw. przynęty internetowe (honeypot). Przynęty to specjalnie wydzielone systemy, których zadaniem jest "udawanie" przed włamywaczami systemów właściwych po to, aby móc gromadzić informacje na temat stosowanych przez nich technik ataków. W ten sposób można budować wzorce działań intruzów, a nawet wykorzystać włamywaczy do wyszukiwania potencjalnych dziur w systemach. Obserwowanie włamywaczy podczas pracy może być zajęciem pouczającym, nie jest jednak w żadnym razie bezpieczne. Cóż bowiem się stanie, gdy intruz przejmie kontrolę nad systemem i wykorzysta go do ataku na systemy innych firm?

Znaleźć złoty środek

Rozwój systemów wykrywania włamań przebiega wielotorowo (patrz schemat). Dostawcy muszą brać pod uwagę rosnącą komplikację systemów informatycznych klientów i coraz bardziej wysublimowane metody ataków. Z drugiej strony muszą pilnować, aby mająca służyć bezpieczeństwu komplikacja zabezpieczeń antywłamaniowych nie stała się zagrożeniem. Znalezienie równowagi między niezbędnym wyrafinowaniem systemów bezpieczeństwa a możliwą do uzyskania prostotą, zwłaszcza pod kątem zarządzania, wydaje się dziś największym wyzwaniem - nie tylko dla systemów IDS, ale też wszelkich rozwiązań z dziedziny bezpieczeństwa.

Piotr Dorosz jest kierownikiem projektów programistycznych w Pyton Software we Wrocławiu.

Przemysław Kazienko jest adiunktem w Zakładzie Systemów Informacyjnych Politechniki Wrocławskiej.