Системи за откриване на прониквания

Бъдещите системи за откриване на прониквания ще представляват хибрид между мрежово и сървърно базирани продукти, работещи с висока скорост и с подобрен анализ. Цените едва ли ще паднат. Проникването трябва да се засече навреме Стремеж към обединяване Въпреки че мрежово базираните IDS системи ще продължат да защитават периметъра на мрежата, бъдещето им е в хибридните решения, е мнението както на анализаторите, така и на производителите. Хост базираното “засичане” на прониквания представлява специален софтуер, който се стартира на сървъри и други хост платформи. Тези системи се ползват с предимство пред криптирани връзки като SSL Web сесии или VPN комуникации, тъй като “виждат” данните некриптирани. За разлика от тях мрежовите проследяващи системи не могат да декриптират данните и ги пускат да преминат. Някои атаки използват точно тази слабост на мрежовите IDS. Според продуктов мениджър от Sygate този вид системи могат да се разположат в критични точки, където се събира мрежовият трафик или има вход към външния свят, но само като част от една хибридна защита, която включва и всички видове IDS продукти. Продуктов специалист от Cisco е на мнение, че нивото на хост и мрежовите решения за откриване на прониквания ще се повиши. Според него мрежовите IDS предлагат по-всеобхватно покритие, особено когато са добре интегрирани в комуникационните устройства. Cisco Catalyst 6000 IDS може да бъде вграден в рутерите, комутаторите и PIX решенията на компанията. Задължително е обаче инсталиране на хост защита върху корпоративните и И’нет сървъри, които обслужват критични за бизнеса приложения. Cisco представи наскоро IDS Host Sensor, който допълва базирания на комутаторите от серията Catalyst IDS продукт. Работещ във фонов режим върху сървърите, този софтуер открива злоумишлена дейност и блокира достъпа до ресурси, за да не допусне сериозни повреди. Петърсън, IDS специалист от Enterasys, смята, че IDS ще представлява комбинация от технологии, които дават поглед върху цялата система на компанията и “знаят” какво се случва в сървърите, рутерите и комутаторите. Те препращат тази информация към интелигентна система, която може да взема правилните решения, базирайки се на събраните предупредителни съобщения и корелацията между тях. Интелигентен анализ Дали ще бъде направено от човек или машина, тълкуването на данните от IDS системите е необходимо. Факт е, че на обслужващия ИТ персонал често му липсват опит в сигурността. Според Гарсайд, бизнес директор в Computer Associates, хибридните IDS системи ще притежават изкуствен интелект, чрез който ще интерпретират правилно постъпващата от IDS “датчиците” информация за пропуски в защитата. Днешните IDS продукти включват събитийни и корелационни приложения. Те обаче не са достатъчно изпипани и компаниите продължават да правят усилия в тази посока. Cisco е вградила корелационни вериги в новата си управляваща конзола, така че IDS продуктите да събират информация от множество системи. Тъй като сигурността поставя големи предизвикателства пред корпоративния ИТ отдел, някои потребители търсят външна помощ от специализирани фирми, които да управляват IDS. Това решение трябва да се вземе внимателно, като се има предвид опитът на компанията в областта на сигурността, отпуснатия бюджет, надеждността на служителите и др. Филтриране на фалшиви тревоги Подобрения в IDS продуктите се очакват и по отношение на отсяването на лъжливите аларми. В ИТ отделите в големите корпорации често не достига персонал, който да се справи с хилядите предупреждения (98% от които се оказват фалшиви), които се генерират всеки ден. Понякога служителите по сигурността директно изключват алармирането, което обаче създава затруднения при офлайн анализа на събитията в системата. Някои производители на IDS са вградили средства за филтриране на фалшивите аларми. Продуктът на Computer Associates eTrust Intrusion Detection използва Java аплет, комбиниран със статистически правила. Устройството Stealth Watch на Lancope минимизира лъжливите “позивни” чрез т.нар. “индекс на интересите”, който характеризира с определено ниво на подозрителност към всеки хост, с който се осъществява комуникация, базирайки се на активността. Алармите се изпращат само тогава, когато това ниво е по-високо. Ако активността е по-ниска, подозрителните действия се записват в log файла, но не се изпращат предупредителни съобщения. Според Cisco настройката на IDS продуктите е насочена към специфични атаки, ще има малко фалшиви тревоги. Компанията вгражда база данни с информация за сигнатурите на атаките, включително описание на задвижващите механизми, в своя продукт Cisco IDS, познат доскоро като NetRanger. Администраторите могат да използват тази информация, за да настроят IDS системата към специфичните нужди на своята система. Cisco е вградила и механизми за ограничаване броя на повтарящите се аларми, изпращани към операторската конзола. Да отговорите ли на удара? Друг проблем е дали IDS трябва да изпреварва и предвижда атаките, вместо само да ги открива. Днешните продукти имат механизми за “избягване” на някои атаки, но тези функции са изключени по подразбиране. Потребителят трябва да вземе решение дали да използва тези механизми. Много специалисти по сигурността оспорват автоматичното избягване на атаките, тъй като се отваряли нови дупки в защитата спрямо външни хакери или в отговор на грешки. Тъй като IDS отговаря автоматично, системният администратор може да разбере доста късно, че даден потребител се е опитал да влезе в мрежата, а системата го е блокирала. По подобен начин ако хакер успее да “изиграе” IP адреса и да изпрати SYN flood атака към Web сървъра, той може да блокира достъпа на клиентите към него. В друг случай IDS може да интерпретира грешка (например някой, който използва неточен адрес за достъп до сървъра) като пробив. И в двата случая външните потребители не могат да ползват ресурсите на мрежата. Този проблем може да бъде решен с продукта на Captus Capt-IOG, базиран на правила. Те се задават от мрежовия администратор, който определя кои аларми да се изпращат. Продуктът подобрява политиката, като предлага 4 превантивни действия: съобщение за настъпило събитие; спиране на трафика (блокиране на атаката); регулиране на трафика (забавяне на потока данни, за да се осъществи анализ); пренасочване на трафика към специфична област. Според специалист от Cisco балансът между откриването и превенцията може да донесе допълнителни предимства на потребителя. Новият IDS Host Sensor на компанията предлага някои изпреварващи атаката функции. Те са на ниво ядро на ОС на хост устройството и прекъсват обажданията и атаките от злоумишлена система преди да е започнало тяхното изпълнение. Скоростта също е важна Мрежово базираните IDS продукти се стартират върху стандартни ОС и често не разполагат със системни ресурси, които да осъществяват анализ на трафика в реално време. В резултат те могат да се превърнат в най-тясното място на мрежата и да предизвика задръствания. Производителите на IDS се справят с проблема по различни начини. Cisco добавя IDS възможности като модул към серията комутатори Catalyst 6000, които могат да обработват изцяло запълнена дуплексна 100 Mbps връзка. Но дори тази скорост не е достатъчна за днешните мрежови среди. Затова фирмите разработват по-високоскоростни решения. Cisco обявява, че проектира изключително бързи устройства, базирани на специализирани ИС, които да “счупят” бариерата 100bps на сегашните IDS. NetIQ пък планира да оптимизира своя код и да увеличи RAM, така че Security Manager да обработва високоскоростен трафик. Enterasys разработва по-бързи методи за анализ и обработка на пакетите в мрежата, като проектира и по-бързи машини и архитектури за политики по сигурността. Производителят работи и върху специализиран хардуер, който предлага много по-скоростно мрежово базирано засичане на прониквания. Някои компании пишат софтуер, който да обработва и анализира по-бързо пакетите. Computer Associates обяви, че работи върху ефективността на софтуера и зареждането на правила в RAM, което ще подобри ефективността на нейната система за пакетен анализ. Цените не падат IDS и другите продукти за сигурност все още са в развойна фаза и трябва да изминат дълъг път, докато се превърнат в масови стоки. Затова цените на повечето продукти се запазват на същото ниво, дори понякога се повишават, тъй като компаниите вкарват в тях нови функции и управляващи възможности.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!