Home Page do best seller de segurança Como Blindar seu Pc
A maior universidade Virtual de Tecnologia da Informação com ênfase em Segurança do país
Visão e referências para o público interessado em Segurança da Informação
Livros, artigos e papers publicados
Colaborações de Freire com a imprensa
Retornar Página Principal Curriculum Vitae de Alexandre Freire Envie e-mail aos cuidados de Freire




Retornar

Artigo Publicado

Condenação dos Dispositivos de Detecção de Intrusos

Por Alexandre Freire

Recentemente, um dos maiores institutos formadores de opinião para a indústria de TI publicou um estudo gerando polêmica entre os especialistas da área. O estudo tinha como fundamento a análise do ROI (Return of Investiment) de tecnologias de IDS (Intrusion Detection Systems) onde defende-se o princípio de que essas ferramentas são difíceis de serem implementadas, demandam alta especialização elevando automaticamente os custos operacionais de uma corporação além de não serem eficazes no sentido de simplificar o entendimento de eventos de rede caracterizados como possíveis ameaças. Como rastrear os ataques diante de inúmeros eventos de rede que reportam informações profundamente técnicas e que em sua maioria não retratam as condições normais de operação de um determinado ambiente gerando o que chamamos de falso positivo (tráfego normal de rede classificado como tentativas de ataque)?

Durante muito tempo este foi o principal objetivo das tecnologias de Detecção de Intrusos, identificar o tipo de ataque e sua respectiva origem sem maiores preocupações em otimizar o processo de entendimento de eventos e separar o que deve ser ou não classificado como um verdadeiro ataque ou uma verdadeira ameaça a um ambiente de rede. O estudo atual levanta a necessidade do provimento de maiores funcionalidades destes dispositivos além do simples rastreamento de um ataque bem sucedido.

De que adianta rastrear somente a origem de uma invasão se esta invasão tiver comprometido dados confidenciais de uma corporação? Entende-se por esta visão mais do que correta que identificar os ladrões de um banco após o roubo de dinheiro e jóias é interessante somente para a polícia. Normalmente, o produto do furto nunca será recuperado! É clara a demanda do mercado por uma real necessidade na busca do provimento de maiores níveis de proteção do que somente identificar possíveis falhas ou sucessos de ataques. Mais do que correr atrás do prejuízo é necessário adequar a tecnologia de proteção para criar esferas de defesa difícultando o comprometimento de um ambiente.

Não há como questionar a necessidade de investimento em alta qualificação profissional para a manutenção de profissionais especializados na operação deste tipo de tecnologia. Desde os primórdios dos primeiros sensores de rede baseados em depurações de tráfego com tcpdump, o IDS foi sinônimo de caixa preta e identificado com uma das tecnologias mais complicadas de se lidar, sendo vítima de inúmeras criticas por especialistas de institutos renomados.

Esta não é a primeira vez e, provavelmente, não será a última em que o custo x benefício da utilização da tecnologia será avaliado. Porém, é importante ressaltar que a tecnologia de IDS passou por uma grande evolução nos últimos anos. Essa evolução foi determinada por inúmeros esforços dos principais players do mercado em atender a demandas para um melhor entendimento dos eventos de rede detectados pela tecnologia assim como pela melhoria na agilidade de consulta e manipulação prática e conceitual destas informações

A tecnologia evoluiu e rompeu os limites de detecção de tráfego baseado somente em assinaturas. Hoje estes sistemas são capazes de identificar anomalia de protocolos e desvio comportamental a partir de comparações através de baselines calçados em poderosos mecanismos de correlação de eventos que minimizam o falso positivo de um ambiente. A tecnologia Dynamic Threat Protection da ISS, por exemplo, trabalha correlacionando as vulnerabilidades descobertas a partir da varredura de um sistema operacional pelo scanner de vulnerabilidades através da rede ou por agente instalado dentro do próprio sistema operacional.

Em ambos os métodos as vulnerabilidades descobertas são enviadas para a console central de gerenciamento e armazenadas em banco de dados. Caso um ataque direcionado a este sistema operacional seja previamente detectado por sensores, a informação será enviada para a console de gerenciamento que validará se o sistema operacional está vulnerável ou não ao ataque. Caso o mesmo esteja vulnerável a prioridade do evento é alterada tomando-se ações específicas de prevenção. Em contra partida, se um evento perigoso explorar uma vulnerabilidade não existente no sistema operacional em questão, o evento será tratado como prioridade baixa e a console reportará que o sistema operacional está protegido contra o ataque. O uso desta tecnologia combate diretamente uma das maiores dificuldades de administração de sistemas de IDS e motivo constante de críticas a tecnologia, o falso positivo.

A solução inteligente desenvolvida pela ISS tem como objetivo justamente auxiliar o entendimento dos ataques em uma visão global dos eventos através da integração de diferentes tecnologias que trabalharão juntas no sentido de proteger desde servidores disponibilizados em DMZ"s até o desktop de usuários localizados na LAN das corporações.

Neste framework os sensores rompem as barreiras de meros dispositivos de captura de tráfego para serem portados para sistemas operacionais específicos onde irão trabalhar para garantir a segurança de eventos de rede direcionados aos mesmos assim como a segurança de eventos internos ao próprio sistema operacional tais como mudanças em sistemas de arquivos, logon/logoff de usuários, manifestação de backdoors, trojans entre outros. Neste framework é possível executar bloqueios de ataques, atualizações automáticas para prevenção da propagação de novas pragas, restrição de novos ataques, interação com dispositivos de Firewalls para mudança automática de regras entre outras caracteristicas.

A evolução das tecnologias de IDS foi tão grande que até o próprio Snort, o mais famoso dos sensores de rede, e, até então, definido como opensource, ganhou dimensões comerciais fazendo com que o responsável pelo seu desenvolvimento fundasse a empresa SourceFire para profissionalizar de vez o produto que é defendido com unhas e dentes pelos simpatizantes do Linux como melhor dispositivo de Detecção de Intrusão para rede existente no mercado. O fato é que o Snort caiu nas graças da comercialização por exigência do mercado além, é claro, do despertar por uma crescente demanda na melhoria das condições de gerência e entendimento das bases operacionais da tecnologia.

Foi assim que as soluções da empresa baseadas em sensores de rede e console de gerenciamento foram desenvolvidas onde, assim como a ISS, evoluiram para dispositivos appliances projetados especificamente para melhoria do desempenho na detecção de eventos e processamento das informações em segmentos de rede robustos. A console SourceFire, por exemplo, é capaz de lidar com milhões de eventos em tempo real e possui grande desempenho visto que o database é integrado com o dispositivo dentro do mesmo appliance. Mas antes mesmo do Snort ser encaixotado pela SourceFire, diversos datacenters já utilizavam o produto otimizando a organização dos eventos para armazenagem e query a partir de front ends como ACID e Demarc, utilizando-se o famoso MYSQL como repositório de dados. Durante muito tempo foi comum verificar empresas de consultoria em Segurança adotar esta prática. Estes produtos fizeram parte de um universo de esforços de programadores de todo mundo para melhorar a atividade de investigação de incidentes.

Atualmente os esforços dos invasores estão direcionados a explorar diretamente as aplicações e fraquezas nos protocolos de serviços como web servers , ftp servers, smtp servers assim como os novíssimos serviços P2P (Peer to Peer). Este novo panorama trouxe a necessidade de que produtos de Firewall evoluíssem para trabalhar com a detecção e prevenção de ataques baseados na camada de aplicação. Atenta a essa demanda de mercado a CheckPoint tratou de apresentar a tecnologia SmartDefense onde incluí mecanismos de IDS no próprio Firewall. A tecnologia proporciona a identificação e bloqueio de tráfego malicioso e atualizações permanentes contra novas ameaças.

O Firewall Stateful Inspection, líder de mercado, identificou a necessidade de ser mais do que um dispositivo que traduza fielmente, sob forma de regras, a Política de Segurança de uma corporação. Através do desenvolvimento da tecnologia Application Intelligence, a empresa demonstra sua preocupação em validar as diferentes ameaças de intrusão e suas variantes que estão escondidas na camada de aplicação, principalmente os ataques direcionados aos serviços que necessitam de portas abertas no Firewall, como é o caso do HTTP (porta 80 TCP) e HTTPS (porta 443 TCP). Os esforços para embutir mecanismos de defesa contra ataques no seu próprio Firewall mostra que a CheckPoint está preocupada em disponibilizar um nível de proteção adicional que ganha destaque principalmente em Firewalls posicionados no perímetro externo das corporações.

O estudo recém publicado direciona os executivos de TI a investirem em tecnologias de Firewall para proteção de seu partimônio digital. Talvez, se ainda estivessemos há alguns anos atrás tropeçando em tecnologias de IDS primárias, o estudo pudesse ser seguido a risca. Os Firewalls respondiam por quase totalidade dos ataques bloqueados. Porém, com a evolução dos métodos utilizados para invasões e com a rapidez do aparecimento de novas vulnerabilidades exploradas a partir da camada de aplicação (diga-se trojans, pragas e epidemias como Code Red, Blaster, BugBeer, Slammer entre outros) é de fundamental importância que diferentes dispositivos de defesa de perímetros sejam combinados para garantir níveis de proteção satisfatórios.

O verdadeiro ROI deve ser alcançado através da combinação correta das tecnologias emergentes de IDS e Firewall ajustando-se os diferentes produtos para trabalharem preferencialmente juntos. Por mais que um Firewall evolua para executar análise e bloqueio de tráfego com propósito semelhante ao IDS, não devemos esquecer de que ele também é responsável por executar o controle de tráfego entre os diferentes segmentos de uma corporação, autenticar usuários, responder por túneis de VPN permanentes ou temporários através de usuários móveis, controlar navegação dos usuários corporativos à Internet através de integração com softwares de análise de conteúdo e produtos antivirus via CVP (Content Vectoring Protocol) entre outras funções.

O cenário ideal para otimizar o bom funcionamento, peformance e sobretudo aumentar as condições de segurança é combinar a utilização dessas tecnologias de maneira adequeada através do desenho de uma topologia de rede que atenda as necessidades da corporação verificando as demandas de serviços e níveis de proteção necessários. Investimentos em diferentes camadas de proteção são bem empregados quando lidamos com informações confidenciais que possuem muitas vezes um valor industrial impossível de ser calculado. Entender a evolução das ferramentas e o propósito das mesmas dentro do atual contexto de ameaças digitais é muito importante para que o direcionamento orçamentário seja executado de maneira correta.

Retornar Página Publicações

Autorizações para reprodução:

Portal IBEST Imasters
Jornal Opção - Goiania
Universidade Federal do Rio de Janeiro (UFRJ)
Universidade de Brasilia (UNB)
Universidade Estácio de Sá
Universidade de São Paulo
ComputerWorld
HOME  | CURRICULUM  | DOCÊNCIA  | PUBLICAÇÔES |  LIVROS |  PALESTRAS |  IMPRENSA |  PREMIOS
Copyright (c) 2007 MagicWeb Information Provider All rights reserved.