Snort węszy kasę

Przejęcie Sourcefire przez Check Point wskazuje na kilka trendów, które będą kształtować rynek systemów zabezpieczeń sieciowych w najbliższym czasie

Przejęcie Sourcefire przez Check Point wskazuje na kilka trendów, które będą kształtować rynek systemów zabezpieczeń sieciowych w najbliższym czasie.

Check Point Software Technology (Check Point) ogłosił, że przejmuje Sourcefire - firmę założoną przez Martina Roeacha, twórcę najpopularniejszego na świecie systemu wykrywania włamań Snort. Sourcefire oferuje komercyjne wersje Snorta wraz z dedykowanymi urządzeniami, usługami aktualizacji reguł i wsparciem technicznym. Czy tego właśnie brakowało Check Pointowi? A może są inne powody, dla których zdecydował się wydać 225 mln USD?

Otwarty lub za dopłatą

Ogłoszenie chęci zakupu Sourcefire przez Check Point to sytuacja nietypowa choćby dlatego, że w przeszłości Check Point rzadko przejmował inne firmy, starając się rozwijać technologie samodzielnie. Największym w historii zakupem była firma Zone Labs, dzięki której Check Point zyskał pozycję na rynku zabezpieczeń dla małych i średnich firm. Tym razem kupuje firmę działającą na jego własnym rynku rozwiązań przeznaczonych dla dużych, wymagających klientów.

Samego produktu Sourcefire nie trzeba specjalnie reklamować. Snort to bezwzględny lider wśród rozwiązań IDS, dostępny na zasadach open source (licencja GPL). To m.in. właśnie ze względu na swoją otwartość Snort jest wykorzystywany przez największe organizacje na świecie - zarówno wielkie korporacje, jak i agendy rządowe, nie tylko w Stanach Zjednoczonych. W niektórych sektorach, jak edukacja czy administracja, Snort to de facto standard.

Gdy rozeszła się wieść o transakcji, środowisko zamarło, obawiając się, że Snort zostanie przeniesiony do domeny komercyjnej. Jednak, jak deklarują szefowie Check Point i Sourcefire, Snort pozostanie rozwiązaniem otwartym. I nie ma w tym sprzeczności, tak jak nie ma sprzeczności w istnieniu Red Hat Enterprise Linux i Fedora. Sourcefire nie zamierza pozbawiać środowiska open source wpływu na kierunki rozwoju Snorta i nie będzie pobierać opłat za kod narzędzia.

Pełna komercjalizacja Snorta byłaby jednak na dłuższą metę szkodliwa zarówno dla produktu, jak i dla Sourcefire. Środowisko open source zrzesza użytkowników narzędzia, którzy są skłonni nie tylko na bieżąco wskazywać usterki, ale proponować udoskonalenia. Rezygnacja z niego - nawet jeżeli znaczna większość udostępnianego kodu jest tworzona przez pracowników Sourcefire - byłaby rynkowym i społecznym samobójstwem.

Sourcefire zamierza pozostać otwarta na środowisko, ale jednocześnie zarabiać pieniądze. Podstawą modelu biznesowego są i nadal będą nie licencje, lecz gotowe do załadowania reguły filtrowania ruchu. Wielu spośród użytkowników Snorta to organizacje skłonne zapłacić za możliwość szybkiego i pewnego uodpornienia swoich sieci na najnowsze zagrożenia.

Obrona kontekstowa

Warto zastanowić się, jakie są techniczne powody przejęcia Sourcefire. Ciekawe jest choćby to, że Check Point dysponuje całkiem udaną technologią IDS, a w zasadzie IDS/IPS w postaci Interspect. Kluczem do rozwiązania zagadki jest być może koncepcja TIDS, czyli Taget-based, lansowana od kilku lat przez wiodących producentów zabezpieczeń. Wiadomo, że Sourcefire od dłuższego czasu pracuje nad takim rozwiązaniem.

Koncepcja TIDS ma swoje źródło w kłopotach, jakie sprawiały i nadal sprawiają systemy IDS/IPS, polegających na zgłaszaniu zbyt wielu zdarzeń jako potencjalnie niebezpiecznych, podczas gdy większość z nich okazuje się nie mieć wielkiego znaczenia. Takie podejście skutkuje dużym obciążeniem urządzeń, na których działa system analizujący ruch, jak również dużą ilością nie całkiem twórczej pracy dla administratorów.

Sednem koncepcji TIDS jest jak najwcześniejsze eliminowanie większości alarmów niemających znaczenia dla firmy, tj. takich, które nie są w stanie jej zaszkodzić. Duża liczba alarmów brała się dotychczas w dużej mierze stąd, że systemy IDS/IPS informowały administratorów o wykryciu poważnego ataku na system pocztowy Sendmail, choć firma wykorzystuje jedynie Microsoft Exchange. Inny przykład: IDS informuje, że atak dotyczy Windows XP z SP1, podczas gdy wszystkie komputery z tym systemem mają zainstalowany SP2.

Tu pojawia się najważniejsze pytanie - skąd system IDS/IPS ma "wiedzieć", jakich systemów tak naprawdę broni? Wystarczy, że wzorem narzędzi hakerskich zostanie wyposażony w pasywny skaner sieciowy - analizując ruch szybko stwierdzi, z jakimi systemami ma do czynienia, w jakich wersjach, jakie porty są na nich otwarte itd. Dodatkowym źródłem informacji o topologii sieci i działających w niej usługach może być skaner podatności, taki jak Nessus (który w przeciwieństwie do Snorta właśnie przestaje być rozwiązaniem otwartym - patrz ramka obok).

Jeśli dane o działających w sieci systemach i usługach są aktualizowane na bieżąco, system TIDS nie traci czasu i mocy obliczeniowej na analizę ruchu, który i tak nie wyrządzi krzywdy firmowej sieci. Może zatem wykonywać głębszą analizę ruchu rzeczywiście podejrzanego.

Nowy rynek zabezpieczeń

To oczywiście bardzo ogólna koncepcja, której szczegółowa implementacja napotyka wiele problemów, jak choćby aktualizacja sygnatur skanera podatności, a także bezpieczeństwo i precyzja wbudowanego w sam system TIDS skanera pasywnego. Na forach internetowych pojawiają się też opinie, że nie można opierać bezpieczeństwa sieci wyłącznie na sygnaturach, ponieważ bardziej wprawni włamywacze posługują się metodami niestandardowymi. Równolegle do analizy TIDS sugeruje się więc heurystykę, podejście statystyczne i inne metody.

Koncepcja TIDS wygląda na krok ku większej użyteczności rozwiązań IDS/IPS lub co najmniej niepogorszenia jej pod naporem rosnącej liczby zagrożeń. Wydaje się także właściwym kierunkiem myślenia o zarządzaniu bezpieczeństwem w organizacjach, które nie są w stanie pozwolić sobie na zatrudnienie kilku czy kilkunastu specjalistów zajmujących się bezpieczeństwem sieci. Check Point dostrzega w TIDS szansę na to, by pozostać liderem w dziedzinie funkcjonalności. Koncepcja ta nie została bowiem dotychczas zrealizowana w formie kompleksowego produktu - jedynie niektóre jej elementy funkcjonują w produktach takich firm, jak: Cisco (CTR, CS-MARS), ISS (Fusion) czy Tenable Security (Lightning Console).

Jeśli Check Point umiejętnie połączy Interspect z tym, co w dziedzinie TIDS - jak należy podejrzewać - Sourcefire smaży w zaciszu laboratoriów, na rynku IDS/IPS może zrobić się gorąco. Firmy takie jak Symantec i CA będą musiały dołożyć starań, by nadążyć za trendem. Cisco i ISS z kolei trudniej będzie wygrywać duże kontrakty na systemy zabezpieczeń, ponieważ ich odwieczny rywal Check Point, tak jak oni, będzie w przyszłości poszerzał swoją ofertę, stając się dostawcą kompleksowych rozwiązań. Kto wie, czy w dłuższym okresie nie skończy się to mariażem z większym graczem, np. Juniper Networks?

Snort pozostanie otwarty, Nessus - niekoniecznie

Choć Sourcefire stanie się najpewniej częścią Check Point, Snort pozostanie narzędziem dostępnym na zasadach open source. Tymczasem rozwiązanie używane często pospołu ze Snortem, skaner podatności Nessus firmy Tenable Security, traci właśnie status otwartego. Wersja 2 będzie rozwijana na licencji GPL, zaś udoskonalona wersja 3, choć pozostanie bezpłatna, będzie dostępna jedynie w formie binarnej, bez możliwości dokonywania w niej swobodnych zmian przez środowisko open source. Producent argumentuje, że nie jest w stanie wspierać dwóch wersji dla wielu platform, ale można przypuszczać, że w dłuższej perspektywie interesuje go komercjalizacja analogiczna do tej, jaka stała się udziałem Snorta.