Dopo un momento di “pseudo” smarrimento, lo stato dell’arte degli strumenti di controllo anti-intrusione nei sistemi informativi dà chiari segni di progresso. In vista ci sono sviluppi architetturali basati su sistemi distribuiti, dispositivi appliance e anche modelli ibridi.
Più volte, sulle pagine che settimanalmente Linea Edp dedica alla sicurezza, abbiamo definito i paradigmi più importanti dellIntrusion detection, soprattutto dal punto di vista architetturale e di management. E più volte abbiamo ribadito che, in mancanza di unattenta fase di analisi e di cosiddetta "pre sale engineering", si sarebbe corso il rischio di effettuare degli investimenti totalmente sbagliati. Contemporaneamente abbiamo "tenuto docchio" anche i movimenti dei vendor più importanti e abbiamo notato una certa tendenza verso unevoluzione dello stato dellarte, che descriveremo in questa sede.
In viaggio verso i Dids
Lacronimo Dids sta per Distributed intrusion detection system. Se ne è parlato in maniera più accentuata verso gli inizi del 1999, quando un noto e misterioso esponente della comunità dedita a scrivere white paper (Mixter) ha ipotizzato lutilizzo di un sistema di Intrusion detection distribuito per tipologia di sensore e punti di intervento. In particolare, si suggeriva il placement (operazione di posizionamento del sensore) di un Nids (Network based intrusion detection system) dietro al firewall e in prossimità di alcuni dispositivi di rete, in luogo di Hids (Host based Ids) sulle risorse di sistema a rischio. Il management della piattaforma distribuita era comunque effettuato da una console centralizzata, con evidente giovamento della fase di amministrazione. Il problema principale relativo allimplementazione di questa architettura era sicuramente quello della scelta dei prodotti da impiegare. Per quanto riguarda il monitoraggio in Nids, infatti, esistevano (ed esistono ancora) questioni aperte. La prima è sicuramente quella della gestione di throughput superiore al Fast Ethernet (100Mbit/s). Allo stato attuale i grossi clienti come gli Internet service provider hanno lesigenza di monitorare dei segmenti Gigabit; parte dellofferta tecnologica disponibile appare inadeguata. Le soluzioni a questo problema sono varie, e vanno dal load balancing dei Nids (in modo tale da distribuire il carico di lavoro, utile anche per mitigare il rischio dei Denial of Service contro gli Ids) allutilizzo del cosiddetto "flow mirroring". Questultimo approccio è decisamente interessante e consiste nelleffettuare un mirroring di determinati flussi di dati e distribuirli su determinate porte del device destinato ad esaminarli (ovviamente è necessario un dispositivo di tipo appliance per fare ciò). Fatto sta che, a prescindere da quanto i vendor si affannino a dimostrare, la gestione reale dei 1.000 Mbit/s è forse ancora lontana. Altra questione aperta riguarda la possibilità di gestire il traffico crittografato. Ciò significa patire delle difficoltà a monitorare in Nids transazioni Vpn (Virtual private network), ma anche Ssl (Secure socket layer) et similia. Se questultima non desta molte preoccupazioni in quanto si interviene a livello Hids, diverso è il discorso della codifica del flusso dati, che può avvenire in più punti della struttura, e anche nel colloquio tra agenti e master negli attacchi distribuiti.
Le soluzioni allorizzonte
Uno sguardo alla metodica di detection delle intrusioni. Come ben si sa, il metodo principale è quello della cosiddetta Pattern Recognition and Matching, i cui princìpi sono ormai consolidati, vista anche la definitiva similitudine con il modus operandi degli antivirus. Esiste tuttavia un altro metodo, basato sullanomaly detection, cioè sul riscontro di eventuali indicatori di anomalia rispetto a una baseline ben definita. Gli analisti di mercato ritengono possibile uno spostamento delle scelte verso questo paradigma, che potrebbe essere soprattutto sinonimo di affidabilità e di flessibilità, specie in ordine ai nuovi attacchi.
Si è portati a ritenere che, pur avendo grosse potenzialità, lanomaly detection debba vivere lo stesso ciclo evolutivo che ha contraddistinto leuristica nel settore antivirus. Ciò potrebbe rallentare una sua diffusione in tempi brevi.
Torniamo alle architetture. Per quanto riguarda i Nids riteniamo ormai chiara la strategia di molti vendor di operare con lausilio di appliance, cioè di dispositivi dedicati con potenza di calcolo ottimizzata per il tipo di operazione richiesta.
Gli Intrusion detection system di tipologia host based, non dovrebbero subire "scossoni commerciali" di alcun genere, in quanto il loro costo di produzione (e di implementazione) sta scendendo, e questo significa solo una maggiore possibilità di escalation del fenomeno.
Consigliamo, inoltre, ai lettori di tenere sotto controllo il cosiddetto "modello ibrido", consistente nellinstallazione di un agente direttamente sul target, che operi come un Hids ma con una componente di rete, in grado quindi di analizzare anche gli attacchi network based, ma in maniera mirata al singolo obiettivo (host).
Una delle espressioni pratiche dellhybrid model è sicuramente lAbids (Agent based intrusion detection system). Si tratta di un modulo software in grado per lappunto di gestire entrambe le tipologie di traffico, ma con la facoltà di interagire con un framework più esteso di quello degli Ids convenzionali. Ciò significa, in pratica, una maggiore flessibilità di reazione. In attesa di unulteriore possibile svolta tecnologica prevista per il secondo quarter del 2002, una componente di un sistema distribuito (ed ecco che il cerchio inizia a chiudersi) in via di definitiva affermazione è, sicuramente, anche il personal firewall, le cui accezioni avanzate vanno a coincidere con i moduli Abids di cui abbiamo fatto menzione. Adesso, quindi, è chiaro almeno uno dei motivi per cui Internet security Systems ha acquisito NetworkIce, tempo fa.