Hostowe IDS

Wydarzenia ostatnich miesięcy jeszcze raz pokazały, że twórcom wirusów i hakerom nie brakuje pomysłów na przeprowadzanie coraz bardziej złożonych ataków, lepiej przystosowanych do obchodzenia środków ochrony obwodowej.

Wydarzenia ostatnich miesięcy jeszcze raz pokazały, że twórcom wirusów i hakerom nie brakuje pomysłów na przeprowadzanie coraz bardziej złożonych ataków, lepiej przystosowanych do obchodzenia środków ochrony obwodowej.

Sieciowe IDS (Intrusion-Detection System) okazują się niewystarczającą metodą monitorowania takich zagrożeń. Kluczowym elementem zintegrowanej strategii ochrony jest uzupełnianie sieciowych systemów wykrywania włamań hostowymi IDS (Host IDS - HIDS). Ten typ oprogramowania wykrywania wtargnięć jest instalowany przede wszystkim na serwerach, choć można go zainstalować także na desktopach i laptopach. Oprogramowanie Host IDS jest ostatnia linią obrony przed atakami osiągającymi końcowe punkty sieci.

Aby wdrażać produkty ochrony zapewniające wymagany poziom bezpieczeństwa i na akceptowalnym poziomie kosztów, trzeba określić priorytety biznesowe dla serwerów przedsiębiorstwa. Moduły agentów HIDS powinny być wdrażane na prawie wszystkich krytycznych dla działania biznesu serwerach. Są to zazwyczaj serwery: infrastruktury sieciowej, infrastruktury biznesowej oraz serwery zawierające informacje o klientach i treść stanowiącą własność intelektualną firmy.

Obniżanie ryzyka

Jak to działa?

Jak to działa?

Sieciowe IDS kontrolują pakiety w sieci pod kątem podejrzanych działań, hostowe IDS natomiast monitorują anomalie występujące w plikach systemowych, procesach i plikach logów. Większość agentów HIDS w procesie identyfikacji ataków opiera się na sygnaturach ataków. Podobnie jak programy antywirusowe, HIDS sprawdzają różne formy danych, poszukując w nich znamion znanych ataków. Pliki logów systemów operacyjnych i aplikacji są przeszukiwane ze względu na znamiona szkodliwych działań. System plików jest monitorowany pod kątem penetracji istotnych plików i naruszania ich zawartości, a ruch sieciowy wchodzący i wychodzący w punktach końcowych jest sprawdzany ze względu na możliwość wystąpienia ataków sieciowych.

Typowy atak na serwer często rozpoczyna się przepełnieniem bufora wykorzystywanym w krytycznych usługach systemowych. Nieszczelność ta otwiera "tylne drzwi" do systemu, udostępniając atakującemu uprawnienia administratora. Przez nie można wprowadzić trojana (program konia trojańskiego) i umieścić go w katalogu systemowym. Plik trojana zostanie zarejestrowany w systemie operacyjnym do wykonania przy każdym restarcie systemu. Za każdym razem więc podczas startu systemu zostaje uruchomiony również program trojana, który wykonuje szkodliwą działalność.

Agent HIDS zainstalowany na serwerze może zatrzymać taki atak już na początku, z chwilą wykrycia stanu przepełnienia bufora. Jeżeli zajdzie potrzeba, HIDS może także zatrzymać intruza na etapie kopiowania programu trojana, zmiany rejestrów Windows lub w momencie "odpalania" trojana.

Z chwilą wykrycia zagrożenia agent HIDS może zareagować na różne sposoby. Może on generować zdarzenie, które będzie skorelowane z innymi zdarzeniami; może powiadomić administratora za pośrednictwem poczty elektronicznej, pagera czy telefonu komórkowego, a także może uruchomić specjalny program lub skrypt.

HIDS powinny być elementem wielowarstwowej strategii bezpieczeństwa, zapewniającej zwartą ochronę w ramach całej organizacji. Uzupełniają one możliwości innych produktów ochrony, takiej jak NIDS, pułapki i przynęty oraz zapory ogniowe. Każdy z tych elementów należy do zintegrowanej infrastruktury bezpieczeństwa, która wzmacnia obronę i zmniejsza ryzyko w sieci.


TOP 200