Polowanie na hakera

Sieć można przyrównać do suwerennego państwa, którego granice mają być nienaruszalne. Jakie działania należy przedsięwziąć, aby ochronić swoje terytorium? Zapory ogniowe pomagają w ochronie „przejść granicznych”, ale mogą być niewystarczające (wszak mimo kontroli przemyt i nielegalne przekraczanie granicy są praktycznie nieuniknione!). Potrzebne są więc metody wykrywania prób nielegalnego naruszania granic sieci i przeciwdziałania takim praktykom. Od kilku już lat dostępne są zaawansowane techniki wykrywania nieautoryzowanych prób penetracji sieci.

Sieć można przyrównać do suwerennego państwa, którego granice mają być nienaruszalne. Jakie działania należy przedsięwziąć, aby ochronić swoje terytorium? Zapory ogniowe pomagają w ochronie „przejść granicznych”, ale mogą być niewystarczające (wszak mimo kontroli przemyt i nielegalne przekraczanie granicy są praktycznie nieuniknione!). Potrzebne są więc metody wykrywania prób nielegalnego naruszania granic sieci i przeciwdziałania takim praktykom. Od kilku już lat dostępne są zaawansowane techniki wykrywania nieautoryzowanych prób penetracji sieci.

Różnice architektoniczne

Zdolność produktu do wykrywania intruzów zależy od jego architektury i zakresu konfigurowania wymaganego od użytkownika. Wszystkie produkty (z wyjątkiem eTrust Intrusion Detection) są oparte na technice agentów, co oznacza, że wymagają posadowienia modułów agentów w newralgicznych punktach sieci. Zadaniem tych agentów jest zbieranie informacji o możliwych atakach. Agenci wykrywają naruszenia ustalonych reguł polityki ochrony i wysyłają powiadomienia o takich naruszeniach na konsolę zarządzania. Systemy oparte na agentach są lepsze dla sieci przełączanych, w których nie istnieje pojedynczy punkt przejścia dla całego ruchu.

Zamiast strzec pojedynczego połączenia agent monitoruje cały ruch wychodzący i przychodzący do urządzenia, na którym rezyduje, tak więc intruz nie może ukryć się wewnątrz przełącznika. Na przykład w produkcie Network ICE agentem sieciowym jest BlackICE. Może on być rozmieszczony w środowisku autonomicznym, takim jak zdalni klienci dial-up, lub w korporacyjnej sieci danych. Gdy intruz zostanie wykryty w układzie autonomicznym, BlackICE wyświetla alarmy na ekranie klienta. Wykrycie intruza w układzie sieci danych jest natomiast raportowane przez BlackICE do innego produktu – ICEcap – który zawiera monitor sieciowy. ICEcap gromadzi i porównuje informacje raportowane do niego przez wszystkich agentów, tak więc może szybko namierzyć atak w sieci.

eTrust z kolei rezyduje w miejscu centralnym i monitoruje ruch w segmencie, w którym jest zlokalizowany. Ponieważ nie współpracuje on z agentami, to nie może monitorować ruchu w sieci przełączanej, z uwagi na to, iż w takiej sieci nie istnieje centralny punkt obserwacyjny.

Oprogramowanie powiadamiające zarządcę sieci o wtargnięciach lub próbach wtargnięcia do serwera albo sieci jest jednak ciągle jeszcze ideą dość nową.

Pierwsze tego typu oprogramowanie pojawiło się w zastosowaniach militarnych w połowie lat dziewięćdziesiątych. Od tego czasu komercyjni dostawcy wypuszczają na rynek produkty zaprojektowane do wykrywania akcji hakerów. Część dostawców przygotowała produkty opierające się na technice hostowej, przeznaczone do ochrony systemów operacyjnych, serwerów webowych czy baz danych. Innym podejściem do problemu jest wykrywanie intruzów polegające na skanowaniu ruchu sieciowego w celu wykrycia podejrzanej aktywności.

Rynek obu typów oprogramowania stale rośnie. Według szacunków IDC obroty na tym rynku wzrosły z 20 mln USD w 1997 r. do 100 mln w roku ubiegłym, a w 2005 r. są przewidywane na poziomie ponad 0,5 mld USD. Przy dzisiejszych zautomatyzowanych narzędziach hakerskich, którymi mogą posługiwać się nawet amatorzy, sieci korporacyjne są szczególnie narażone na niepożądane penetracje.

W każdym z wymienionych dwóch segmentów rynku dominuje jeden dostawca: Axent Technologies z produktem Intruder Alert, do którego w 1998 r. należało trzy czwarte rynku oprogramowania do wykrywania intruzów opartego na technice hostowej (ODS Networks z Computer Misuse Detection System to w tym czasie ok. 9 proc. rynku, a Security Dynamics z produktem Kane Security Monitor 6 proc.).

Jeśli chodzi o produkty sieciowego wykrywania wtargnięć, to połowa rynku należy do Systems (ISS) z produktem RealSecure. Cisco, która zakupiła WheelGroup, zagarnęła 23 proc. rynku produktem WheelGroup NetRanger, a Computer Associates przejęła 8 proc. rynku drogą zakupu SessionWall-3 z firmy MEMCO.

Rozwój rynku dotyczy nie tylko obrotów - rośnie również liczba dostawców.

Wśród dostawców, jacy ostatnio pojawili się na rynku, wymienić można Network ICE i Intellitactics.

Niestety, ceny wielu produktów są ciągle jeszcze poza zasięgiem możliwości małych firm - koszt agenta serwerowego to około 4000 USD za każdy serwer. Jednak w miarę dojrzewania rynku można spodziewać się spadku cen.