ИНСТРУМЕНТЫ
Деннис Фишер
Производитель систем сетевой безопасности фирма Sourcefire готовит к выпуску очередное устройство, призванное повысить эффективность и надежность систем обнаружения атак. Аппаратно-программный комплекс под названием RNA (Real-time Network Awareness - отслеживание сети в реальном времени) не только производит оценку уязвимости системы, но и соотносит полученные результаты с текущими изменениями, вносимыми в конфигурацию сети. Такое сочетание функций должно снизить, а то и совершенно устранить ложные срабатывания, свойственные подобным продуктам.
Новый модуль работает в тесном взаимодействии с системой защиты от вторжений Intrusion Management System, выпускаемой этой же фирмой на базе ПО обнаружения атак Snort с открытым кодом. При первом включении RNA идентифицирует все ресурсы сети и оценивает их текущее состояние, после чего начинает непрерывно следить за сетью. О любых изменениях (например, о включении новых устройств или запуске на сервере нестандартных сервисов) модуль немедленно уведомляет администратора сети. Кроме того, автоматически производится идентификация выявленных изменений и анализируется, способны ли они сделать машину более уязвимой. Эти данные пересылаются на консоль управления Sourcefire Management Console и отображаются вместе с информацией датчиков системы обнаружения атак. Такая визуализация позволяет полнее представить общую картину происходящего и определить, насколько опасны отмеченные изменения.
"Системы обнаружения атак весьма ресурсоемки, и к тому же им ничего не известно о том, что они защищают, - поясняет исполнительный директор Sourcefire Уэйн Джексон. - Наши клиенты надеются, что после развертывания RNA их инфраструктуры защиты станут гораздо надежнее".
По мнению аналитиков, идея сопоставления сетевых событий с другой важной информацией открывает одно из перспективных направлений развития средств безопасности.
"Все дело в контексте, - уверен Пит Линдстром, аналитик фирмы Spire Security, специализирующейся на анализе рынка. - Нынешние системы по-прежнему выдают много ложных предупреждений о попытках взлома, и ничего с этим существующими средствами сделать нельзя. Единственный выход - подключить дополнительную информацию, что поможет принимать более обоснованные решения. На ближайшие год-полтора это станет основной тенденцией развития технологии IDS".
Системы со сходными возможностями корреляции предлагают и другие компании, однако Джексон считает реализацию и технологию своей фирмы уникальными. Достаточно сказать, что в ходе разработки технологии RNA были поданы заявки на шесть патентов. В последующем, считает он, на путь Sourcefire непременно выйдут и другие производители.
"Когда имеешь уникальную идею, она, скорее всего, не так уж плоха", - уверен Джексон.