Jak zabezpieczyć sieć przed włamaniem?

W narzędziach do wykrywania wtargnięć jest ciągle wiele do udoskonalenia. Włamywacze stale wymyślają nowe sztuczki, aby dostać się do systemów komputerowych. Firmy zajmujące się oprogramowaniem wykrywania wtargnięć śledzą bacznie wyczyny hakerów, aby zebrać materiał do opracowywania najskuteczniejszych metod ich namierzania. W konsekwencji produkty te muszą być uaktualniane w sposób ciągły, co zmusza użytkowników do instalowania coraz nowszych programów, gdy tylko zostanie zidentyfikowany nowy rodzaj ataku. Dostawcy na ogół nie dysponują technologią typu push, znacznie ułatwiającą proces ciągłego uaktualniania. Nawet aktualizacja typu pull (sprowadzanie przez Internet) - w stylu pakietów antywirusowych - jest ciągle jeszcze nowością dla wielu twórców narzędzi wykrywania wtargnięć.

Odzwierciedla to pewną niedojrzałość tego przemysłu, ale ponieważ użytkownicy już dość powszechnie żądają tego rodzaju technik, to sytuacja ta powinna ulec zmianie.

Prace rozwojowe dają nadzieję, że w wykrywaniu intruzów pomoże zastosowanie sztucznej inteligencji: „mądrzejszy” pakiet może rozpoznawać problemy sieci lub hostów bez specyficznych wzorców ataku, samoistnie tworząc je w sposób ciągły.

Innym powszechnym problemem są fałszywe alarmy: jest to sytuacja, kiedy produkt błędnie identyfikuje autoryzowanego użytkownika jako osobę bez autoryzacji. Analitycy twierdzą jednak, że produkty powoli, ale coraz skuteczniej radzą sobie z problemami związanymi z fałszywa identyfikacją.

Ponadto dostawcy tego oprogramowania zaczynają dołączać do pakietów zestawy projektowe oprogramowania, zapewniając w ten sposób użytkownikowi większą elastyczności w tworzeniu własnych wzorców ataku dla specyficznych aplikacji.

Wadą wielu programów wykrywania wtargnięć jest też to, że nie dysponują możliwościami wysyłania alarmów do wielu różnych platform zarządzania.

Alarmy i raporty są skonsolidowane zazwyczaj na ich własnych konsolach.

Można już jednak zaobserwować coraz śmielsze próby integracji produktów. I tak np. NetProwler firmy Axent może powiadamiać zaporę ogniową Raptor tejże firmy lub Firewall-1 firmy Check Point Software o konieczności podjęcia akcji defensywnej na zaporze, takiej jak zamknięcie portu. Cisco wbudowuje NetRanger do swoich routerów i przełączników w celu wykrywania niektórych ataków.

Network Associates i ISS, których produkty mogą także współdziałać z niektórymi zaporami ogniowymi lub platformami zarządzania siecią, są zwolennikami koncepcji przeniesienia automatycznych reakcji na poziom urządzeń sieciowych, drogą wciągnięcia do współpracy największych producentów sprzętu sieciowego. Idea polega na wbudowaniu do różnorodnych urządzeń sieciowych oprogramowania agentów techniki hostowej lub skanerów techniki sieciowej, zdolnych do automatycznych reakcji w chwili zidentyfikowania poważnego zagrożenia. Ale jak na razie nie widać zbyt wielu porozumień między firmami, jako że Network Associates i ISS mają konkurencyjne plany.

Pod naciskiem ze strony ISS IETF powołała w 1998 r. grupę roboczą do zdefiniowania standardu współdziałania. Jednak owoców jej pracy nie należy spodziewać się szybko.

Nie rób tego sam

Prawdopodobnym kierunkiem uzyskiwania bardziej bezpośrednich beneficjów z wykrywania wtargnięć będzie zapewne rosnąca dostępność usług wykrywania wtargnięć.

W opinii wielu analityków rozwój usług zarządzania wykrywaniem intruzów nabierze tempa podobnego do tego, jakie charakteryzuje dzisiaj rozwój usług zarządzania zaporami ogniowymi. Ponieważ znalezienie profesjonalistów z zakresu ochrony, biegłych w wykrywaniu intruzów, jest nie lada wyzwaniem, organizacje będą zapewne zlecać odpowiedzialność za takie działanie wyspecjalizowanym firmom.

Jedną z głównych kwestii, z którymi spotkają się firmy świadczące tego typu usługi, jest to, czy korporacje, kupując dzisiaj narzędzia wykrywania wtargnięć, będą w przyszłości kontynuować ich zakupy w formie oddzielnych komponentów, czy też będą raczej wybierać funkcje wbudowane w wyposażenie sieciowe, takie jak routery czy przełączniki.

Chociaż odpowiedzi na te pytania nie są łatwe, nie ma wątpliwości, że dostawcy narzędzi wykrywania wtargnięć, używanych przeważnie przez duże firmy (takie jak banki), będą szukać w przyszłości sposobów dotarcia do większej liczby nabywców.