В каком направлении будут развиваться
Карри: Я думаю, что решение с одиночным датчиком (модулем слежения), установленным на одном компьютере, являлось лучшим на момент его принятия. Следующий большой шаг - обнаружение распределенных атак путем приема данных от множества датчиков, разнесенных по сети предприятия, и группирование этих данных в единое изображение, отражающее общую картину нападений на сеть (первые такие решения уже стали появляться, например, системы RealSecure или NetRanger - примечание переводчика). Единственный способ делать это сегодня - вручную (с момента публикации появилась первая система, обобщающая данные от систем обнаружения атак и других средств защиты в единую картину, демонстрирующую общий уровень безопасности сети, уже предлагается на рынке. Это система SAFEsuite Decisions компании ISS - примечание переводчика), и я предполагаю, что необходимость в человеческом контроле будет еще нужна в течение некоторого времени. Я думаю, что в течение ближайших 18-24 месяцев произойдет постепенное слияние рынка межсетевых экранов и систем обнаружения атак. Вы будете видеть несколько продуктов, все более или менее взаимозаменяемых в их ядре.
Саттерфилд: Технологии обнаружения атак развиваются быстрее молнии. Направление развития - удешевление инфраструктуры. Никто не хочет много тратить на защиту. Состязание в технологиях обнаружения атак будет выиграно теми, кто предложит заказчикам наиболее дешевое решение.
Клаус: Будет наблюдаться развитие трех (потенциально находящихся в противоречии) областей: развертывание, технологичность и качество обнаружения атак. В области развертывания мы будем видеть расширение числа мест обнаружения атак: на сетевом уровне (на межсетевых экранах, на коммутаторах, на маршрутизаторах), на уровне операционной системы (на серверах, на рабочих станциях) и на прикладном уровне (в СУБД или на сервере SAP, например). Для технологичности, , мы будем видеть, что системы станут более простыми в функционировании и более "приборо-подобными", чтобы встроить их в сетевую инфраструктуру без внесения в последнюю серьезных изменений. В области качества обнаружения атак мы увидим, что логика распознавания атак начнет включать модели построения поведенческих профилей и отклонений от этого профиля. Будет намного больше "интеллекта" в определении того, что является неправильным использованием ресурса или атакой. Общее число атак с ростом сетевых технологий неизбежно увеличится.
Ранум: Я думаю, мы увидим объединение сигнализирующих и экспертных систем обнаружения атак. Эти системы будут интегрированы в средства сетевого управления. Мы, специалисты в области защиты, должны прекратить решать отдельные проблемы сетевого управления. Поиск ошибок, обнаружения атак и т.п. - все это разные аспекты одной и той же проблемы - проблемы сетевого управления.
Спаффорд: Исследования в этой области все еще идут. Мы до сих пор не очень хорошо понимаем, за ЧЕМ надо наблюдать, КАК надо наблюдать и ЧТО делать после обнаружения? Я думаю, что следующая проблема, которая встанет перед коммерческими системами обнаружения атак - автоматизированное реагирование на некоторые виды нарушений. Мы видим, что появляются системы, заменяющие правила межсетевых экранов и маршрутизаторов (яркий пример такой системы - RealSecure - примечание переводчика). Системы станут больше отвечать термину "активная обороноспособность", потому что функции обнаружения и реагирования будут объединены в одном ядре системы. Такие системы станут распространенными в следующие 2-3 года (необходимо отметить, что такие системы уже получили широкое распространение. Сейчас очень трудно встретить систему, которая бы только обнаруживала атаки, но никак не реагировала на них - примечание переводчика).
Саттерфилд: Научно-исследовательские институты выполнили неплохую работу. Фактически, именно эти исследования дали первый опыт в области обнаружения атак нашей компании. Однако, институты слишком инерционны, чтобы направить новые исследования в нужную сторону. Они очень много усилий вкладывают в область обнаружения атак. Сейчас намечается постепенный возврат к "аномальному" подходу, значение которого было недооценено несколько лет назад. Я думаю, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Мы учтем уроки, полученные в результате исследований систем обнаружения злоупотреблений (misuse). Мы начинаем работать с некоторыми институтами и надеемся, что это будет взаимовыгодное сотрудничество. Время покажет.
Ранум: Практически все исследования систем обнаружения атак проводятся в области применения экспертных систем, поскольку они наиболее интересны с технической точки зрения и более вероятно, что работа в этой области действительно принесет нечто полезное. Большая проблема, которую я вижу, это игнорирование задач, связанных с сетевым управлением, а ведь "реальная защита равна сетевому управлению". Современные системы не имеют интуитивного интерфейса или настолько громоздки, что их очень трудно использовать. Я думаю, что хорошие идеи из области научных исследований переместятся в коммерческие системы.
Карри: Пару десятилетий изучение технологий обнаружения атак было прерогативой исследовательских лабораторий. До сих пор коммерческий сектор не обращал внимания на эти исследования и занимался повторным изобретением колеса. Но поскольку важность защиты продолжает расти, промежуток между исследовательскими проектами и коммерческими изделиями постоянно сокращается.
Спаффорд: Могу назвать несколько исследовательских лабораторий, которые за последние несколько лет провело успешную работу в области обнаружения атак. Это UC Davis, Haystack Labs и LANL. Эти работы привели к успешному созданию большого числа систем, среди которых можно назвать ASIM, Stalker, NADIR и др.
В лаборатории COAST рассмотрели ограничения и основные проблемы, связанные с областью обнаружения атак. Мы не начинаем с вопроса: "Хорошо, система дает нам X. Мы хотим Y. Что надо сделать, чтобы система, дающая X, давала нам Y?" Вместо этого, мы решаем задачи, связанные с обнаружением атак и злоупотреблений целиком, от начала до конца, и пробуем найти эффективные решения. Например, Юджин Ким (Gene Kim) и я начали разработку системы Tripwire с вопроса: "Что является характерным практически для каждой попытки злоупотребления или атаки?" Ответ: обращение (исследование) к локальным файлам или их изменение ("взлом"). Таким образом, мы разработали систему, которая хранит "слепок" файла и обнаруживает злоупотребление этим файлом. Другой пример, разработка Сандипом Кумаром (Sandeep Kumar) и мной системы обнаружения атак IDIOT (Intrusion Detection In Our Time). Мы проанализировали, что реально можно обнаружить в системе, а затем разработали инструмент, который смог бы обнаруживать это наиболее эффективно. Результат - система обнаружения атак на уровне хоста (host-based), которая практически не снижает производительности и имеет очень широкую область применения. Чему мы научились в процессе этой работы, так это тому, что большинство коммерческих систем не хранит информацию обо всех действиях также эффективно, как это сделано в системе IDIOT. Теоретически возможно обнаружить большое количество различных форм злоупотреблений, но операционные системы не обеспечивают нас поддержкой, позволяющей контролировать каждое действие. В результате большинство современных систем требуют оснащения защищаемых систем специальной аппаратурой для сбора необходимой информации. Как следствие, это приводит к снижению производительности и эффективности системы, а также к увеличению хранимых и обрабатываемых контрольных данных.
Сегодня лаборатория COAST сосредоточила свое внимание на четырех направлениях технологии обнаружения атак. Во-первых, определение информации, которая должна храниться в журналах регистрации, и способа их сбора для наиболее эффективного управления любой системой обнаружения атак. Во-вторых, определение наилучшей структуры и формата хранения регистрационных данных, чтобы они могли быть быстро обработаны, не требуя больших объемов памяти для хранения и обработки. В-третьих, перемещение обработки контрольных данных с центральной консоли ближе к фактическому источнику этих данных. Это реализуется в нашем проекте агента обнаружения атак AAFID (демо-версия данного агента может быть загружена с Web-сервера лаборатории - примечание переводчика). И, в-четвертых, определение того, как результаты исследований в первых трех направлениях могут быть реализованы в программном обеспечении.
Я думаю, что успех некоторых из рекламируемых сейчас систем обнаружения атак поощрит разработчиков операционных систем создать открытый интерфейс для интеграции с механизмами регистрации данных. Меня также волнует, что с системами обнаружения атак может произойти то, что произошло с межсетевыми экранами, когда на рынке появилось большое число "экспертов" в области безопасности и фирм с небольшими модификациями существующих технологий. В чем состоит проблема? В потере и непонимании основных принципов. Например, термин "firewall" ("межсетевой экран") появился приблизительно 7 лет назад. Фактически, насколько нам удалось обнаружить, термин "firewall" появился в 1991 году, в книге "Practical Unix Security" (признаю, что это моя оплошность, т.к. я ввел этот термин). Однако последний месяц ознаменовался первым появлением формальной модели межсетевого экрана, выполненной одним из моих студентов - Кристофом Шуба (Christoph Schuba). Люди были так заняты продажей межсетевых экранов, предоставлением обучающих программ для межсетевых экранов и их рекламой, что пренебрегли исследованиями того, что в действительности должен представлять собой межсетевой экран. Интересно то, что когда мы сравнили все коммерческие межсетевые экраны с моделью Кристофа, все они имели отсутствующие компоненты. Я вижу нечто подобное и в области обнаружения атак. Имеется потребность в таких системах. Давление на производителей систем обнаружения атак приведет к тому, что научные исследования и разработка соответствующей теории не будут выполнены. Уже сейчас акцент разработки в значительной степени смещается, и она ведется без понимания основополагающих принципов. Рынок средств защиты (а также средств управления) недостаточно поддерживает соответствующие исследования, проводимые в академических кругах, и в то же время многие университеты стимулируют перспективных студентов для выполнения этой работы.
Таким образом, я думаю, что и продавцы, и заказчики систем обнаружения атак должны поддерживать научно-исследовательские институты для проведения базисных исследований вместо постоянной модификации одних и тех же идей снова и снова (что и происходит сейчас). Мы нуждаемся в радикально новых идеях в этой (и других) областях.
