InformationWeek

IDS na Mira

Por Carlos Eduardo Valim, InformationWeek

A polêmica está armada. Talvez não exista tecnologia para a segurança das informações que cause mais controvérsias que a de intrusion detection system, mais conhecida como IDS. Após se alardeada como uma solução do futuro para solucionar grande parte das ameaças aos ambientes tecnológicos, a tecnologia sofreu com uma série de reclamações quanto a suas funcionalidades e gerou uma certa decepção no mercado. E isso tudo antes mesmo das ferramentas terem atingido seu pico de vendas . Só neste ano as fornecedoras começaram a ver altos níveis de procura por essas soluções.

Contribuindo para a polêmica, teve papel principal um estudo publicado pelo Gartner, no terceiro trimestre deste ano, que foi a mais crítica das avaliações sérias da tecnologia. Apesar da consultoria defender sua importância e mesmo capacidade quando bem configurada, apontou diversos problemas que arregalaram os olhos de alguns usuários e provocaram reação dos fornecedores.

Um IDS tem fundamentalmente três funções: conseguir informações sobre os eventos ocorridos por meio de um sensor, fazer uma análise preliminar dos dados e dar início a uma resposta, que pode ser um simples alerta, quando acredita que há uma intrusão em curso. Mas eles estariam cumprindo suas funções com eficiência? Segundo a conclusão do estudo do Gartner, não. A consultoria escreve que, apesar da tecnologia ter melhorado dramaticamente e poder monitorar o tráfego de rede e auditar logs de host para descobrir ameaças, ainda não é uma solução bem-sucedida. Primeiro, por necessitar de complementos, como firewall, software anti-virus e outros produto para endereçar vulnerabilidade. E, segundo, porque mesmo conseguido descobrir vários ataques, deixa passar outros, de criar muitos falsos alarmes. Por isso, precisaria sempre de uma equipe tecnicamente qualificada para customizar e afinar a ferramenta, pronta para analisar cada alerta. Assim, em muitos casos, o IDS se constituiria em algo custoso e pouco eficiente. O conselho do Garner é procurar uma solução mais ampla que inclui as capacidades de prevenção de intrusão. Para quem não pode ser uma equipe se segurança ou mais soluções de IDS, indica serviços de monitoramento gerenciamento e segurança.

A própria ISS, que se orgulha de ser a criadora do conceito e da tecnologia, afirma, por meio do diretor técnico Marcelo Bezerra, que concorda com o diagnostico do Gatner, senão com a receita. “ Todo o diagnostico foi correto . Há falsos positivos de limitação do uso de banda – a ferramenta não conseguia monitorar gigabti. Mas Não se pode confundir o produto IDS com a tecnologia IDS”, afirma. Para a industria, a maior parte desses problemas foram sanados nos últimos releases e o conceito ainda tem muito a oferecer no futuro. Alguns benefícios são óbvios a todos. A presença de um IDS é uma forma de inibir comportamento malicioso interno. Também detecta buracos em outras ferramentas, que não podem ser evitados, como patches não instalados ou a necessidade de deixar aberta uma vulnerabilidade para não prejudicar certo negócio, além de perceber exames de falhas que precedem ataques, documentar a ameaças existentes e ajudar na resposta a incidentes ou a reunir dados para procedimentos criminais e disciplinares. Mas, quando a cada uma das reclamações feitas por usuários? Como a industria tem se posicionado? Vamos a elas:

Falsos Alarmes

A principal alegação dos críticos do IDS é o numero de falsos positivos. Isso acontece quando o sensor não está suficientemente bem configurado começa a disparar alerta por não diferenciar trafego normal de um verdadeiro ataque. Segundo o Gartner, há muito mais alertas que instruções. Quando uma empresa tem indícios de 0,1% de falsos positivos por um milhão de sessões, já seriam 100 erros. Se esse for o índice em uma empresa, haver a tendência de minimizar os alertas, deixando passar um ataque real , ou mesmo afinar demais o IDS, o que poderia fazer a ferramenta não pegar certos tipos de eventos.

As fornecedoras admitem, com unanimidade, que os casos de falsos positivos acontecem, mas defendem que houve muita evolução nos últimos tempos. Segundo Bezerra, da ISS, hoje a ferramenta mais usada primordialmente em rede, o que causou os problemas “A ISS vem trabalhando há dois anos para aperfeiçoar a tecnologia”, diz. O foco maior foi fazer a correlação de eventos de diversos sensores. O executivo diz que com as mudanças diminui-se em 70% a quantidade de eventos que o operador precisa tratar e quase a totalidade dos falsos positivos.

Tráfego criptografado

Os Ataques podem ser carregados dentro de sessões VPNs, SSL ( secure socket layer) eIpsec ( Internet Protocol security). Mas um senso NIDS ( network IDS) não pode fazer inspeções dentro de pacotes encriptados. Outro problema seria não poder monitorar tráfego confiavelmente acima de 600 Mbps. Mesmo os sistemas que prometem conectividade próxima a 1 GB, não conseguiriam ter performance do mesmo tamanho.

Algumas ações para melhorar essas capacidades já estão andamento. A ISS, com seus último aprimoramentos, aumentou o suporte para até 1,2 GB de rede, por exemplo. E a forma de identificar ataques também é diferente. “Os IDSs pegam usualmente parte do tráfego, mas mudamos para a analise de protocolos. Não importa como o ataque é escrito, a detecção agora é feita pelo comportamento das redes”, Explica Bezerra.

Respostas Ativas

Muitos administradores estão desabilitando a resposta ativa, que consiste em o sensor se comunicar com um firawall ou roteador para que esses possam criar certas políticas de segurança. Isso porque, como no exemplo dado pelo Gatner, se um ataque vem de um sistema de universidade, ele pode criar uma regra que barra todas as mensagens vindas do local. A capacidade também pode ser usada por hacker para fazer ataques de denial of service.
Configuração é tudo, em IDS. Algumas fornecedoras prestam até mesmo consultoria para a implementação eficiente das ferramentas. “As empresas sabem que precisam fazer um consultoria externa”, diz o gerente de engenharia de sistemas da Network associates, José Antunes. “ Não dá mais para colocar todas as regras funcionando e depois ir desligando quando começam problemas”.

Intervenção humana

O IDS descobre um ataque em curso e pode até oferecer o endereço IP do invasor, mas os administradores precisam por conta própria investigador o evento, como aconteceu e reparar a vulnerabilidade. Assim, é necessário ter pessoas com capacidade, conhecimentos e disponibilidade para reagir.

Os pleyers de segurança sabem ter um equipe com qualificação é de fato uma necessidade e é custoso. Segundo o vice-presidente de marketing da Computer Associates César Zarza, é realmente preciso um time grande para identifique ataques e vulnerabilidades. A solução da empresa é oferecer esse serviço terceirizado.

A monitoração também deve ficar mais simples. O consultor de segurança sênior da Schlumberger Network and Infrastructure Solutions, Alexandre Freire, defende que a evolução do IDS já permitem sua monitoração em um único console centralizado, gerenciando a correlação de eventos. “ O uso de IDS é muito tranqüilo. Cada vez precisa- se menos especialistas para operar”, contra o consultor de segurança sênior da Open Communications Security, Paulo Braga. “ No desenvolvimento, é importante ter apoio de empresas e experts, depois a operação fica fácil.”

Função Limitada

A ferramenta não pode ser pensada como uma solução única. Para fazer uma proteção eficiente, precisa ser combinada a firewalls, VPNs e produtos anti-vírus. Só assim se pode ter a chamada “segurança em profundidade”.
Ninguém acredita que um IDS resolvera todos os problemas, mas o mercado argumenta que a ferramenta não deve ser cobrada por isso e enfatiza que há evolução para que a solução protagonize outras funções ou atue de modo bem integrado. “ Faço um paralelo entre o gerenciamento de segurança de sistemas”; Afirma Facciolli, gerente-geral da NetIQ. “ É impossível nos dois campos, que só uma solução resolva tudo. Quanto mais complexo o ambiente. Mais crítico o uso de ferramentas complementares.”

Para Freire, da Schlumberger, a ferramenta fica cada vez mais completa. Ele afirma que a solução evoluiu para ser mais que sensores de rede, tanto que viraram appliances, com sistema operacional próprio dentro de um hardwere. E a evolução já está prometendo a chegada em alguns anos no conceito de IPS ( intrusion protection system), que além de idwntificar, vai barrar ameaças.

RETORNAR PARA PÁGINA PRINCIPAL