Trendy IT bezpečnosti - díl IV.

Detekce narušení Počítačoví narušitelé přicházejí se stále dokonalejšími útoky a bezpečnostních incidentů n...


Detekce narušení
Počítačoví narušitelé přicházejí se stále dokonalejšími útoky a bezpečnostních
incidentů neustále přibývá. Stranou ovšem nezůstávají ani výrobci
bezpečnostního softwaru. Nejdiskutovanějším fenoménem posledních let v této
oblasti jsou jednoznačně systémy pro detekci narušení, zkráceně IDS.
Firewall již delší dobu nepředstavuje dostatečnou ochranu sítě, ale pouze její
první a nezbytný prvek. Dojde-li však k jeho překonání, útočník má možnost se
nepozorovaně pohybovat po napadené síti. Stejně tak je firewall bezmocný, když
je útočníkem interní uživatel nebo když je útok realizován přes komutované
linky či bezdrátovou síť. Zde pomůže IDS.
IDS se dělí na dvě základní oblasti síťové a tzv. host. Kvalitně zabezpečená
infrastruktura oba tyto přístupy kombinuje. Síťová detekce pracuje jako ochrana
před útoky první fáze. Jestliže při pokusu o napadení náhodně vybraného cíle
systém nepustí externího narušitele dále, ale ukončí i veškerá jeho spojení,
zablokuje další přístup a případně se pokusí o zpětnou lokalizaci, útočník
znejistí. Neví, proti jak nebezpečným systémům stojí, tudíž si většinou ihned
vybere jiný cíl. Technicky pracuje síťová detekce tak, že se do infrastruktury
nasadí několik sledovacích sond, které v reálném čase analyzují procházející
datový tok a v případě výskytu podezřelé sekvence bitů reagují podle
předdefinované politiky. Mezi nejčastější reakce patří zpráva administrátorovi,
ukončení uživatelské session, posílení firewallu a spuštění vlastních skriptů.
V poslední době je patrný přesun k centralizovanému řešení síťové detekce.
Namísto například deseti serverů se prosazuje snaha nahradit všechny sondy
jedním výkonným serverem s mnoha síťovými rozhraními, což pomáhá snižovat TCO.
Nezbytností je podpora Gigabit Ethernetu a spolupráce s předními firewally.
Dění na konkrétních serverech hlídá detekce narušení typu host. Klientská část
těchto systémů se instaluje na chráněné počítače a veškeré chování přihlášených
uživatelů je těmito "agenty" vyhodnocováno v reálném čase. Pokud uživatel začne
provádět nepovolené operace, je neprodleně odhlášen, jeho aktivity negovány a
oznámeny administrátorovi. Význam host detekce se projevuje zejména při ochraně
před interními útočníky.
Oblast detekce narušení zažívá prudký rozvoj, přičemž nejvýraznější trendy jsou
už dnes známé. Na prvním místě jde o požadavek na rychlejší a jednodušší
nasazení a správu. Po počátečních, často neuvážených nákupech, začínají
zákazníci zjišťovat, že detekce narušení vyžaduje korektní konfiguraci, časté
aktualizace a možnost modifikace všech parametrů, a proto klesá zájem o
"univerzální" IDS tradičních výrobců síťových prvků. Moderní systémy pro
detekci narušení jsou výrazně inteligentnější a častý nedostatek raných
implementací vysoké procento falešných poplachů už dnes není problémem.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.