Ochrona niezupełnie doskonała

Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.

Mimo postępów w dziedzinie wydajności i precyzji, systemy wykrywania włamań pozostawiają wiele do życzenia. Dopracowania wymagają m.in. metody wykrywania włamań i reakcji na nie.

Poszukiwanie uniwersalnego lekarstwa na problemy z bezpieczeństwem systemów informatycznych trwa od lat. Początkowo wydawało się, że rozwiążą je inteligentne systemy antywirusowe. Wraz z rozwojem Internetu firmy zaczęły zwracać uwagę na systemy zaporowe, jednak i one okazały się niewystarczające - badania wykazują, że duża część udanych włamań odbywa się przy udziale uprawnionych użytkowników.

Rozwiązaniem kwestii naruszeń bezpieczeństwa miały być systemy wykrywania włamań IDS (Intrusion Detection Systems), którym powierzono zadanie nie tylko wykrywania, ale i aktywnego przeciwdziałania atakom. Systemy informatyczne nadal bywają atakowane, choć skuteczność włamań w firmach posiadających IDS istotnie spada. Trzeba jednak pamiętać, że mniejsza liczba ataków nie oznacza automatycznie mniejszych strat, a źródłem potencjalnych problemów może być system detekcji.

Kryteria oceny systemu IDS

Aby móc wszechstronnie ocenić system wykrywania włamań, potrzebne są miary jakości odpowiednie dla danego systemu. Są to:

  • Dokładność - określa, jak precyzyjnie system wykrywania włamań potrafi wychwycić podejrzane z punktu widzenia bezpieczeństwa działania użytkowników w systemie. Mała dokładność to duży procent fałszywych alarmów (false positive). Polega to na sygnalizowaniu jako podejrzane w pełni uprawnionych działań użytkowników, a także nietypowych (ale nie niebezpiecznych) działań wynikających z niesprawności sprzętu lub oprogramowania. Na rzeczywistą dokładność systemu IDS w miejscu instalacji mają wpływ specyfika wykorzystywanych aplikacji i usług sieciowych oraz jakość pozostałych zabezpieczeń. Informacja o tym, że jakiś system wykrywa 90% ataków, nie oznacza, że taką samą dokładność będzie on miał, działając w środowisku klienta.

  • Kompletność - to liczba wykrytych przez system ataków w stosunku do rzeczywistych ataków, które były wymierzone w chroniony system. Mała kompletność wynika z dużego procentu nie wykrytych ataków lub ich prób (false negative).

  • Wydajność - określa zdolność systemu IDS do przetwarzania dużych ilości danych (skomplikowanych audytów lub dużych strumieni pakietów sieciowych). Jest to wielkość maksymalnego obciążenia. Mała wydajność uniemożliwia wykrywanie włamań w czasie rzeczywistym, a co za tym idzie podejmowanie odpowiednio szybkiej reakcji. Ponadto, ze względu na przeciążenie, niektóre ataki mogą być nie wykryte. Z powodu słabej wydajności system IDS może być podatny na ataki, np. ataki powodziowe (flood), polegające na wysyłaniu w stronę atakowanego systemu ogromnej liczby pakietów.

  • Czas reakcji - czas, który mija od wystąpienia objawu ataku (np. pojawienia się w systemie niebezpiecznego pakietu) do czasu podjęcia przez system środków zaradczych.

    Posługiwanie się powyższymi miarami jest o tyle problematyczne, że nie istnieje żadna instytucja standaryzująca lub wyznaczająca parametry jakościowe systemów IDS. Dane techniczne podawane przez producentów odnoszą się najczęściej do wyników osiąganych w warunkach laboratoryjnych, które z reguły znacznie różnią się od przeciętnego środowiska produkcyjnego, dlatego wszelkie deklaracje w tym zakresie należy traktować ostrożnie. Najlepiej weryfikować je przed dokonaniem zakupu - w ramach pilotażu w środowisku możliwie zbliżonym do warunków rzeczywistych.

    Jak wybrać właściwy system IDS

    Wybór systemu wykrywania włamań to trudne zadanie. W praktyce, oprócz rozważenia powyższych ogólnych kryteriów jakościowych, do rozwiązania pozostaje niebanalny problem doboru systemu odpowiedniego do specyfiki i możliwości organizacji. Przed dokonaniem zakupu warto odpowiedzieć sobie na wiele pytań, które można pogrupować w kilka kategorii.

    Co chronić? Jakie zasoby będzie chronić system IDS? Czy będzie to pojedynczy komputer (host-based IDS - HIDS) czy cała sieć (network-based IDS - NIDS), a może tylko połączenie internetowe (wtedy wystarczy HIDS)? Gdy sieć składa się z kilku podsieci o różnym znaczeniu dla organizacji, każda z nich musi być w praktyce chroniona oddzielnie. Czy kupić jeden system z wieloma sondami czy też oddzielne systemy? W tym drugim przypadku pojawia się naturalny problem współpracy między systemami.


  • TOP 200