IDS jako narzędzie analityczne
-
- Józef Muszyński,
- 01.02.2004
Który IDS jest właściwy?
Okazało się, że choć fałszywe rozpoznania nadal stanowią problem, to jednak znacznie mniejszy niż w teście przeprowadzonym przed rokiem. Dostawcy tych rozwiązań coraz większą uwagę zaczęli przywiązywać do metod zarządzania potokiem fałszywych alarmów.
Podsumowując wyniki testów, stwierdzono, że:
- ISS ma najsilniejsze zestaw narzędzi zarządzania i analizy. Jeżeli sygnatury mają pochodzić tylko od dostawcy, to ISS zapewnia najlepszą zdolność zarządzania danymi tysięcy systemów.
- Sensory Cisco zapewniają dużą elastyczność i ścisłą integrację z firmowymi ruterami i przełącznikami. Zarządzanie nie jest jednak najmocniejszą stroną produktu. Jeżeli technologia CTR zostanie pomyślnie zintegrowana w systemie, to Cisco jest dobrym wyborem.
- NRF jest najlepszy, gdy zamierza się pisać dużo własnych sygnatur ataków.
- Intrusion ma odpowiedni potencjał i wszystkie dodatki, ale jest potrzebna lepsza ich integracja.
Firma: Intrusion
Zalety: zdolność do konstruowania i przechowywania oglądów analitycznych upraszcza zadania alarmowania i śledcze
Wady: zarządzanie sygnaturami dość skomplikowane i łatwo prowadzące do błędów
Firma: NFR Security
Zalety: bardzo duże możliwości tworzenia własnych sygnatur, łatwe strojenie, proste zarządzanie sensorami
Wady: możliwości trybu śledczego trudne do rozpoznania
Sieciowe systemy wykrywania włamań są od pewnego czasu w ogniu nieustającej krytyki. Jeden z najnowszych raportów Gartnera ma znamienny tytuł Intrusion detection is dead - long live intrusion prevention (IDS umarł, niech żyje IPS). W innym, zatytułowanym Hype cykle for information security 2003 wyrażono opinię, że IDS-y są produktem nietrafionym.
Jednak wielu analityków jest zdania, że analizy Gartnera opierają się na błędnym założeniu. Wielu specjalistów, a z nimi analitycy Gartnera, wkładają sieciowe IDS do tego samego worka, co zapory ogniowe: technologii przeznaczonych do ochrony zasobów sieciowych. Jednak sieciowe IDS są dla analityków ochrony tym, czym analizatory protokołów dla administratorów sieci: narzędziami do wglądu w sieć, wspomagającymi rozpoznanie, co się w niej dzieje z punktu widzenia bezpieczeństwa.
Pogląd Gartnera jest umacniany przez dostawców IPS, zmierzających do stworzenia własnej niszy rynkowej, budowanej na dyskredytowaniu przydatności sieciowych IDS. Zarządcy sieci, którzy kupują sieciowe IDS i oczekują magicznej skrzynki w rodzaju "zainstaluj i zapomnij", są rozczarowani, że IDS czymś takim nie jest.
Zamiast więc mówić, czym nie są sieciowe IDS-y, praktycznie jest powiedzieć, czym są. IDS-y to pasywne sensory do wykrywania ataków, naruszeń reguł polityki bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związanych z bezpieczeństwem.
Decyzja, czy sieciowe IDS-y są odpowiednie dla danej sieci, nie jest taka trudna. Pomyślna implementacja sieciowych IDS-ów zależy od trzech czynników:
- Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podejrzanych zachowań dopóty, dopóki nie zostanie zdefiniowane, co jest, a co nie jest dozwolone w sieci. Jeżeli nie zostanie to wyrażone w regułach polityki ochrony, to sieciowy IDS nie może wskazać, co zostało naruszone.
- Świadomość powiązania z siecią. Produkty IDS nie nadają się do automatycznej klasyfikacji ataków opartej na systemie, który został zaatakowany. Klasycznym tego przykładem jest atak związany wyłącznie z systemem Windows na uniksowy serwer webowy. Dla sieciowych IDS dane są użyteczne wtedy, gdy wiadomo jakie zasoby są w sieci i jak wygląda ruch normalny i poprawny.
- Architektura IDS. Użyteczność IDS zależy od implementowania ich w sposób, który zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest odpowiednie ulokowanie sensorów i technologii wykrywającej, wykorzystujące wiedzę o polityce bezpieczeństwa i zasoby sieciowe.
