Total Security - totalsecurity.com.br
IDS na mira
A polêmica está armada. Talvez não exista tecnologia para a segurança das informações que cause mais controvérsias que a de intrusion detection system, mais conhecida pela sigla IDS.Após ser alardeada como uma solução do futuro para solucionar grande parte das ameaças aos ambientes tecnológicos, a tecnologia sofreu com uma série de reclamações quanto a suas funcionalidades e gerou uma certa decepção no mercado. E isso tudo antes mesmo das ferramentas terem atingido o seu pico de vendas. Só neste ano as fornecedoras começaram a ver altos níveis de procura por essas soluções.
Contribuindo para a polêmica, teve papel principal um estudo publicado pelo Gartner, no terceiro trimestre deste ano, que foi a mais crítica das avaliações sérias da tecnologia. Apesar da consultoria defender sua importância e mesmo capacidade quando bem configurada, apontou diversos problemas que arregalaram os olhos de alguns usuários e provocaram reação dos fornecedores.
Um IDS tem fundamentalmente três funções: conseguir informações sobre os eventos ocorridos por meio de um sensor, fazer uma análise preliminar dos dados e dar início a uma resposta, que pode ser um simples alerta, quando acredita que há uma intrusão em curso.
Mas eles estariam cumprindo suas funções com eficiência? Segundo a conclusão do estudo do Gartner, não. A consultoria escreve que, apesar da tecnologia ter melhorado dramaticamente e poder monitorar o tráfego de rede e auditar logs de host para descobrir ameaças, ainda não é uma solução bem-sucedida. Primeiro, por necessitar de complementos, como firewall, software anti-vírus e outros produtos para endereçar vulnerabilidades. E, segundo, porque mesmo conseguindo descobrir vários ataques, deixa passar outros tantos, além de criar muitos falsos alarmes. Por isso, precisaria sempre de uma equipe tecnicamente qualificada para customizar e afinar a ferramenta, pronta para analisar cada alerta. Assim, em muitos casos, o IDS se constituiria em algo custoso e pouco eficiente. O conselho do Gartner é procurar uma solução mais ampla que inclui as capacidades de prevenção de intrusão. Para quem não pode ter uma equipe de segurança ou possui três ou mais soluções de IDS, indica serviços de monitoramento gerenciado de segurança.
A própria ISS, que se orgulha de ser a criadora do conceito e da tecnologia, afirma, por meio do diretor técnico Marcelo Bezerra, que concorda com o diagnóstico do Gartner, senão com a receita. “Todo o diagnóstico foi correto. Há falsos positivos e limitação do uso de banda – a ferramenta não conseguia monitorar gigabit. Mas não se pode confundir o produto IDS com a tecnologia IDS”, afirma. Para a indústria, a maior parte desses problemas foram sanados nos últimos releases e o conceito ainda tem muito a oferecer no futuro.
Alguns benefícios são óbvios a todos. A presença de um IDS é uma forma de inibir comportamento malicioso interno. Também detecta buracos em outras ferramentas, que não podem ser evitados, como patches não instalados ou a necessidade de deixar aberta uma vulnerabilidade para não prejudicar certo negócio, além de perceber exames de falhas que precedem ataques, documentar ameaças existentes e ajudar na resposta a incidentes ou a reunir dados para procedimentos criminais e disciplinares.
Mas, e quanto a cada uma das reclamações feitas por usuários? Como a indústria tem se posicionado? Vamos a elas:
Falsos alarmes
A principal alegação dos críticos do IDS é o número de falsos positivos. Isso acontece quando o sensor não está suficientemente bem configurado e começa a disparar alertas por não diferenciar tráfego normal de um verdadeiro ataque. Segundo o Gartner, há muito mais alertas que intrusões. Quando uma empresa tem índice de 0,1 % de falsos positivos por um milhão de sessões, já seriam 100 erros. Se esse for o índice em uma empresa, pode haver a tendência de minimizar os alertas, deixando passar um ataque real, ou mesmo afinar demais o IDS, o que poderia fazer a ferramenta não pegar certos tipos de eventos.
As fornecedoras admitem, com unanimidade, que os casos de falsos positivos acontecem, mas defendem que houve muita evolução nos últimos tempos. Segundo Bezerra, da ISS, hoje a ferramenta é utilizada primordialmente em rede, o que causou o problema. “A ISS vem trabalhando há dois anos para aperfeiçoar a tecnologia”, diz. O foco maior foi fazer a correlação de eventos de diversos sensores. O executivo diz que com as mudanças diminuiu-se em 70% a quantidade de eventos que o operador precisa tratar e quase a totalidade dos falsos positivos.
Tráfego criptografado
Os ataques podem ser carregados dentro de sessões VPNs, SSL (secure socket layer) e Ipsec (Internet Protocol security). Mas um sensor NIDS (network IDS) não pode fazer inspeções dentro de pacotes encriptados. Outro problema seria não poder monitorar tráfego confiavelmente acima de 600 Mbps. Mesmo os sistemas que prometem conectividade próxima a 1 GB, não conseguiriam ter performance do mesmo tamanho.
Algumas ações para melhorar essas capacidades já estão em andamento. A ISS, com seus últimos aprimoramentos, aumentou o suporte para até 1,2 GB de rede, por exemplo. E a forma de identificar ataques também é diferente. “Os IDSs pegam usualmente parte do tráfego, mas mudamos para a análise de protocolos. Não importa como o ataque é escrito, a detecção agora é feita pelo comportamento das redes”, explica Bezerra.
Respostas ativas
Muitos administradores estão desabilitando a resposta ativa, que consiste em o sensor se comunicar com um firewall ou roteador para que esses possam criar certas políticas de segurança. Isso porque, como no exemplo dado pelo Gartner, se um ataque vem de um sistema de universidade, ele pode criar uma regra que barra todas as mensagens vindas do local. A capacidade também pode ser usada por hackers para fazer ataques de denial of service.
Configuração é tudo, em IDS. Algumas fornecedoras prestam até mesmo consultoria para a implementação eficiente das ferramentas. “As empresas sabem que precisam fazer um consultoria externa”, diz o gerente de engenharia de sistemas da Network Associates, José Antunes. “Não dá mais para colocar todas as regras funcionando e depois ir desligando, quando começam os problemas.”
Intervenção humana
O IDS descobre um ataque em curso e pode até oferecer o endereço IP do invasor, mas os administradores precisam por conta própria investigar o evento, como aconteceu e reparar a vulnerabilidade. Assim, é necessário ter pessoas com capacidade, conhecimentos e disponibilidade para reagir.
Os players de segurança sabem que ter uma equipe com qualificação é de fato uma necessidade e é custoso. Segundo o vice-presidente de marketing da Computer Associates, Cesar Zarza, é realmente preciso um time grande para identificar ataques e vulnerabilidades. A solução da empresa é oferecer esse serviço terceirizado.
A monitoração também deve ficar mais simples. O consultor de segurança sênior da Schlumberger Network and Infrastructure Solutions, Alexandre Freire, defende que a evolução do IDS já permite sua monitoração em um único console centralizado, gerenciando a correlação de eventos. “O uso de IDS é muito tranqüilo. Cada vez precisa-se de menos especialistas para operar”, conta o consultor de segurança sênior da Open Security Communications, Paulo Braga. “No desenvolvimento, é importante ter apoio de empresas e experts, depois a operação fica fácil.”
Função limitada
A ferramenta não pode ser pensada como uma solução única. Para fazer uma proteção eficiente, precisa ser combinada a firewalls, VPNs e produtos anti-vírus. Só assim se pode ter a chamada “segurança em profundidade”.
Ninguém acredita que um IDS resolverá todos os problemas, mas o mercado argumenta que a ferramenta não deve ser cobrada por isso e enfatiza que há evolução para que a solução protagonize outras funções ou atue de modo bem integrado. “Faço um paralelo entre o gerenciamento de segurança e de sistemas”, afirma André Facciolli, gerente-geral da NetIQ. “É impossível nos dois campos, que só uma solução resolva tudo. Quanto mais complexo o ambiente, é mais crítico o uso de ferramentas complementares.”
Para Freire, da Schlumberger, a ferramenta fica cada vez mais completa. Ele afirma que a solução evoluiu para ser mais que sensores de rede, tanto que viraram appliances, com sistema operacional próprio dentro de um hardware. E a evolução já está prometendo a chegada em alguns anos no conceito de IPS (intrusion protection system), que além de identificar, vai barrar ameaças.
Fonte: It Web
Contribuindo para a polêmica, teve papel principal um estudo publicado pelo Gartner, no terceiro trimestre deste ano, que foi a mais crítica das avaliações sérias da tecnologia. Apesar da consultoria defender sua importância e mesmo capacidade quando bem configurada, apontou diversos problemas que arregalaram os olhos de alguns usuários e provocaram reação dos fornecedores.
Um IDS tem fundamentalmente três funções: conseguir informações sobre os eventos ocorridos por meio de um sensor, fazer uma análise preliminar dos dados e dar início a uma resposta, que pode ser um simples alerta, quando acredita que há uma intrusão em curso.
Mas eles estariam cumprindo suas funções com eficiência? Segundo a conclusão do estudo do Gartner, não. A consultoria escreve que, apesar da tecnologia ter melhorado dramaticamente e poder monitorar o tráfego de rede e auditar logs de host para descobrir ameaças, ainda não é uma solução bem-sucedida. Primeiro, por necessitar de complementos, como firewall, software anti-vírus e outros produtos para endereçar vulnerabilidades. E, segundo, porque mesmo conseguindo descobrir vários ataques, deixa passar outros tantos, além de criar muitos falsos alarmes. Por isso, precisaria sempre de uma equipe tecnicamente qualificada para customizar e afinar a ferramenta, pronta para analisar cada alerta. Assim, em muitos casos, o IDS se constituiria em algo custoso e pouco eficiente. O conselho do Gartner é procurar uma solução mais ampla que inclui as capacidades de prevenção de intrusão. Para quem não pode ter uma equipe de segurança ou possui três ou mais soluções de IDS, indica serviços de monitoramento gerenciado de segurança.
A própria ISS, que se orgulha de ser a criadora do conceito e da tecnologia, afirma, por meio do diretor técnico Marcelo Bezerra, que concorda com o diagnóstico do Gartner, senão com a receita. “Todo o diagnóstico foi correto. Há falsos positivos e limitação do uso de banda – a ferramenta não conseguia monitorar gigabit. Mas não se pode confundir o produto IDS com a tecnologia IDS”, afirma. Para a indústria, a maior parte desses problemas foram sanados nos últimos releases e o conceito ainda tem muito a oferecer no futuro.
Alguns benefícios são óbvios a todos. A presença de um IDS é uma forma de inibir comportamento malicioso interno. Também detecta buracos em outras ferramentas, que não podem ser evitados, como patches não instalados ou a necessidade de deixar aberta uma vulnerabilidade para não prejudicar certo negócio, além de perceber exames de falhas que precedem ataques, documentar ameaças existentes e ajudar na resposta a incidentes ou a reunir dados para procedimentos criminais e disciplinares.
Mas, e quanto a cada uma das reclamações feitas por usuários? Como a indústria tem se posicionado? Vamos a elas:
Falsos alarmes
A principal alegação dos críticos do IDS é o número de falsos positivos. Isso acontece quando o sensor não está suficientemente bem configurado e começa a disparar alertas por não diferenciar tráfego normal de um verdadeiro ataque. Segundo o Gartner, há muito mais alertas que intrusões. Quando uma empresa tem índice de 0,1 % de falsos positivos por um milhão de sessões, já seriam 100 erros. Se esse for o índice em uma empresa, pode haver a tendência de minimizar os alertas, deixando passar um ataque real, ou mesmo afinar demais o IDS, o que poderia fazer a ferramenta não pegar certos tipos de eventos.
As fornecedoras admitem, com unanimidade, que os casos de falsos positivos acontecem, mas defendem que houve muita evolução nos últimos tempos. Segundo Bezerra, da ISS, hoje a ferramenta é utilizada primordialmente em rede, o que causou o problema. “A ISS vem trabalhando há dois anos para aperfeiçoar a tecnologia”, diz. O foco maior foi fazer a correlação de eventos de diversos sensores. O executivo diz que com as mudanças diminuiu-se em 70% a quantidade de eventos que o operador precisa tratar e quase a totalidade dos falsos positivos.
Tráfego criptografado
Os ataques podem ser carregados dentro de sessões VPNs, SSL (secure socket layer) e Ipsec (Internet Protocol security). Mas um sensor NIDS (network IDS) não pode fazer inspeções dentro de pacotes encriptados. Outro problema seria não poder monitorar tráfego confiavelmente acima de 600 Mbps. Mesmo os sistemas que prometem conectividade próxima a 1 GB, não conseguiriam ter performance do mesmo tamanho.
Algumas ações para melhorar essas capacidades já estão em andamento. A ISS, com seus últimos aprimoramentos, aumentou o suporte para até 1,2 GB de rede, por exemplo. E a forma de identificar ataques também é diferente. “Os IDSs pegam usualmente parte do tráfego, mas mudamos para a análise de protocolos. Não importa como o ataque é escrito, a detecção agora é feita pelo comportamento das redes”, explica Bezerra.
Respostas ativas
Muitos administradores estão desabilitando a resposta ativa, que consiste em o sensor se comunicar com um firewall ou roteador para que esses possam criar certas políticas de segurança. Isso porque, como no exemplo dado pelo Gartner, se um ataque vem de um sistema de universidade, ele pode criar uma regra que barra todas as mensagens vindas do local. A capacidade também pode ser usada por hackers para fazer ataques de denial of service.
Configuração é tudo, em IDS. Algumas fornecedoras prestam até mesmo consultoria para a implementação eficiente das ferramentas. “As empresas sabem que precisam fazer um consultoria externa”, diz o gerente de engenharia de sistemas da Network Associates, José Antunes. “Não dá mais para colocar todas as regras funcionando e depois ir desligando, quando começam os problemas.”
Intervenção humana
O IDS descobre um ataque em curso e pode até oferecer o endereço IP do invasor, mas os administradores precisam por conta própria investigar o evento, como aconteceu e reparar a vulnerabilidade. Assim, é necessário ter pessoas com capacidade, conhecimentos e disponibilidade para reagir.
Os players de segurança sabem que ter uma equipe com qualificação é de fato uma necessidade e é custoso. Segundo o vice-presidente de marketing da Computer Associates, Cesar Zarza, é realmente preciso um time grande para identificar ataques e vulnerabilidades. A solução da empresa é oferecer esse serviço terceirizado.
A monitoração também deve ficar mais simples. O consultor de segurança sênior da Schlumberger Network and Infrastructure Solutions, Alexandre Freire, defende que a evolução do IDS já permite sua monitoração em um único console centralizado, gerenciando a correlação de eventos. “O uso de IDS é muito tranqüilo. Cada vez precisa-se de menos especialistas para operar”, conta o consultor de segurança sênior da Open Security Communications, Paulo Braga. “No desenvolvimento, é importante ter apoio de empresas e experts, depois a operação fica fácil.”
Função limitada
A ferramenta não pode ser pensada como uma solução única. Para fazer uma proteção eficiente, precisa ser combinada a firewalls, VPNs e produtos anti-vírus. Só assim se pode ter a chamada “segurança em profundidade”.
Ninguém acredita que um IDS resolverá todos os problemas, mas o mercado argumenta que a ferramenta não deve ser cobrada por isso e enfatiza que há evolução para que a solução protagonize outras funções ou atue de modo bem integrado. “Faço um paralelo entre o gerenciamento de segurança e de sistemas”, afirma André Facciolli, gerente-geral da NetIQ. “É impossível nos dois campos, que só uma solução resolva tudo. Quanto mais complexo o ambiente, é mais crítico o uso de ferramentas complementares.”
Para Freire, da Schlumberger, a ferramenta fica cada vez mais completa. Ele afirma que a solução evoluiu para ser mais que sensores de rede, tanto que viraram appliances, com sistema operacional próprio dentro de um hardware. E a evolução já está prometendo a chegada em alguns anos no conceito de IPS (intrusion protection system), que além de identificar, vai barrar ameaças.
Fonte: It Web
URL Fonte: https://totalsecurity.com.br/noticia/367/visualizar/
Comentários