Intrusion detection. Come sta evolvendo la tecnologia

Dopo un momento di “pseudo” smarrimento, lo stato dell’arte degli strumenti di controllo anti-intrusione nei sistemi informativi dà chiari segni di progresso. In vista ci sono sviluppi architetturali basati su sistemi distribuiti, dispositivi appliance e anche modelli ibridi.

Più volte, sulle pagine che settimanalmente Linea Edp dedica alla sicurezza, abbiamo definito i paradigmi più importanti dell’Intrusion detection, soprattutto dal punto di vista architetturale e di management. E più volte abbiamo ribadito che, in mancanza di un’attenta fase di analisi e di cosiddetta "pre sale engineering", si sarebbe corso il rischio di effettuare degli investimenti totalmente sbagliati. Contemporaneamente abbiamo "tenuto d’occhio" anche i movimenti dei vendor più importanti e abbiamo notato una certa tendenza verso un’evoluzione dello stato dell’arte, che descriveremo in questa sede.

In viaggio verso i Dids


L’acronimo Dids sta per Distributed intrusion detection system. Se ne è parlato in maniera più accentuata verso gli inizi del 1999, quando un noto e misterioso esponente della comunità dedita a scrivere white paper (Mixter) ha ipotizzato l’utilizzo di un sistema di Intrusion detection distribuito per tipologia di sensore e punti di intervento. In particolare, si suggeriva il placement (operazione di posizionamento del sensore) di un Nids (Network based intrusion detection system) dietro al firewall e in prossimità di alcuni dispositivi di rete, in luogo di Hids (Host based Ids) sulle risorse di sistema a rischio. Il management della piattaforma distribuita era comunque effettuato da una console centralizzata, con evidente giovamento della fase di amministrazione. Il problema principale relativo all’implementazione di questa architettura era sicuramente quello della scelta dei prodotti da impiegare. Per quanto riguarda il monitoraggio in Nids, infatti, esistevano (ed esistono ancora) questioni aperte. La prima è sicuramente quella della gestione di throughput superiore al Fast Ethernet (100Mbit/s). Allo stato attuale i grossi clienti come gli Internet service provider hanno l’esigenza di monitorare dei segmenti Gigabit; parte dell’offerta tecnologica disponibile appare inadeguata. Le soluzioni a questo problema sono varie, e vanno dal load balancing dei Nids (in modo tale da distribuire il carico di lavoro, utile anche per mitigare il rischio dei Denial of Service contro gli Ids) all’utilizzo del cosiddetto "flow mirroring". Quest’ultimo approccio è decisamente interessante e consiste nell’effettuare un mirroring di determinati flussi di dati e distribuirli su determinate porte del device destinato ad esaminarli (ovviamente è necessario un dispositivo di tipo appliance per fare ciò). Fatto sta che, a prescindere da quanto i vendor si affannino a dimostrare, la gestione reale dei 1.000 Mbit/s è forse ancora lontana. Altra questione aperta riguarda la possibilità di gestire il traffico crittografato. Ciò significa patire delle difficoltà a monitorare in Nids transazioni Vpn (Virtual private network), ma anche Ssl (Secure socket layer) et similia. Se quest’ultima non desta molte preoccupazioni in quanto si interviene a livello Hids, diverso è il discorso della codifica del flusso dati, che può avvenire in più punti della struttura, e anche nel colloquio tra agenti e master negli attacchi distribuiti.

Le soluzioni all’orizzonte


Uno sguardo alla metodica di detection delle intrusioni. Come ben si sa, il metodo principale è quello della cosiddetta Pattern Recognition and Matching, i cui princìpi sono ormai consolidati, vista anche la definitiva similitudine con il modus operandi degli antivirus. Esiste tuttavia un altro metodo, basato sull’anomaly detection, cioè sul riscontro di eventuali indicatori di anomalia rispetto a una baseline ben definita. Gli analisti di mercato ritengono possibile uno spostamento delle scelte verso questo paradigma, che potrebbe essere soprattutto sinonimo di affidabilità e di flessibilità, specie in ordine ai nuovi attacchi.


Si è portati a ritenere che, pur avendo grosse potenzialità, l’anomaly detection debba vivere lo stesso ciclo evolutivo che ha contraddistinto l’euristica nel settore antivirus. Ciò potrebbe rallentare una sua diffusione in tempi brevi.


Torniamo alle architetture. Per quanto riguarda i Nids riteniamo ormai chiara la strategia di molti vendor di operare con l’ausilio di appliance, cioè di dispositivi dedicati con potenza di calcolo ottimizzata per il tipo di operazione richiesta.


Gli Intrusion detection system di tipologia host based, non dovrebbero subire "scossoni commerciali" di alcun genere, in quanto il loro costo di produzione (e di implementazione) sta scendendo, e questo significa solo una maggiore possibilità di escalation del fenomeno.


Consigliamo, inoltre, ai lettori di tenere sotto controllo il cosiddetto "modello ibrido", consistente nell’installazione di un agente direttamente sul target, che operi come un Hids ma con una componente di rete, in grado quindi di analizzare anche gli attacchi network based, ma in maniera mirata al singolo obiettivo (host).


Una delle espressioni pratiche dell’hybrid model è sicuramente l’Abids (Agent based intrusion detection system). Si tratta di un modulo software in grado per l’appunto di gestire entrambe le tipologie di traffico, ma con la facoltà di interagire con un framework più esteso di quello degli Ids convenzionali. Ciò significa, in pratica, una maggiore flessibilità di reazione. In attesa di un’ulteriore possibile svolta tecnologica prevista per il secondo quarter del 2002, una componente di un sistema distribuito (ed ecco che il cerchio inizia a chiudersi) in via di definitiva affermazione è, sicuramente, anche il personal firewall, le cui accezioni avanzate vanno a coincidere con i moduli Abids di cui abbiamo fatto menzione. Adesso, quindi, è chiaro almeno uno dei motivi per cui Internet security Systems ha acquisito NetworkIce, tempo fa.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here