Θεματική Αναζήτηση

Intrusion Detection Systems

Από τα χρησιμότερα συστήματα ασφάλειας υποδομής πληροφορικής

Tα IDS είναι συστήματα που σώζουν καταστάσεις αλλά όχι μόνα τους. Το να πει κάποιος ότι μία επιχείρηση είναι απαραίτητο -εφόσον είναι από ένα μέγεθος και πάνω- να έχει IDS στο πλαίσιο της γενικότερης πολιτικής ασφάλειας και της συγκεκριμένης στρατηγικής της στο ζήτημα είναι απολύτως ακριβές. Αυτό, όμως, δεν σημαίνει ότι μπορεί να μην έχει τίποτα από όσα προαναφέρθηκαν και να έχει IDS. Επίσης, πρέπει να γίνει συνείδηση ότι η ανυπαρξία πολιτικής ασφάλειας -τόσο για τους εξουσιοδοτημένους χρήστες των συστημάτων της επιχείρησης όσο και για τους εξωτερικούς χρήστες- είναι ένα λάθος που αργά ή γρήγορα πληρώνεται και ότι η συγκεκριμένη έλλειψη δεν αναπληρώνεται με την προμήθεια ενός συστήματος ή μίας λύσης σε προϊοντικό επίπεδο.

 
Τι είναι τα Intrusion Detection Systems (IDSs)
Ο όρος “Intrusion Detection” σημαίνει “Ανίχνευση Επιθέσεων” και έχει να κάνει με την παρακολούθηση των γεγονότων που συμβαίνουν σε ένα σύστημα ή ένα δίκτυο και την ανάλυσή τους για σημάδια επιθέσεων. Οι επιθέσεις πραγματοποιούνται από άτομα που έχουν πρόσβαση στους στόχους τους μέσω του Internet, από εξουσιοδοτημένους χρήστες που προσπαθούν να αποκτήσουν περισσότερα δικαιώματα από αυτά που τους έχουν δοθεί και από εξουσιοδοτημένους χρήστες που εκμεταλλεύονται τα δικαιώματα που τους έχουν δοθεί με τρόπο που μπορεί να βλάψει την επιχείρηση, ηθελημένα ή μη. Η εξέλιξη των IDSs είναι ραγδαία τα τελευταία χρόνια και συνεχώς γίνονται προσπάθειες για τη βελτίωσή τους, κυρίως στον τομέα των συμπτωμάτων από False Positives και False Negatives που παρουσιάζουν.
 
Με την τρέχουσα μορφή τους τα IDSs παρέχουν σημαντική υποστήριξη στα ήδη υπάρχοντα μέτρα προστασίας ενός δικτύου και σε συνδυασμό με άλλους μηχανισμούς ασφάλειας αποτελούν σημαντικό εργαλείο για την αποτροπή δικτυακών επιθέσεων. False Positives ονομάζονται οι λανθασμένες επισημάνσεις που παράγει ένα IDS όταν ανιχνεύει κάποιο γεγονός ως περίπτωση πιθανής επίθεσης ενώ δεν είναι. Τα False Positives είναι δυνατόν να προκύψουν από κακή ρύθμιση ή από περιπτώσεις γεγονότων που δεν μπορούν να διαχωριστούν από μία επίθεση, ως “συμπεριφορά” των συστημάτων που εμπλέκονται. Από την άλλη μεριά, False Negatives είναι οι περιπτώσεις επιθέσεων τις οποίες το IDS δεν κατάφερε να επισημάνει μετά την εξέτασή τους, κάτι που συνήθως συμβαίνει κατά την εμφάνιση νέας επίθεσης για την οποία δεν υπάρχει προηγούμενη περιγραφή.
 
Πού είναι απαραίτητα
Τα εν λόγω συστήματα δεν είναι παντού και πάντα απαραίτητα. Είναι απαραίτητα σε μεγάλες επιχειρήσεις ή σε μικρότερες με ιδιαίτερα εκτεταμένα δίκτυα, πολλούς χρήστες με μεγάλη γεωγραφική διασπορά, σε περιπτώσεις πολλαπλότητας δικτύων, εν ολίγοις σε πολύπλοκα περιβάλλοντα. Η Ανίχνευση Επιθέσεων επιτρέπει στις επιχειρήσεις αυτές να προστατεύουν τα συστήματά τους και τις πληροφορίες που βρίσκονται σε αυτά από κινδύνους που προκύπτουν από την αυξημένη δικτυακή διασύνδεση μεταξύ των συστημάτων τους.
 
Υπάρχουν διάφοροι λόγοι για τους οποίους είναι απαραίτητη η χρήση των IDSs σε αυτές τις περιπτώσεις. Πρώτα και κύρια, τα συγκεκριμένα συστήματα χρησιμεύουν για την ανίχνευση επιθέσεων και άλλων παραβιάσεων ασφάλειας που δεν ανιχνεύονται από άλλα μέτρα προστασίας. Συγκεκριμένα, για την ανίχνευση επιθέσεων στις οποίες ενυπάρχει έντονα ο ανθρώπινος παράγοντας, οπότε οι παράμετροί τους είναι πολλές και συχνά μη ανιχνεύσιμες μέχρι την τελευταία στιγμή. Σε περιβάλλοντα με πολλά συστήματα ο διαχειριστής συνήθως δεν έχει ούτε τη δυνατότητα ούτε το χρόνο να ενημερώνει τα συστήματα που πρέπει με νέες διορθώσεις των αδυναμιών ασφάλειάς τους. Ο συχνότερος κίνδυνος σε ανάλογα περιβάλλοντα προέρχεται από χρήστες των συστημάτων, οι οποίοι κάνουν χρήση διαφόρων λογισμικών που θεωρούνται επικίνδυνα, με την έννοια ότι μπορούν να προκαλέσουν κενά ασφάλειας σε ένα σύστημα. Επιπρόσθετα, τόσο οι διαχειριστές όσο και οι χρήστες κάνουν συχνά λάθη στη ρύθμιση και τη χρήση των συστημάτων και των υπηρεσιών που προσφέρουν.
 
Τελευταίος λόγος πρέπει να θεωρηθεί η ελλειμματική ενημέρωση με διόρθωση των κενών ασφάλειας από τους οίκους ανάπτυξης λογισμικού. Αυτοί ενημερώνουν συχνά τις λύσεις τους με updates και αναβαθμίσεις. Σε θέματα ασφάλειας, ωστόσο, οι αναβαθμίσεις αυτές προκύπτουν αφού εκδηλωθούν κάποια προβλήματα. Συνεπώς, κανείς διαχειριστής συστήματος δεν μπορεί να αφεθεί στα χέρια τους και να περιμένει ότι οι λύσεις τους θα τον προστατεύσουν απόλυτα. Το ίδιο ισχύει για κάθε σύστημα, όπως και για τα IDSs, αλλά δεδομένου ότι αυτά έχουν διαφορετικούς τρόπους αναγνώρισης των κινδύνων, σε συνεργασία με άλλα προϊόντα μπορούν να φέρουν ένα καλύτερο αποτέλεσμα.
 
Η χρησιμότητα των IDSs δεν περιορίζονται μονάχα στα παραπάνω, αλλά επεκτείνεται στην ανίχνευση αναγνωριστικών ενεργειών που προηγούνται μίας επίθεσης. Ο επιτιθέμενος συνήθως εξετάζει τον υποψήφιο στόχο του, ώστε να συγκεντρώσει πληροφορίες για αυτόν και να εντοπίσει ένα σημείο εσόδου, το οποίο θα του επιτρέψει να πραγματοποιήσει την επίθεση με επιτυχία. Αυτό επιτυγχάνεται μέσω του scanning. Χωρίς την ύπαρξη ενός IDS ο επιτιθέμενος είναι πολύ πιθανό να πραγματοποιήσει τις αναγνωριστικές κινήσεις του ανενόχλητος και χωρίς να γίνει αντιληπτός. Ένα IDS θα είχε τη δυνατότητα να εντοπίσει τις κινήσεις αυτές του επιτιθέμενου και να πάρει κάποια μέτρα, όπως να καταγράψει το γεγονός, να ειδοποιήσει σχετικά τους υπεύθυνους ασφάλειας ή και να εμποδίσει τον επιτιθέμενο να τις ολοκληρώσει. Συγχρόνως, τα συστήματα αυτά συμβάλλουν στην αποτελεσματικότερη σχεδίαση και εφαρμογή πολιτικής ασφάλειας. Με τη χρήση των IDSs συλλέγονται πληροφορίες και παρατηρούνται patterns από ενέργειες που πραγματοποιούνται καθημερινά εναντίον ενός δικτύου και των συστημάτων του, τα οποία μπορούν να βοηθήσουν στη σχεδίαση πιο αξιόπιστων μέτρων ασφάλειας, προσαρμοσμένων έτσι ώστε να αντιμετωπίζουν τα γεγονότα και τους κινδύνους που απειλούν το συγκεκριμένο δίκτυο και να οδηγούν στην αποτελεσματικότερη προστασία του.
 
Οι φυλές...
Τα IDSs κατηγοριοποιούνται με βάση τις πηγές της πληροφορίας που χρησιμοποιούν, από τις οποίες προκύπτουν τα γεγονότα που αναλύονται σε επόμενο στάδιο, ώστε να ανιχνευθεί μία επίθεση. Κάποια IDSs για την ανίχνευση των επιθέσεων παρακολουθούν και αναλύουν πακέτα που ανήκουν στο traffic ενός δικτύου, το οποίο μπορεί να είναι ένα δίκτυο κορμού ή ένα τμήμα ενός τοπικού δικτύου (LAN). Άλλα IDSs παρακολουθούν και αναλύουν πληροφορία που εξάγεται από το λειτουργικό σύστημα ή από τις εφαρμογές ενός συστήματος. Έτσι, υπάρχουν τα Network IDSs (NIDSs) και τα Host IDSs (HIDSs).
 
Τα NIDSs παρακολουθούν και αναλύουν κάθε πακέτο που διακινείται σε ένα δίκτυο. Ένα NIDS που έχει εγκατασταθεί συνηθέστερα στο switch ενός δικτύου επεξεργάζεται κάθε πακέτο που περνά από αυτό το σημείο, προστατεύοντας κάθε σύστημα συνδεδεμένο στο δίκτυο. Τα NIDS αποτελούνται από συστήματα (τα επονομαζόμενα sensors) που τοποθετούνται σε διάφορα σημεία ενός δικτύου. Κάθε sensor εκτελεί όλες τις λειτουργίες του NIDS και είναι ένα σύστημα αφιερωμένο αποκλειστικά σε αυτές. Τα sensors παρακολουθούν το traffic του δικτύου, αναλύουν τοπικά τα πακέτα σε πραγματικό χρόνο και καταγράφουν τα αποτελέσματά τους τοπικά και απομακρυσμένα σε ένα κεντρικό σύστημα και συνήθως λειτουργούν σε Stealth Mode, για να μην είναι δυνατόν για τον επιτιθέμενο να αντιληφθεί τη θέση ή και την ύπαρξή τους. Ελάχιστα sensors μπορούν να προστατεύσουν ένα πολύ μεγάλο δίκτυο, ενώ η υλοποίηση ενός NIDS σε ένα δίκτυο επηρεάζει ελάχιστα τη λειτουργία του. Τα sensors αυτά στις περισσότερες περιπτώσεις είναι παθητικές συσκευές που απλώς παρακολουθούν και επεξεργάζονται το traffic του δικτύου χωρίς να παρεμβάλλονται στην κανονική λειτουργία του. Η προσθήκη τέτοιων συσκευών σε ένα δίκτυο γίνεται χωρίς κάποιος καν να χρειαστεί να κάνει επανεκκίνηση στο δίκτυο τις περισσότερες φορές - αν και αυτό είναι πάγια πρακτική των εγκαταστατών, για να είναι βέβαιοι ότι όλα δουλεύουν ρολόι.
 
Εντούτοις, η εν λόγω τεχνική εκλογή παρουσιάζει καμιά φορά προβλήματα σε δίκτυα με εξαιρετικά μεγάλο traffic. Τα προβλήματα προκύπτουν όταν, σε περιόδους που το traffic κυμαίνεται σε πολύ υψηλό επίπεδο, το NIDS δεν έχει τους πόρους να επεξεργαστεί όλα πακέτα, με αποτέλεσμα να αγνοεί ορισμένα, κάτι που μπορεί να οδηγήσει στην αποτυχία αναγνώρισης μίας επίθεσης. Η λύση δίνεται με NIDSs που έχουν μορφή hardware, κάτι που τα κάνει πιο γρήγορα και ανθεκτικά, αλλά παράλληλα πιο ακριβά. Ένα άλλο ζήτημα είναι η ανάλυση της πληροφορίας σε κρυπτογραφημένη μορφή. Τουλάχιστον το ένα τρίτο της κίνησης ενός εταιρικού δικτύου διακινεί τέτοιου είδους δεδομένα, καθώς ολοένα περισσότερα εξαγόμενα επιχειρηματικών εφαρμογών διακινούνται σε κρυπτογραφημένη μορφή. Υπάρχει λύση στο ζήτημα, αλλά αυτό κάνει την επεξεργασία των δεδομένων πιο αργή. Τέλος, τα περισσότερα NIDSs δεν μπορούν να αναγνωρίσουν αν μία επίθεση ήταν επιτυχής ή όχι, αλλά περιορίζονται στην επισήμανση της εμφάνισης μίας επίθεσης και των συστημάτων που είχε στόχο.
 
Η δεύτερη “φυλή” των IDSs είναι τα Host IDSs (HIDSs). Τα HIDSs λειτουργούν με την πληροφορία που συλλέγεται από μόνο ένα σύστημα, το οποίο και προστατεύουν, η δε λογική της χρήσης τους λέει ότι κάθε σύστημα προστατεύεται από ένα ξεχωριστό HIDS. Αυτό επιτρέπει στα HIDSs να προσφέρουν λεπτομερή πληροφόρηση για μία επίθεση, δίνοντας πληροφορίες για τις διαδικασίες και τους χρήστες που έλαβαν μέρος στη συγκεκριμένη επίθεση στο σύστημα που προστατεύουν, ενώ έχουν τη δυνατότητα να ελέγχουν το αποτέλεσμα μίας επίθεσης, καθώς έχουν άμεση πρόσβαση στο σύστημα-στόχο των επιτιθέμενων, προκειμένου να παρακολουθούν τα αρχεία και τις διαδικασίες.
 
Εδώ και μερικά χρόνια τα HIDSs προσφέρουν τη δυνατότητα χρήσης μίας κοινής κονσόλας διαχείρισης και ελέγχου πολλών συστημάτων, διευκολύνοντας έτσι τη χρήση τους. Τα HIDSs, καθώς λειτουργούν τοπικά στο σύστημα που προστατεύουν, έχουν τη δυνατότητα να ανιχνεύουν επιθέσεις μη ανιχνεύσιμες από τα NIDSs και να λειτουργούν σε περιβάλλοντα όπου η επικοινωνία μεταξύ των συστημάτων γίνεται de facto σε κρυπτογραφημένη μορφή (VPNs), καθώς εξετάζουν την πληροφορία πριν αυτή κρυπτογραφηθεί από το σύστημα αποστολέα και αφού αυτή αποκρυπτογραφηθεί από το σύστημα παραλήπτη, χωρίς να προκαλούν καθυστερήσεις. Τα HIDSs έχουν τη δυνατότητα να ελέγχουν και να επιβεβαιώνουν το αποτέλεσμα μίας επίθεσης στο σύστημα που προστατεύουν. Ωστόσο, τα HIDSs είναι δύσκολα στην εγκατάστασή τους, καθώς πρέπει να ρυθμιστούν ξεχωριστά για κάθε υπό παρακολούθηση σύστημα, είναι δε επιρρεπή σε επιθέσεις που έχουν στόχο το σύστημα που προστατεύουν, καθώς αφενός υλοποιούνται τοπικά και αφετέρου οι επιθέσεις από hackers στοχεύουν την παραβίαση της περιμετρικής ασφάλειας με στόχο συγκεκριμένο σύστημα στο οποίο το HIDS εμφανίζεται ως υποσύστημα, άρα μπορεί να απενεργοποιηθεί. Για το λόγο αυτό σε κανένα δίκτυο δεν έχει νόημα κάποιος να χρησιμοποιήσει μόνο του ένα υποσύστημα HIDS ή ένα NIDS, συνήθως οι υλοποιήσεις περιλαμβάνουν και τα δύο.
 
Επίσης, τα HIDSs δεν μπορούν να εντοπίσουν “αναγνωριστικές πτήσεις” του επιτιθέμενου (scans κ.λπ. που γίνονται μέσω των gateways και των routers στο σύνολο του δικτύου και δεν στοχοποιούν αρχικά κανένα σύστημα ξεχωριστά). Τέλος, τα HIDSs χρησιμεύουν ενάντια στο γενικότερο σύστημα λαμβάνοντας μέρος σε επιθέσεις Denial of Service (DoS) ή απλώς διακόπτουν τη λειτουργία τους όταν εκδηλώνεται μία ανάλογης μορφής επίθεση.
 
... και οι οικογένειες
Υπάρχουν τρεις προσεγγίσεις για την ανάλυση των επιθέσεων:
 
  • Misuse Detection. Εντοπισμός ύποπτων κινήσεων για τις οποίες το σύστημα “ξέρει” ότι ως σύνολο συνήθως αφορούν σε επίθεση εν τη γενέσει της.
  • Anomaly Detection. Εντοπισμός δραστηριότητας που, αν και δεν είναι καταγραμμένη ως pattern επίθεσης μέχρι σήμερα, δεν φαίνεται φυσιολογική αναφορικά με τη χρήση των συγκεκριμένων υποσυστημάτων που εμπλέκει ή, εναλλακτικά, των δεδομένων που διακινεί μέσω πολλαπλών υποσυστημάτων.
  • Protocol Anomaly Detection. Παραλλαγή της Anomaly Detection, με τη διαφορά ότι ελέγχει τη δραστηριότητα που έχει σχέση με τη λανθασμένη, μη φυσιολογική χρήση των πρωτοκόλλων επικοινωνίας στο εταιρικό δίκτυο.
 
Η τεχνική του Misuse Detection ελέγχει τη δραστηριότητα ενός δικτύου για τον εντοπισμό γεγονότων που μπορεί να ταιριάζουν με προκαθορισμένα πρότυπα συμβάντων που περιγράφουν μία γνωστή επίθεση. Τα πρότυπα αυτά ονομάζονται signatures και για το λόγο αυτό η συγκεκριμένη τεχνική ονομάζεται και Signature-based detection. Ένα signature συνήθως περιγράφει κάποια χαρακτηριστικά ενός πακέτου. Η τεχνική αυτή ανιχνεύει επιθέσεις χωρίς να παράγει πολύ μεγάλο αριθμό από False Positives και ανιχνεύει αξιόπιστα το εργαλείο που χρησιμοποιήθηκε για να υλοποιηθεί η επίθεση. Βασικό μειονέκτημά της ότι μπορεί να ανιχνεύει μόνο επιθέσεις που έχουν εκδηλωθεί στο παρελθόν.
 
Η τεχνική του Anomaly Detection προσπαθεί να εντοπίσει ασυνήθιστη συμπεριφορά ενός συστήματος. Αρχικά, με τη μέθοδο του Anomaly Detection δημιουργούνται πρότυπα (patterns) που αντιπροσωπεύουν τη φυσιολογική συμπεριφορά των χρηστών ή των συστημάτων ή του traffic ενός δικτύου. Τα πρότυπα αυτά χτίζονται από δεδομένα που συλλέγονται κατά την κανονική λειτουργία και αποτελούν το δείγμα φυσιολογικής δραστηριότητας. Η δημιουργία των patterns είναι το πιο δύσκολο κομμάτι της τεχνικής του Anomaly Detection, καθώς η δραστηριότητα ενός δικτύου ή ενός συστήματος παρουσιάζει πολλές διακυμάνσεις και δεν είναι εύκολο να μοντελοποιηθεί. Στη συνέχεια συλλέγονται δεδομένα από τα συμβάντα που έχουν εκδηλωθεί. Σε αυτόν τον τομέα έχουν υπάρξει οι περισσότερες εξελίξεις τα τελευταία χρόνια και θεωρείται πλέον το βασικό πλεονέκτημα των IDSs απέναντι στις αυξανόμενης πολυπλοκότητας επιθέσεις που εκδηλώνονται προς εταιρικά δίκτυα. Βασικό πλεονέκτημα της τεχνικής είναι ότι μπορεί να εντοπίζει κάποια ασυνήθιστη δραστηριότητα, γι’ αυτό και ανιχνεύει συμπτώματα μίας επίθεσης χωρίς να απαιτείται πρότερη καταγραφή λεπτομερειών για αυτή.
 
Η τεχνική Protocol Anomaly Detection έχει εμφανιστεί τα τελευταία χρόνια στο χώρο των IDSs και ουσιαστικά είναι μία Anomaly Detection. Η διαφορά έγκειται στο γεγονός ότι η Protocol Anomaly Detection ελέγχει τη δραστηριότητα του δικτύου αναφορικά με τη σωστή χρήση των πρωτοκόλλων επικοινωνίας με έμφαση στα πρωτόκολλα εκείνα που τρέχουν σε περιβάλλον IP. Η θεωρητική χρήση των πρωτοκόλλων ορίζεται σε επίσημα, ευρέως αποδεκτά έγγραφα, τα RFCs (Request For Comments), τα οποία περιγράφουν τα στάνταρ που κάθε πρωτόκολλο πρέπει να ακολουθεί όταν υλοποιείται. Οι επιθέσεις που στηρίζονται στη μη φυσιολογική χρήση των πρωτοκόλλων αποβλέπουν στο γεγονός ότι τέτοιου είδους ενέργειες έχουν παραβλεφθεί από τα RFCs ή στην κακή υλοποίηση και εφαρμογή των κανόνων που περιγράφονται στα RFCs από διάφορους κατασκευαστές λειτουργικών συστημάτων και λογισμικών γενικότερα. Η τεχνική του Protocol Anomaly Detection μπορεί να εντοπίζει επιθέσεις που δεν έχουν επαναληφθεί και γενικότερα επιθέσεις για τις οποίες δεν υπάρχει προηγούμενη γνώση και εξάγει πληροφορίες οι οποίες στη συνέχεια χρησιμοποιηούνται οι ίδιες ως patterns.
 
Αντίδραση
Το σημαντικότερο εργαλείο για τη βοήθεια των διαχειριστών ενός συστήματος είναι το υποσύστημα του IDS, που ονομάζεται Response. Ουσιαστικά, πρόκειται για την παρουσίαση με αποτελεσματικό τρόπο των δεδομένων που έχουν συλλεχθεί τόσο σε real time όσο και αργότερα αναφορικά με τα αποτελέσματα των αναλύσεων. Τα responses κατηγοριοποιούνται σε Active, Passive και Mixed (δηλαδή Active & Passive συνδυασμένα στην ίδια λειτουργία).
Τα Active Responses είναι αυτοματοποιημένες ενέργειες που εκτελούνται από το IDS όταν ανιχνεύει συγκεκριμένους τύπους επιθέσεων. Υπάρχουν τρία είδη Active Responses. Το πρώτο αφορά στη συλλογή περαιτέρω πληροφοριών για την επίθεση. Όταν το IDS εντοπίζει πιθανή επίθεση, μπορεί, για παράδειγμα, να αυξήσει το επίπεδο ευαισθησίας των πηγών πληροφόρησης που αξιοποιεί, προκειμένου να συλλεχθούν περισσότερα στοιχεία για μία πιθανή επίθεση. Το δεύτερο στάδιο είναι η αναχαίτιση της επίθεσης σε πραγματικό χρόνο. Ουσιαστικά, το θέμα αυτό είναι πιο απλό από όσο φαίνεται, γι’ αυτό σε σοβαρές καταστάσεις σπάνια αποδίδει τα προσδοκώμενα. Στη διάρκεια αυτής της διαδικασίας το IDS εμποδίζει τα πακέτα που έχουν διεύθυνση IP από την οποία φαίνεται ότι προέρχεται ο επιτιθέμενος και δεν αντιδρά στις παραμέτρους της επίθεσης.
 
Τα τελευταία χρόνια έχει γίνει μία προσπάθεια βελτιστοποίησης αυτού του σταδίου ή, ακόμα, προσθήκης ενός τέταρτου είδους Active Response, το οποίο με τη χρήση τεχνικών AI (Artificial Intelligence) αλλάζει ή διαφοροποιεί την εσωτερική διευθυνσιοδότηση του δικτύου στη διάρκεια της επίθεσης, με αποτέλεσμα να αλλάζει η εικόνα του δικτύου προς τα λογισμικά που χρησιμοποιούν οι επιτιθέμενοι. Ωστόσο, αυτή η ενέργεια μόνη της δεν είναι αποδοτική, οπότε σε αυτήν εμπλέκονται και άλλες ενέργειες από υποσυστήματα της περιμετρικής ασφάλειας ενός δικτύου. Το τρίτο είδος Active Response αφορά στην αυτοματοποιημένη δράση κατά του επιτιθέμενου. Η δυνατότητα υπάρχει στα περισσότερα πακέτα της αγοράς, αλλά σπάνια ενεργοποιείται, καθώς η συλλογή δεδομένων για το/τα δίκτυα που αξιοποίησε ο χρήστης που επιτέθηκε σε ένα δίκτυο θεωρείται παράνομη στις περισσότερες χώρες της Ε.Ε. και στις ΗΠΑ. Ωστόσο, η επιλογή ενεργοποιείται όταν οι υποδομές εγκαθίστανται σε οργανισμούς που διαχειρίζονται ευαίσθητα δεδομένα.
 
Τα Passive Responses είναι η μέθοδος παρουσίασης των στοιχείων μίας επίθεσης που εκδηλώθηκε προς τον administrator. Ουσιαστικά, πρόκειται για ένα υποσύστημα ειδοποιήσεων (Alerts).
Τα Mixed Responses προφανώς είναι ο συνδυασμός των δύο τεχνικών επιλογών σε μία κονσόλα διαχείρισης, συχνά με τη χρήση ειδικού διαχειριστικού λογισμικού, που συνδέει τις αυτοματοποιημένες αντιδράσεις του συστήματιος με άλλες αντιδράσεις εξοπλισμού ή λογισμικού ασφάλειας πέρα και πάνω από το IDS.
 
Εν κατακλείδι
Τα IDSs είναι εκ των ων ουκ άνευ στο σχεδιασμό οποιασδήποτε πολιτικής ασφάλειας σε μεσαίες και μεγάλες επιχειρήσεις και ένα πολύτιμο εργαλείο σε κάθε άλλη περίπτωση. Ωστόσο, είναι ένα είδος εξοπλισμού που δεν μπορεί να χρησιμεύσει στο ελάχιστο εκτός ενός δομημένου περιβάλλοντος ασφάλειας, δεδομένου ότι δεν φέρει σε πέρας από την αρχή μέχρι το τέλος καμία από τις λειτουργίες που αναλαμβάνει. Ένας απλός τρόπος να δει κανείς το ζήτημα είναι να πει ότι τα IDSs αναλαμβάνουν να βελτιστοποιήσουν και να διεξαγάγουν μέρος των λειτουργιών προστασίας ενός εταιρικού δικτύου. Σε καμία περίπτωση δεν πρέπει να ανατίθεται σε ένα IDS η εκτέλεση λειτουργιών που εκτελούνται από άλλους μηχανισμούς ασφάλειας.

 

 

Πάρης Καπράλος


Facebook Digg del.icio.us LinkedIn Google Live NewsVine Reddit Slashdot StumbleUpon Technorati



Μέσος όρος (0 Ψήφοι)

25/06/2009
υποδομή ασφάλεια
570409 Προβολές
Advertisement