Sistema de Prevenção de Invasões

Fonte: Nir Zuk, CTO da Netscreen Tecnologie

Os administradores de TI aprenderam rapidamente que sistemas para detecção de invasões fazem pouco para proteger os recursos críticos de uma rede corporativa e muitas vezes provocam custos operacionais elevados com pouco retorno. Como resultado, as vozes que alardeavam estes sistemas como sendo a melhor ferramenta de segurança no mercado calaram-se rapidamente. No entanto, há algumas tecnologias de detecção e prevenção de invasões que estão prosperando com a superação das falhas dos sistemas legados de detecção de invasões e podem ser incrementos muito eficazes ao arsenal de segurança dos departamentos de TI. O truque é saber que tecnologias são estas entendendo os pontos fracos dos sistemas de detecção de intrusão e os requisitos dos produtos para fornecer funções "reais" de prevenção.

Há provas abundantes de que as redes e servidores de dados, sejam elas baseados em software proprietário, como Windows, ou de fonte aberta, como Unix ou Linux, são vulneráveis a ataques. Os pesquisadores e fornecedores de software estão sempre descobrindo novos pontos fracos nos sistemas operacionais e aplicativos. Os hackers também estão, motivados a procurar e explorar pontos vulneráveis por diversão, rebeldia, ou visando lucros.

A boa notícia é que muitas empresas e organizações estão clientes destes riscos e investiram tempo e esforços na aquisição de soluções para segurança de redes, como firewalls e sistemas para detecção de invasões. A má notícia é que algumas destas soluções têm resultados ruins em termos de tornar a rede segura contra o atualmente crescente volume e complexidade dos ataques, que agora ameaçam as redes corporativas tanto nos níveis da rede quanto no das aplicações. Veja o caso do Las Vegas Review-Journal, um jornal diário com circulação superior a 160 mil exemplares nos dias de semana, e 224 mil nos finais de semana. Soubemos por meio do gerente de serviços de suporte da editora, que a rede e os servidores do Review-Journal sofrem ataques quase que constantes com 3 mil a 4 mil varreduras de porta por dia, ataques de "denial of service", e outros.

Apesar dos melhores esforços do Review-Journal para proteger sua rede, o gerente disse que muitas vezes os ataques tinham sucesso. Como resultado, ele e sua equipe pesquisaram e avaliaram diversos sistemas para detecção de invasões, na esperança de aumentar a proteção de sua rede. No entanto, durante o processo de avaliação, a equipe reconheceu que a maioria dos sistemas de detecção de invasões que analisou não tinham meios eficientes para permitir que o Review-Journal bloqueasse os ataques. O gerente comentou que "a maioria oferecia alertas por e-mail e um mecanismo automático para bloquear IPs no firewall, o que não era uma boa solução porque o tráfego dos usuários legítimos também seria bloqueado."

Além disso, o gerente também levantou outra preocupação real: muitos sistemas de detecção de invasões apresentam um enorme número de falsos positivos. E, devido ao fato de a maioria destes sistemas não possuírem funções completas de administração, o que ajudaria os administradores de TI na medição do quanto de tráfego legítimo estaria sendo bloqueado, nem para executar investigações rápidas de ataques para validade e sucesso, e nem análise completa de registros para identificação de tendências nos ataques para modificação rápida das políticas, o pessoal de TI que já sofria com excesso de trabalho poderia ser mais sobrecarregado ainda.

Quando não se pode confiar que os maus estão sendo deixados do lado de fora, e os bons estão podendo entrar, é hora de procurar por uma tecnologia de segurança melhor, como sistemas de detecção de invasões com prevenção. Alguns sistemas de detecção e prevenção de invasões, diferentes dos sistemas legados, podem detectar ataques com precisão e interrompê-los automaticamente, sem interromper futuras conexões para estes mesmos endereços de IP, para assegurar que eles nunca atinjam sua vítima pretendida. Porém, muitas vezes é difícil dizer que os produtos podem ou não oferecer a prevenção contra ataques necessária para proteger ativos críticos. Para fazer isso, é preciso uma compreensão clara das diferenças entre sistemas de detecção de invasões e de detecção e prevenção de invasões.

CÂMERA NO LOBBY x GUARDA NO LOBBY

As diferenças entre um sistema de detecção de invasões e um sistema de prevenção de invasões são tão fundamentais quanto as diferenças entre uma câmera de vídeo apontada passivamente para o lobby de um edifício e um guarda presente ostensivamente no lobby, realmente verificando quem chega antes de permitir sua entrada. Um sistema de segurança que utiliza apenas o sistema de monitoração por vídeo possui as mesmas limitações de um sistema de detecção de invasões. Em primeiro lugar, quando o sistema de monitoração por vídeo detecta atividades suspeitas, ele não pode bloquear o invasor diretamente. A única resposta de quem monitora é notificar outra pessoa sobre o problema: disparar um alarme, ou então telefonar para a polícia. Isto toma tempo. Então, o invasor provavelmente já terá ultrapassado o ponto de verificação e poderá ter feito estragos antes de ser abordado.

De forma semelhante, um sistema de detecção de invasão monitora passivamente o tráfego dentro da rede de uma empresa, em busca de tráfego que parece suspeito e que poderia ser considerado maléfico. A capacidade e gama dos ataques que podem ser detectados por um dispositivo está relacionada aos tipos de mecanismos de detecção que emprega. Mecanismos genéricos que não podem diminuir o escopo dos resultados da busca por um ataque criam muitos alarmes falsos; e os dispositivos que possuem apenas um, dois ou três mecanismos resultam em ataques que passam despercebidos devido à cobertura insuficiente. E, o que é mais importante, como os dispositivos de monitoração, eles não podem afetar o tráfego em tempo real, pois ao invés disso eles utilizam funções reativas, tais como envio de uma mensagem de alerta para o administrador de TI, a tentativa de restabelecer a conexão TCP, e/ou o envio de um sinal para que o firewall bloqueie um endereço IP. Todos estes mecanismos tipicamente ocorrem depois que o ataque já atingiu sua vítima. Como resultado, estas soluções são insuficientes para proteger os recursos críticos de uma rede corporativa.

TOMANDO AÇÃO PRÓ-ATIVA

Qual é a solução? Substituir a câmera de vídeo por um guarda no lobby, encarregado de inspecionar fisicamente cada um dos visitantes antes de permitir que eles entrem no edifício e armar este guarda com ferramentas para detectar tipos diferentes de intenções maléficas. Isto é na essência o equivalente a um sistema de última geração para detecção e prevenção de invasões que emprega o maior número possível de métodos de detecção para detectar diferentes tipos de ataques, e então fica no caminho bloqueando o tráfego antes que entre na rede, caso seja considerado maléfico.

Uma solução "pró-ativa" tem também a capacidade de interpretar com precisão o tráfego como seria enxergado pelo dispositivo de destino. Isto é importante porque muitos ataques sofisticados contra redes requerem na verdade muitos pacotes em um fluxo de dados. Individualmente, cada pacote pode parecer inócuo, porém quando reunidos no destino, podem causar uma sobrecarga do buffer em um servidor desprotegido, ou uma seqüência de dados mal-formada pode provocar uma queda do sistema. Dispositivos tradicionais de monitoramento de invasões são limitados pela sua incapacidade de interpretar corretamente a intenção destes pacotes, fato que os atacantes aproveitam, criando ambigüidades para invadir o sistema. Em contraste, um sistema de detecção e prevenção de invasões in-line que seja "network aware" ("ciente da rede"), como o Netscreen Intrusion Detection and Prevention System (IDP), pode remontar todos os pacotes da seqüência, para poder "enxergar" os mesmos dados que o endereço de destino do tráfego na rede. Caso se constate que o pacote IP seja maléfico, ele é simplesmente deixado de lado - e a tentativa de ataque é interrompida, protegendo pró-ativamente os recursos críticos e economizando tempo e custos do departamento de TI na "limpeza" dos danos provocados por ataques.

O Las Vegas Review-Journal compreende os benefícios das funções in-line e dos métodos de detecção múltipla encontrados em soluções verdadeiramente de ponta como a Netscreen IDP, que recentemente adotou. O gerente de serviços de suporte comentou que `Os outros dispositivos para detecção de invasões que consideramos antes de selecionar uma solução para detecção e prevenção de invasões tinham a mesma eficácia de um alarme de carro. "Ele disse ainda que" No entanto, o sistema de detecção e prevenção de invasões da Netscreen faz o necessário para o Review-Journal. Ele coloca os pacotes maléficos de lado antes que os ataques atinjam nossos servidores.

Podemos bloquear ou afastar a maioria dos ataques críticos a DNS de alta disponibilidade em nosso site, e ataques que poderiam resultar em um DOS [denial of service] total a qualquer momento. "Os atacantes estão lá fora, e, sem um sistema in-line de detecção e prevenção de invasões, que seja capaz de executar uma análise aprofundada, alavancando diversos métodos de detecção e deixando de lado tráfego maléfico, toda a rede de uma empresa pode simplesmente estar desprotegida contra ataques sofisticados. E, o que é mais importante, não se engane pelo marketing de um fornecedor dizendo que seus sistemas são verdadeiramente de detecção contendo alguma melhoria para detecção limitada de alvos fáceis ou anomalias de protocolo como função de "proteção" ou "detecção" de invasões. Leia nas entrelinhas e certifique-se de que está escolhendo um sistema de detecção e prevenção de invasões que possa verdadeiramente ser um incremento eficaz ao arsenal de segurança de seu departamento de TI.

Dados biográficos:

Zuk é conhecido no mercado como inovador na tecnologia de segurança. Na Netscreen, Zuk é responsável pela visão de desenvolvimento do produto e pela avaliação de novas tecnologias e tendências. Antes de integrar a Netscreen, Zuk foi co-fundador da "OneSecure", onde foi pioneiro no desenvolvimento e lançamento do primeiro dispositivo da indústria para detecção e prevenção de invasões projetado para detectar com precisão e interromper invasões em tempo real mediante a execução de varreduras em tempo real e da utilização de funções multi-métodos para detecção de ataques, bem como funções exclusivas de administração para propiciar respostas rápidas a novas ameaças.

www.juniper.net