Controllo e reazione alle intusioni con 3 IDS
Al momento in cui scriviamo, RealSecure è il prodotto che ha il più ampio market share a livello mondiale. Internet Security Systems (ISS), inoltre, è un’azienda che continua a registrare un aumento molto corposo delle proprie revenue, contestuale ad un’escalation delle acquisizioni. È recente la notizia dell’acquisizione di Network Ice, che produce il noto BlackICE, la qual cosa è da inquadrare come un definitivo spostamento dal modello ibrido a quello totalmente “Agent Based”, di cui parlarono Tom Noonan e Chris Klaus (le due colonne storiche di Iss) tempo fa. “Un agente in ogni macchina” è un concetto ribadito anche recentemente da Alex Bogaerts, vice president Emea di Iss, che abbiamo avuto l’occasione di conoscere all’ItWay Security Forum. Partendo da queste affermazioni e, contestualmente, dagli attacchi che la stessa Xforce ha segnalato, pur non essendo completamente d’accordo con la visione di ISS, abbiamo ritenuto opportuno parlare di Server Sensor, la versione di Realsecure più recente.
In realtà Server Sensor è solo la parte agente di questo sistema, che rimane sostanzialmente invariato nelle altre componenti, pur con alcune innovazioni. Il modello di analisi su cui si basa questo prodotto è ancora un po’ ibrido, in quanto, se vogliamo rifarci alla letteratura, è ancora Os Sensor a essere HIDS al 100%. Server Sensor ha, infatti, le stesse caratteristiche del primo, con l’aggiunta di un’operatività di verifica dello stack. In poche parole, oltre a monitorare gli eventi di sistema come fa Os Sensor, il prodotto che abbiamo testato controlla anche il traffico di rete relativo al punto dove è stato installato. Questo tipo di approccio renderebbe possibile una verifica anche del traffico crittografato. Fin qui tutto dipende dal punto di codifica del dato. Quello che appare più interessante è l’obiettivo che Iss si prefigge nel contrasto agli attacchi basati sulla frammentazione. Questi potrebbero essere ulteriormente mitigati proprio grazie al controllo sullo stack effettuato su due punti differenti.
Dal punto di vista delle signature, il prodotto testato contiene un insieme di quelle contenute in Network e Os Sensor, con l’aggiunta di un superset proprio di Server Sensor stesso. Per questo motivo sono state portate una serie di violazioni adeguate al tipo di implementazioni, fake triggering compreso. Atteso che quest’ultimo tipo di attacco è maggiormente proprio di un target come Network Sensor, vista l’impostazione del prodotto ci è sembrato opportuno fare una prova, senza forzare eccessivamente. Il risultato non ha deluso le aspettative, al contrario del riconoscimento delle fasi di information gathering, che si è dimostrato sicuramente migliorabile. Anche in questo caso, comunque, è possibile operare una personalizzazione delle signature che, nel caso specifico, si chiamano firecell. Comunque, è possibile, agendo sulla console e sulle policy, pianificare delle reazioni, anche a livello di riconfigurazione dei dispositivi di sicurezza, firewall compresi. Server Sensor, inoltre, può lavorare con SecureLogic, un superset di script customizzabili (a patto di conoscere il TCL) finalizzato alla gestione delle contromisure.
Il rilascio di Server Sensor, inserito ovviamente in un’infrastruttura già consolidata, potrebbe costituire un duro colpo per i competitor. Firecell e Securelogic rappresentano degli strumenti da tenere in considerazione, forse un po’ troppo farraginosi ma interessanti. Spesso, comunque, è questo il prezzo da pagare per la granularità che tutti si aspettano da un prodotto di questo tipo. La consistenza della documentazione è appena sufficiente ma la qualità di stesura è superiore alla media.
Auspicabile l’estensione delle piattaforme coperte dal prodotto, specie sul mondo Linux. Comunque si tratta di un modello analisi innovativo da tenere sotto controllo, specie per le potenziali capacità di riduzione di alcuni attacchi, come gli Ipfrag based.
caratteristiche