Сравните и противопоставьте системы
Саттерфилд: Автономный анализ (offline analysis) трафика с целью генерации тревог практически бесполезен. Министерство обороны США, являясь пионером в области обнаружения атак, придерживалось этого подхода. Однако времена меняются. Обработка нажатий клавиш уже не отвечает требованиям масштабируемости. Обнаружение и генерация тревог в реальном масштабе времени существенно необходимы. Хотя и об автономном анализе данных не надо забывать.
Клаус: Как я упомянул раньше, современные системы обнаружения атак - это реальная сетевая информация и инструментальные средства с некоторым встроенным интеллектом. Проанализированы ли данные в реальном масштабе времени или после свершения события, - различие только в своевременности реагирования. Система RealSecure обеспечивает обнаружение и реагирование на атаки в реальном масштабе времени. Мы также обеспечиваем средства управления данными для проведения автономного анализа. Анализ данных "постфактум" очень полезен при наличии обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали этот процесс, предоставляя эффективные средства управления данными.
Карри: Если вы серьезно относитесь к защите, вы должны работать в реальном масштабе времени. Нападавший может войти, сделать то, что он должен и уйти в течение нескольких минут или даже секунд. Вы должны быть способны действовать мгновенно, чтобы среагировать на нападение. Автономный анализ нужен, если вы хотите знать, что вы делали в последний вторник. К сожалению, вы не имеете достаточно времени, чтобы проводить такой анализ. Хорошо то, что эта задача может быть легко автоматизирована и не требует большого числа людей.
Спаффорд: Тревога в реальном масштабе времени - это когда вы можете среагировать и устранить результат атаки, слушая сигнал тревоги. Автономный анализ часто снижает производительность контролируемых машин (за счет обработки и хранения большого объема регистрационных данных - примечание переводчика), однако также позволяет "сделать шаг назад", вновь рассмотреть событие и, возможно, "откатить" изменения, сделанные в результате реагирования. Если действие не привело к ожидаемым результатам, если тревога не сработала, то нет никакой разницы между автономным анализом и анализом в реальном масштабе времени! Вы называете ваш продукт системой обнаружения атак? Некоторые специалисты различают атаку (intrusion) и злоупотребление (misuse). Некоторые называют эти средства не системы обнаружения атак, а системы мониторинга сети. Каково ваше определение системы обнаружения атак?
Ранум: Мы называем нашу систему универсальным инструментом анализа трафика. Она имеет свойство программируемости, так что вы можете сами "сказать" ей, что надо обнаруживать. Если вы хотите обнаруживать, скажем, атаку SYN Flood, то вы можете сами запрограммировать функцию чтения SYN-пакетов и функцию реагирования в случае нахождения в них статистических аномалий. Также просто вы можете запрограммировать модель анализа роста WAN или подсчета посещений Web-сервера. Я думаю, что обнаружение атак - это одна из задач, которую вы можете решить с помощью нашей универсальной системы. Мы считаем, что люди устали от приобретения систем, которые реализуют только одну функцию. Даже, если она реализована хорошо.
Карри: Компания IBM предлагает обслуживание, которое объединяет предложение систем обнаружения атак в реальном режиме времени (компания IBM предлагает систему RealSecure компании ISS - примечание переводчика), круглосуточный текущий контроль обученным персоналом и опытную группу экспертов, реагирующих на нарушения и инциденты безопасности. Мы различаем термины "злоупотребление" и "атака", но давайте не будем сейчас останавливаться на этом. Мы полагаем, что система обнаружения атак - больше чем несколько датчиков, развернутых в сети. Вы нуждаетесь в сообщающейся системе, которая позволяет вам собирать информацию от датчиков на центральной консоли. Вы нуждаетесь в системе, хранящей эту информацию для более позднего анализа, и в средствах, чтобы такой анализ провести. Вы нуждаетесь в средствах, контролирующих эти датчики постоянно и мгновенно реагирующих в случае тревоги. Атака может быть завершена за минуты и даже секунды. В заключение, и возможно это наиболее важно, вы нуждаетесь в группе выделенных экспертов в области защиты, которые знают, как использовать все эти средства для всесторонней защиты от постоянно растущих угроз. Все эти компоненты вместе образуют реальную и эффективную систему обнаружения атак. Если вы реализуете ее без какого-либо из этих компонентов, то вы только вводите себя в заблуждение.
Саттерфилд: Все сводится к семантике. "Обнаружение атак" - термин, используемый для описания конечной цели деятельности. Вы должны обнаружить, когда кто-то делает что-то, что дает ему доступ к чему-то, к чему у него доступа быть не должно. В действительности, технология обнаружения атак обеспечивает способность обнаружить что-то, что пользователь хочет обнаружить. Думайте об этом, как о микроскопе или телескопе для потока данных. Фактически, обнаружение злоупотреблений - только один из вариантов использования технологии обнаружения атак. Базовая технология позволяет вам просматривать сетевой пакет, только пакет, и ничего кроме пакета. Дальше вы можете увидеть что-нибудь другое, если увеличите "размер изображения".
Мониторинг - это хорошо. Обнаружение атак гораздо более эффективно, если осуществляется 24 часа в сутки, 7 дней в неделю. Стоимость таких услуг значительна. Мы полагаем, что компании, которые собираются предлагать эти услуги, хотят делать большой бизнес. Это обеспечит намного более высокое качество защиты ресурсов заказчиков, чем, если бы они сами реализовали у себя комплекс мер по обнаружению атак. Поставщики услуг могут выбирать технологии, позволяющие масштабировать и дублировать свои решения, тем самым, снижая издержки и свои, и заказчиков. Наблюдайте за выбором системы обнаружения атак крупными поставщиками услуг. Это будет показателем качества предлагаемых на рынке систем обнаружения атак.
Клаус: Опасно игнорировать термин "злоупотребление". Единственное различие, которое я делаю между "обнаружением атак" и "обнаружением злоупотреблений" - исходит ли нарушение снаружи сети (это атака) или изнутри сети (это злоупотребление). Оба потенциально разрушительны. Система RealSecure может быть развернута как снаружи межсетевого экрана, так и после него, что позволяет обнаружить как внешних злоумышленников, так и внутренних участников злоупотреблений. И она может реагировать на оба события. Еще можно сказать о различии между терминами так: "злоупотребление" определяет действие, которое нарушает стратегию использования сети (например, посещение порносайтов), в то время как, "атака" определяет действие, которое указывает на то, что кто-то атакует и ставит под угрозу защиту сети. Оба этих действия важны для администратора защиты и системы обнаружения атак, подобно RealSecure, могут обнаружить и помочь предотвратить оба этих действия.
Спаффорд: Для нас, атака - это подмножество злоупотребления. Посторонние атакуют систему, чтобы неправильно использовать ее. Однако авторизованные пользователи также могут злоупотреблять системой. Сетевой мониторинг полезен для управления и оптимизации сети. Он также может использоваться для обнаружения атак и злоупотреблений. Однако он не может обеспечить вам контроль приложений, работающих на хосте.
Девид Карри (David A. Curry) - старший аналитик по безопасности Internet в службе реагирования и помощи компании IBM (IBM Internet Emergency Response Service - IBM-ERS). Участник технической группы, отвечающей за управление инцидентами и реагирование на них для заказчиков IBM-ERS. Он также отвечает за создание бюллетеня Security Vulnerability Alert и разработку планов тестирования шлюзов заказчиков.
Карри начинал как системный программист Unix. Работал системным программистом в университете Purdue, исследовательском центре NASA, лаборатории SRI и т.п. Автор нескольких книг по программированию для операционной системы Unix и обеспечению ее информационной безопасности.
Кристофер Клаус (Christopher Klaus) - основатель и технический директор компании Internet Security Systems. Автор системы анализа защищенности на сетевом уровне Internet Scanner. Он обеспечивает консультационную поддержку в области безопасности многих государственных учреждений и компаний, входящих в список Fortune 500. Руководитель групп компании ISS, разрабатывающей системы Internet Scanner, System Security Scanner и RealSecure.
Маркус Ранум (Marcus J. Ranum) - президент компании Network Flight Recorder и руководитель исследовательской группы корпорации V-ONE. Автор многих межсетевых экранов, включая DEC Seal, TIS Gauntlet и TIS Internet Firewall Toolkit. Контролировал и защищал сети, построенные на основе UNIX в течение 13 лет, включая настройку и управление доменом whitehouse.gov.
Ранум - частый лектор и участник конференций по информационной безопасности.
Ли Саттерфилд (Lee Sutterfield) - один из основателей и исполнительный вице-президент компании WheelGroup. Получил признание в Центре информационной войны Военно-воздушных сил США. Имеет 15-тилетний опыт работы в области защиты информации.
Юджин Спаффорд (Eugene Spafford) - профессор, директор лаборатории COAST в университете Purdue. В университете занимался вопросами увеличения надежности компьютерных систем, что привело к занятию вопросами защиты информации. Автор большого числа публикаций в области обеспечения информационной безопасности. В течение последних лет служил консультантом многих государственных и коммерческих организаций, включая ФБР, АНБ, Министерство Энергетики, Военно-воздушные силы США и т.д. Является одним из авторов системы анализа защищенности на уровне операционной системы COPS, системы обнаружения атак Tripwire, IDIOT и многих других.