Библиотека Интернет Индустрии I2R.ru

Рынок систем обнаружения вторжений сейчас на подъеме, и многие организации проводят у себя пилотные испытания IDS. Фактически его ежегодный прирост составляет 50%, и поставщики услуг управления безопасностью (Managed Security Service Providers — MSSP) уже вырастают из детских штанишек. Опросы показывают, что, несмотря на разорение одних компаний и продажу контрольных пакетов акций других, нашим читателям технологии IDS более интересны, чем другие технологии безопасности. Да и денег на этом рынке тратится все больше (см. результаты опроса http://www.nwc.com/1217/ 1217rd3.html). Но, помучившись с развертыванием систем IDS, у компаний начинается головная боль по поводу их эксплуатации. В этой связи все более популярной становится идея заключения договора со сторонней фирмой на предмет сопровождения этих систем.

Со всей этой шумихой по поводу IDS, темпами роста самой индустрии и крутящимися на рынке деньгами, вы можете подумать, что время IDS пришло. Но в действительности технология хотя и может быть полезной, однако еще далека от совершенства. Существуют проблемы с оперативностью обновления сигнатур. Немногие продукты могут работать с большими массивами данных, а те, что могут, очень часто "нагружают" оператора ненужными сведениями. Компании Cisco Systems и Enterasys Networks — единственные поставщики, предложившие действительно масштабируемые решения. Производители начали решать вопросы агрегирования данных, но лишь немногие из них имеют продукты, способные коррелировать их.

Вы, однако, выигрываете от удачного развертывания системы IDS. Оно обеспечит вам такой уровень детализации информации, какой недоступен обычным средствам защиты периметра сети, а также поможет установить более эффективное наблюдение за работой наиболее важных машин. IDS могут выступать в роли систем раннего предупреждения и даже уменьшать время реакции на предпринятые атаки. Они способны выдать столько статистических данных по ним, сколько не под силу "переварить" самому выдающемуся специалисту по информационным технологиям (ИТ). Большинство вещей, творящихся сегодня в Интернет, непостижимо для непосвященных умов, а современные IDS создают вполне внятные отчеты.

Сообразительные ИТ-менеджеры больших организаций смогут использовать NIDS (IDS сетевого уровня) для определения в своих сетях тенденций в характере и динамике трафика, для распознавания атак, "слабых" систем и недобросовестных пользователей. Сегодняшние NIDS, в общем-то, не остановят искушенного хакера, но им вполне по силам осадить неопытных злоумышленников и помочь найти уязвимые места в сети.

Нашей задачей было пойти дальше обычного тестирования и использовать системы IDS для мониторинга и защиты крупномасштабной сети. Все выглядело просто: вести мониторинг, "вычислять" непрошеных гостей и атакующих, и пытаться их остановить. К несчастью, постоянно возникали какие-то сложности: то сенсоры отказывали, то консоли "падали", то базы данных повреждались. Проблемы с разрывом соединений доводили нас до "белого каления". Аппаратное обеспечение отказывалось работать. Возникал информационный хаос и приходилось все перезапускать заново.

В конце концов, когда мы познакомились с технологией обнаружения вторжений поближе, стало очевидным, что с ней нельзя работать по принципу "запустил и забыл". Нужны — и в достаточном количестве — людские ресурсы для ее развертывания, мониторинга и поддержания в рабочем состоянии. На заметку управляющим компаний: если вы планируете развертывать IDS, не забудьте включить в статью расходов затраты на дополнительные людские ресурсы — для успеха вашего предприятия вам потребуются специалисты со стороны. Еще вам следует детально разобраться в том, как развертывание IDS повлияет на остальные аспекты ИТ. Существует ли план интеграции мероприятий сетевой безопасности с остальными мероприятиями? Что произойдет, если вдруг вы обнаружите что-то, напоминающее удавшуюся атаку? Есть ли у вас специалисты, способные провести расследование произошедших инцидентов уже после того, как они были идентифицированы?

Не следует забывать и о вопросах, не относящихся к сфере ИТ, таких, как возможное нарушение прав на неприкосновенность частной жизни и т. п. Например, ведение журналов регистрации событий, в которых будут фиксироваться чьи-то попытки найти другого работодателя, может нарушать кое-какие из этих прав. Иногда, чтобы подстраховаться, полезно проконсультироваться с юристом.

Долгое и странное путешествие

Во время нашего шестимесячного тестирования мы попытались решить некоторые из вышеупомянутых проблем. Мы выступали в роли "дополнения" к команде сетевых специалистов университета DePaul. Используя тестируемые продукты для идентификации атак, мы передавали полученную информацию команде сетевых специалистов, а те для решения проблем обращались к команде системных администраторов. Хотя такая стратегия нас вполне устраивала, она может не подойти вашей организации. Есть вещи, которые имеют мало общего с собственно технологией, но они способны оказать сильное влияние на конкретное развертывание того или иного решения IDS. По этой и многим другим причинам мы настоятельно рекомендуем провести пилотные испытания IDS до развертывания ее в вашей организации. Они помогут вам увидеть пути решения технических проблем и вообще, многое прояснят.

Могут ли IDS защитить все критически важные ресурсы вашей сети? Да, могут, но при условии, что вы знаете их ограничения и то, как они отразятся на работе вашей организации. Системы обнаружения вторжений умеют подавать сигналы тревоги — и делают это с каждой новой версией все лучше и лучше, — но не могут заменить надежные замки, "укрепленные" хосты, средства контроля доступа, предопределенные процедуры и политику безопасности.