Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Systémy detekce a prevence průniku (Intrusion Detection/Prevention System, IDS a IPS) dnes patří k samozřejmým ochranným prvkům našich informačních systémů. Nejedná se ale o „všeléky“ a minimálně je dobré si uvědomit a znát jejich limity, abychom nebyli nepříjemně překvapeni…

Útoky falešné a přehlédnuté

Je celkem pochopitelné, že na systémy IDS jsou kladeny různé nároky – což je rozdíl oproti třeba antivirovým programům, kde je všude vyžadována stoprocentní detekce. Přitom právě citlivost systémů IDS v daném prostředí je při jejich pořizování velmi důležitým faktorem. Jak ji ale brát v potaz?

Každý systém IDS má při určitém nastavení určitou hodnotu FPR (False Positive Rate). Toto je hodnota vyjadřující frekvenci, s jakou IDS systémy reportují jinak korektní aktivitu jako útoku či jako podezření na útok. Takovéto chyby jsou totiž noční můrou každého administrátora, neboť vyžadují pozornost, ale veškerá vynaložená energie je v konečném důsledku zbytečná. A krom toho otupují pozornost, takže když dochází ke skutečnému incidentu, administrátor může problém řešit mávnutím ruky „zase falešný poplach“.

Další hodnotou, kterou bychom u systémů IDS měli sledovat, je FNR (False Negative Rate). Jedná se o hodnotu vyjadřující frekvenci, s jakou IDS selhává – tedy s jakou nevyvolává poplach v případě, že ke skutečnému útoku dochází.

V praxi jsou hodnoty FPR a FNR úzce provázané, protože při zvýšení citlivosti systému klesá hodnota FNR a roste FRP. Je tedy menší pravděpodobnost, že nějaký útok bude úspěšný, ovšem cenou za to je více „falešných poplachů“. A naopak: snížení citlivosti systému znamená nižší FRP, ale vyšší FNR. Falešných poplachů výrazně ubude, ale zároveň narůstá riziko, že při menší citlivosti zůstanou některé útoky neodhalené.

V praxi proto zavádíme ještě třetí hodnotu CER (Crossover Error Rate), která vychází z FPR a FNR. Je to hodnota používaná pro porovnání různých IDS za různých podmínek. Musíme si totiž uvědomit, že citlivost a detekční schopnost IDS v různých sítích je různá. A tak jediným skutečně vypovídajícím faktorem je srovnání účinnosti jednotlivých systémů IDS ve stejných podmínkách, tedy v rámci jedné konkrétní sítě.

CER je hodnota, kdy se stejnou frekvencí dochází k FPR i FNR. Jinými slovy: jedná se o jakýsi rovnovážný bod. Není nic jednoduššího než několik různých systémů IDS porovnat na jedné síti za stejných podmínek a stanovit bod CER pro každý systém. A pak už můžete jen vybírat. Pokud pak máte zájem o systém s vyváženými hodnotami FPR a FNR, pak si vyberte systém vykazující nejnižší CER. Pokud je ale vaší prioritou systém co nejbezpečnější, vyberte si systém s nejnižším FNR. V takovém případě ovšem počítejte s vysokým FPR.

Faktory omezující IDS

Musíme si uvědomit, že IDS není systémem, který by zajistil, že k útokům nebude docházet. Ostatně, takto nefunguje prakticky žádný ochranný prvek. Úkolem IDS je útoky identifikovat, a tak je zapotřebí mít vypracovanou politiku nakládání s incidenty. Ostatně, kdyby tato politika nebyla vypracovaná, tak by ani nemělo smysl snažit se útoky detekovat.

IDS má v podstatě dva faktory, které jej mohou velmi výrazně omezit nebo dokonce učinit neužitečným. Prvním je nasazení, druhým je správa. Od nasazení se odvíjí vše: dobrým nasazením lze eliminovat i část nekvalitní budoucí správy, ale ani vynikající správou se nedostatky ze špatného nasazení nezacelí. Jde třeba o špatné umisťování senzorů, kdy zajímavá data proudí mimo ně nebo o nevhodně zvolená sledovaná data. Systém se pak věnuje vyhodnocování nepodstatných informací, kdežto ty podstatné mu utíkají „mezi prsty“. Dále je pak při nasazení potřeba dbát na kvalitní propojení jednotlivých částí systémů. A především na vypracování „akčních plánů“: jaká bude posloupnost událostí v případě odhalení určitého typu škodlivé aktivity. To sice není otázkou IDS, ale (ne)kvalitní bezpečnostní politika může veškeré úsilí zcela zmařit nebo mu naopak dát smysluplnost.

Druhým faktorem, který může omezit kvalitu IDS, je každodenní správa. Stejně jako celou bezpečnost není možné praktikovat systémem „instaluj a zapomeň“, ale je zapotřebí tento proces kontinuálně ošetřovat, tak i systémy IDS dodají kvalitní výsledky pouze při neustálém dolaďování, aktualizování a upravování. Je to zkrátka daň za dynamiku útoků v ICT světě, které jsou velmi flexibilní.

IPS: několik varování

Systémy IPS přitom rozlišujeme dvojího typu – uživatelské a síťové. Zatímco uživatelské jsou instalovány na lokálních stanicích a chrání je před jednotlivými útoky, síťové mají na starosti veškerý síťový provoz. Oba typy přitom mají své výhody i nevýhody. Zatímco uživatelské IPS je velmi pevně spjato s konkrétním operačním systémem a jeho upgrade může působit potíže, u síťového je zase obtížné zajistit, aby v dnešní době bezdrátových, mobilních aj. připojení k síti šel skutečně veškerý provoz přes tento systém.

Při výběru IPS si dejte pozor třeba na skutečnost, že mnoho výrobců IPS se zaměřuje jen na kontrolu nejpoužívanějšího protokolu HTTP. A to v současné době zdaleka nestačí, IPS musí kontrolovat celou komunikaci. Dále se informujte o tom, jakým způsobem příslušný dodavatel průběžně vylepšuje svůj systém (a za jakých podmínek!). IPS totiž není (podobně jako celá oblast informační bezpečnosti) statickou záležitostí, ale jeho vlastnosti a schopnosti by se měly průběžně zlepšovat – podobně jako se dynamicky mění typy útoků.

Hledejte také odpovědi na otázky: Jak velké zásahy do vaší stávající sítě/zvyklostí si nasazení IPS vyžádá? Jaké náklady (osobní, časové, znalostní…) si implementace systému vyžádá? Jak se příslušný systém IPS byl schopen vypořádat s minulými neznámými útoky? Jak je připraven na nové útoky, kterým jsou naše sítě vystavovány?

Nespoléhejte na stoprocentní účinnost IPS právě ve Vašich konkrétních podmínkách, takže při nasazení IPS neinstalujte na kritická místa sítě, ale nejprve provoz systému ověřte v testovacím prostředí nebo na menší části sítě. Tím se naučíte systému rozumět a získáte čas navzájem se „poznat“. Uvědomte si totiž, že do systému IPS vkládáte velkou důvěru: aby mohl proaktivně působit, musí být schopen v reálném čase bez zásahu lidské ruky provádět změny a rekonfigurace. Dejte si proto dobrý pozor, aby se tato důvěra neobrátila jako dvojsečné ostří proti vám.

Poměrně často se lze setkat se zažitou představou, že IPS je zcela automatický systém, který bude spolehlivě fungovat bez zásahu lidské ruky. To je ale samozřejmě mýtus: IPS potřebuje dohled v podobě správce, který bude systém průběžně dolaďovat na základě dosažených výsledků (falešné poplachy, resp. nezaregistrované útoky). Stejně tak je nutné IPS stále doplňovat o nové informace, aby byl schopen se vypořádat se všemi aktuálními hrozbami. Odměnou nicméně bude kvalitní nástroj pro boj s kvantitativně i kvalitativně rostoucími hrozbami.