Łączenie sił

Systemy oparte na monitorowaniu sieci skupiają się na ochronie obszaru sieci, a wykrywanie wtargnięć metodą hostową opiera się na specjalnym oprogramowaniu pracującym na serwerach i innych platformach typu "host". Przyszłością IDS są jednak rozwiązania hybrydowe.

Systemy oparte na hostach maja przewagę w połączeniach szyfrowanych, takich jak sesje webowe SSL (Secure Socket Layer) czy połączeniach VPN, ponieważ mają dostęp do danych nie zaszyfrowanych. Systemy sieciowe wykrywania włamań nie mogą deszyfrować danych, muszą więc przepuszczać pakiety zaszyfrowane i niektóre typy ataków wykorzystują właśnie ten fakt.

Natomiast IDS węzłów sieci, umieszczane w newralgicznych punktach sieci, mogą zapewnić dodatkowy poziom ochrony w ramach hybrydowego podejścia do wykrywania włamań, łączącego różne typy produktów IDS.

IDS stają się kombinacją różnych technik, obejmujących podejścia sieciowe, hostowe i hybrydowe. Celem jest uzyskanie wglądu w to, co się dzieje w obrębie całej infrastruktury informatycznej: na ruterach, przełącznikach i serwerach, i przekazywanie takich informacji do systemów, które mogą podejmować odpowiednie decyzje w oparciu o zebrane i skorelowane powiadamianie o zdarzeniach nadchodzących ze wszystkich punktów infrastruktury.

Inteligencja pilnie potrzebna

Do analizowania danych dostarczanych przez IDS niezbędna jest inteligencja - zarówno ludzka, jak i sztuczna. Ta ostatnia jest coraz bardziej pożądana, ponieważ wysoko kwalifikowanych specjalistów od zagadnień bezpieczeństwa nie jest zbyt wielu.

Hybrydowe rozwiązania IDS rozwijają się właśnie w kierunku sztucznej inteligencji, która jest niezbędna do prawidłowego interpretowania obszernych informacji z zakresu bezpieczeństwa dostarczanych przez produkty IDS.

Dostępne na rynku produkty IDS zawierają już aplikacje korelacji zdarzeń, nie wszystkie co prawda wysoko zaawansowane.

Ponieważ bezpieczeństwo jest poważnym wyzwaniem dla przeciętnego zespołu informatycznego, niektórzy użytkownicy decydują się na outsourcing w tym zakresie.

Filtrowanie alarmów fałszywych

Innym obszarem ulepszeń w produktach IDS jest filtrowanie fałszywych alarmów. Alarmy takie stanowią poważny problem z powodu obciążania systemu nadmierną analizą zdarzeń, a z drugiej strony duży procent fałszywych alarmów - dochodzący niekiedy do dziewięćdziesięciu - powoduje spadek czujności personelu (nierzadko wyłącza się alarmy z powodu natarczywości "fałszywek" i analizowania zdarzeń post factum).

Szereg pakietów zawiera możliwości filtrowania pod kątem alarmów fałszywych. Do tego celu używane są aplety Javy (CA eTrust Intrusion Detection) w połączeniu z regułami statystycznymi. Innym stosowanym mechanizmem jest tzw. concern index, przypisujący każdej komunikacji hosta z siecią "poziom podejrzenia". Alarmy są generowane jedynie wtedy, gdy poziom podejrzenia osiągnie zadany próg. W pozostałych przypadkach zdarzenia są rejestrowane, ale alarmy nie są włączane. Cała rzecz sprowadza się właściwie do odpowiedniego strojenia środków IDS w oparciu o bazę danych wzorców ataków.

Problemy reakcji na atak

Kolejną kwestią jest odpowiedź na atak bezpośrednio po jego wykryciu. Dostępne produkty IDS zawierają mechanizmy pozwalające na zapobieżenie atakowi - są one zazwyczaj włączane na żądanie, tzn. decyzja o ich włączeniu musi być podjęta w sposób świadomy przez użytkownika.

Wielu specjalistów od zagadnień bezpieczeństwa uważa, że automatyczne odpieranie ataków otwiera również hakerowi drogę do poszukiwania nowych form działania, a także może prowadzić do nieprzewidzianych zachowań systemu w stosunku do użytkownika końcowego. Ponieważ IDS odpowiada automatycznie, to może się zdarzyć, że zablokuje klientowi dostęp do całej sieci na dłuższy czas (zanim obsługa techniczna uświadomi sobie ten fakt).

Napastnik może sfałszować adres IP i wysłać atak strumienia SYN do serwera webowego dla zablokowania legalnego dostępu właściciela tego adresu.

Inny przykład: IDS może zinterpretować omyłkę - użycie niepoprawnego adresu w dostępie do serwera - jako próbę skanowania przed atakiem. W tym przypadku klienci zewnętrzni zostaną odcięci od dostępu do zasobów sieci na czas, aż uświadomi to sobie obsługa sieci.

Problemy takie są rozwiązywane między innymi przez udostępnienie możliwości automatycznego usuwania blokad prewencyjnych - po upływie określonego czasu. Oferowane są także inne akcje prewencyjne: powiadomienie o zaistnieniu incydentu, wstrzymanie ruchu (zatrzymanie ataku), dławienie ruchu (spowolnienie ruchu w celu umożliwienia przeprowadzenie jego analizy) lub przekierowanie ruchu do określonego miejsca.

Stosuje się też rozwiązania prewencyjne umiejscawiane na poziomie jądra systemu operacyjnego hosta (Cisco IDS Host Sensor), przechwytujące podejrzane wywołania systemu i ataki, zanim zostaną one wykonane.