Ukryte ataki i fałszywe alarmy nowe wyzwania dla narzędzi IDS

RealSecure OS Sensor jest komponentem pracującym w hoście, wykonującym monitorowanie włamań w czasie rzeczywistym, wykrywającym i zabezpieczającym przed szkodliwą działalnością przez analizę zdarzeń związanych z jądrem systemu, zapisami w dzienniku zdarzeń i działaniach sieciowych na kluczowych serwerach.

RealSecure Server Sensor obejmuje funkcje sensora OS, jak również monitorowanie ruchu sieciowego oraz inteligentne alarmy i zdolność blokowania; Server Sensor blokuje podejrzany ruch i przechwytuje pakiety, zanim osiągną system operacyjny. Monitoruje zarówno ruch wejściowy, jak i wyjściowy.

RealSecure WorkGroup Manager zapewnia scentralizowane zarządzanie, konfigurowanie, raportowanie i alarmy w czasie rzeczywistym dla wszystkich sensorów. Dostępne są również inne rozwiązania zarządzania, takie jak CLI (Command Line Interface) i SiteProtector. Komponentem używanym do interakcji z sensorami jest konsola. Centralnym komponentem WorkGroup Manager jest Event Collector (EC), odpowiedzialny za utrzymywanie stałych połączeń z sensorami i bazą danych. Tworzy on więc warstwę środkową w trzywarstwowej architekturze systemu IDS. Podstawowym zadaniem kolektora jest odbieranie informacji o zdarzeniach od sensorów, przechowywanie ich w bazie danych dla późniejszej analizy i dostarczanie alarmów w czasie rzeczywistym do każdej konsoli zarządzania.

SiteProtector jest centralną konsolą przeznaczoną dla dużych sieci przedsiębiorstw, do zarządzania i korelacji zdarzeń z dużej liczby sensorów i narzędzi oceny zagrożeń.

NetScreen-IDP 100

Jest to nowa nazwa urządzenia Intrusion Detection and Prevention (IDP) firmy OneSecure, przejętej we wrześniu 2002 przez NetScreen Technologies. Urządzenie łączy w sobie różne metody wykrywania włamań, współpracujące ze sobą w procesie identyfikacji ataków. Zawarty w IDP mechanizm MMD (Multi-Method Detection) integruje metody: Stateful Signature (sygnatury kontekstowe), Protocol Anomaly (wykrywanie anomalii protokołowych), Backdoor (wyszukiwanie tylnych furtek w systemach), Traffic Anomaly (identyfikacja nienormalnego ruchu), IP Spoofing (wykrywanie fałszywych adresów IP) oraz DoS Detection (wykrywanie ataków DoS). Urządzenie przewiduje także pułapki-przynęty. System charakteryzuje się architekturą trójwarstwową.

Statefull Signature Detection - metoda stosowna do pewnych form ataków, polegająca na porównywaniu sygnatur ataku z ruchem. IDP poszukuje wzorców ataków jedynie w takich fragmentach ruchu, gdzie mogą się one znajdować, co pozwala zrezygnować z przeglądania całego strumienia. Wszystkie sygnatury są dostępne z graficznego interfejsu użytkownika, który umożliwia również edycje nowych sygnatur lub modyfikację już istniejących.

Protocol Anomaly Detection - metoda stosowna do identyfikacji ataków metodą wyszukiwania odchyleń od protokołów stanowiących podstawę normalnego ruchu. Zasadniczo metoda ta weryfikuje ruch opierając się na opublikowanych specyfikacjach protokołów, wyszukując niewłaściwe stosowanie protokołów komunikacyjnych.

Backdoor Detection - produkt ma możliwość identyfikacji i zabezpieczenia przed atakami przez "tylne furtki". Ataki tego typu pozwalają zazwyczaj na przejęcie kontroli nad całym systemem lub aplikacją. Tylne furtki pozostawiane są często przez projektantów systemów, którzy używali ich na etapie uruchamiania, lub też są instalowane przez trojany dostające się do sieci. IDP identyfikuje unikatowe charakterystyki interaktywnego ruchu pomiędzy systemem a atakującym (różnorodne komendy systemowe) i uaktywnia alarm z chwilą napotkania niespodziewanej aktywności.

Traffic Anomaly Detection - wykrywanie ataków, które nie zawierają się w pojedynczej sesji, lecz wymagają kilku połączeń. Często są to misje rozpoznawcze, zbierające informacje o sieci dla przeprowadzenia przyszłych ataków. Wykrywanie anomalii w ruchu pozwala na identyfikację takiej aktywności przez porównywanie ruchu wejściowego z wzorcami ruchu normalnego. Pozwala to na wykrycie prób włamań składających się z wielu połączeń. Sondowanie sieci i skanowanie portów to właśnie przykłady tego typu ataków.

Network Honeypot - symulowanie nieistniejącej usługi polegające na wysyłaniu fałszywej informacji do napastnika próbującego sondować sieć. Każda próba połączenia się z taką usługą jest uważana za próbę hakerską, ponieważ w rzeczywistości usługa taka nie istnieje w systemie.