image

"Huidige generatie IDS / IPS voldoen niet" (Whitepaper)

donderdag 14 december 2006, 14:06 door Redactie, 7 reacties

Het probleem van huidige generatie Intrusion Detection Systems en Intrusion Prevention Systems (IDS/IPS) is dat zij onderhevig zijn aan False Alarms. Zij herkennen misschien wel heel veel dubieus verkeer op het netwerk maar hebben echter geen manier om te weten te komen of dat verkeer belangrijk of relevant is, aldus SourceFire, wat de meesten zullen kennen van het Open Source IPS Snort. Het bedrijf heeft een oplossing voor het false alarm probleem gevonden door omgevingskennis aan het IDS/IPS toe te voegen.

Met behulp van het SourceFire 3D systeem wordt een Unified Network Defense System geboden. De 3 D’s bestaan uit Discover, Determine en Defend. De belangrijkste componenten van Discover zijn Threat Intelligentie, Endpoint Intelligentie en Netwerk Intelligentie. Het 3D systeem correleert automatisch de 3 intelligentie types, prioritiseert het resultaat en onderneemt vervolgens automatisch actie om te beschermen tegen relevante bedreigingen.

Het SourceFire 3D systeem integreert zowel active scanning als passive discovery om zo tot de meest accurate real-time endpoint intelligentie te komen. Geen ander systeem biedt deze geintegreerde combinatie die gebruikers in staat stelt het gehele threat spectrum aan te pakken.

Het bepalen, of een bepaalde threat valide, is wordt gedaan met behulp van het SourceFire Defense Center. Het Defense Center onderhoud een database die informatie bevat over welke hosts zich op netwerk bevinden en het bouwt profielen van wat normaal netwerk verkeer voor deze systemen is. Deze informatie is afkomstig vanuit de RNA sensors en de SourceFire Intrusion Sensors op het netwerk. Het Defense Center correleert dan netwerk veranderingen, anomalous verkeer en verdachte activiteiten, met zijn kennis van het netwerk, om op deze manier, real-time geprioritiseerde alarmering en threat mitigation te kunnen bieden.

Het 3D systeem verdedigt het netwerk met behulp van de ABC’s van verdediging - Alarmeer, Blokkeer, Corrigeer. Dit omvat o.a. het sturen van SNMP traps, syslog alerts en email notificatie; het blokkeren van boosaardig verkeer of het vervangen van boosaardige content met goedaardige; firewall reacties om boosaardig verkeer te blokkeren; alsmede integratie met patch of configuratie management systemen om configuratie of code veranderingen aan te brengen om op die manier mogelijke exploitations te verhinderen. Het Defense Center bevat eveneens modules om actief vijandige communicatie te blokkeren op firewalls, zoals Cisco PIX of Checkpoint OPSEC compatible firewalls.

SourceFire 3D is een volledig geintegreerde oplossing die management van intrusion detectie en preventie, netwerk discovery, vulnerability scanning en event correlatie vanuit een enkele console mogelijk maakt. Deze integratie maakt het mogelijk om high-value alerts te sturen naar het incident response team en maakt eveneens geautomatiseerde threat mitigation mogelijk. Incident handlers kunnen actuele data bekijken om te bepalen welke commmunicatie er op een gegeven moment plaatsvindt, inclusief historisch analyse. De Datamining en event drilldown features zijn zeer bruikbaar bij verder forensisch onderzoek.

De belangrijkste eigenschap waarmee SourceFire zich onderscheidt van anderen is de mogelijkheid om continue passive discovery uit te voeren. Dit is de primaire methode om endpoint en network intelligentie te vergaren, in tegenstelling tot tradionele methoden zoals active scanning of gedistribueerde agents.

Passieve discovery maakt ook een andere belangrijke eigenschap van het 3D systeem mogelijk, namelijk ‘Impact’ rating. Door het combineren van passive system fingerprinting, active targeted scanning, en robuste vulnerability signatures kan het 3D systeem elk alarm van een ‘Impact’-rating voorzien. Het Defense Center bepaalt de relevantie oftewel impact van een bepaald event gebaseerd op de mogelijke slagingskans van een successvolle exploitation op het beoogde target. Bijvoorbeeld, een alert op een Apache exploit zal een veel lagere Impact rating krijgen wanneer deze geprobeerd wordt op servers waarvan men weet (via RNA) dat er Microsoft IIS opdraait.

Deze impact ratings zijn essentiele gegevens die de Defense Center’s Policy en Response engine in staat stelt om automatisch de meest toepasselijke reactie te geven, in real-time. Bijvoorbeeld, een Apache exploit geprobeerd op een IIS server kan eenvoudig gelogd worden voor toekomstige analyse terwijl dezelfde exploit tegen een Apache server direct een remediation actie naar de firewall als gevolg kan hebben. De Policy en Response engine maakt het ook mogelijk om complexe security policies door te voeren. Een voorbeeld hiervan zou kunnen zijn dat de policy bepaalt dat peer-to-peer transfers niet zijn toegestaan. Een Policy en response rule zou kunnen worden geschreven om P2P connecties niet toe te staan, zodat “data-lekkage” niet kan voorkomen.

Meer over informatie over dit systeem is te vinden in het RNA White Paper.

Reacties (7)
14-12-2006, 14:57 door Anoniem
lol IDS/IPS systemen zijn vaak een lachtertje, met d'r static pattern
matching en "anomaly detection" XD
14-12-2006, 15:49 door Anoniem
Laat nu al jaren bekend zijn dat een IDS/IPS als Snort
slechts onderdeel is van een keten van informatie. Dat is
precies waarom bedrijven als Juniper en Cisco al met
constant aangepaste oplossingen zijn gekomen om meer te
matchen en correleren. Sourcefire loopt erg achter met hun
producten door daar eerst niet op in te spelen. Nu pas
roepen ze dat zij het wel even goed oplossen en de rest het
fout doet.

De werkelijkheid naar mijn mening: Ze komen nu pas tot de
ontdekking dat ze jaren achter liepen en moeten daarop nog
leren dat ze het probleem misschien wel begrijpen maar de
oplossing niet even een kwestie is van iets wat de
concurenten (gedeeltelijk) hadden aangepast op de markt
zetten als de waarheid.

Juniper en Cisco hebben inmiddels wel geleerd dat een
oplossing niet simpel is en veel aanpassing vergt van het
ids en de omgeving.
14-12-2006, 16:46 door Anoniem
Ligt kennelijk gevoelig dat een club als Sourcefire erg innovatief bezig is. Ik
denk dat geinteresseerden het beste zelf moeten vergelijken wat de beste
of meest innovatieve oplossing is. In het algemeen denk ik dat grotere
organisaties als Juniper en Cisco nou niet echt de focus hebben op
IDS/IPS en het nou niet het toonbeeld van innovatie zijn maar eerder
voor "goed genoeg" gaan om aan minimale eisen te voldoen.
14-12-2006, 17:05 door fubar
Het is inderdaad wel grappig om te zien dat Cisco en Juniper
genoemd worden door anonieme personen als betere produkten.
Wie ook maar drie dagen praktijkervaring heeft met deze
produkten weet dat dit onzin is...

Ciao,
Carlo
14-12-2006, 23:57 door Anoniem
Door fubar
Het is inderdaad wel grappig om te zien dat Cisco en Juniper
genoemd worden door anonieme personen als betere produkten.
Wie ook maar drie dagen praktijkervaring heeft met deze
produkten weet dat dit onzin is...
En daarom staat in die reactie ook niet dat Cisco of Juniper
of wie dan ook beter zijn maar dat ze er al een tijd mee
bezig zijn. En allemaal is het ze tot nu toe enkel gelukt om
er achter te komen dat ze kunnen blijven vernieuwen.
Sourcefire moet daar nog achter komen. Het is keurig in de
innovatieve aanval gegaan met bijbehorende pr machine, maar
het is niet slim waarop ze nu eigenwijs de juiste weg
voorhouden. Die is er pas als het echt werkt voor de
gebruikers. Maar dat zien we echt niet met het huidige
pallet aan oplossingen van wie dan ook gebeuren.
15-12-2006, 08:25 door splinter
Ik dacht dat het om een artikel ging, maar het is gewoon reklame!
16-12-2006, 04:42 door Anoniem
Door Anoniem
En daarom staat in die reactie ook niet dat Cisco of Juniper
of wie dan ook beter zijn maar dat ze er al een tijd mee
bezig zijn. En allemaal is het ze tot nu toe enkel gelukt om
er achter te komen dat ze kunnen blijven vernieuwen.
Sourcefire moet daar nog achter komen. Het is keurig in de
innovatieve aanval gegaan met bijbehorende pr machine, maar
het is niet slim waarop ze nu eigenwijs de juiste weg
voorhouden. Die is er pas als het echt werkt voor de
gebruikers. Maar dat zien we echt niet met het huidige
pallet aan oplossingen van wie dan ook gebeuren.

Ik heb met verschillende IDS-en ervaring. Waaronder ook
Sourcefore en Snort. Op basis hiervan kan ik alleen maar
beamen dat Sourcefire en Snort meerdere malen verdachte
situaties op tijd detecteerden. Het instellen van een IDS
moet gebeuren met diepgaande kennis van de omgeving waarin
het gedraaid wordt. Daarnaast gaat het correct instellen
van een IDs niet alleen over voldoende signatures toevoegen
maar ook wel degelijk over compliany checking.

Laat ik het zo zeggen. Stel je bent een ICT manager van een
organisatie. Het dagelijks bestuur besluit in al zijn
wijsheid dat een penetratietest gehouden moet worden om de
beveiliging te testen. Als manager weet je dat er altijd
zaken niet gepatched zijn omdat de service window een maand
geleden was. Bovendien weet je ook dat er verschillende test
systemen voor ontwikkelaars op het productie netwerk zijn
aangesloten omdat je nou eenmaal die dure ontwikkelaars niet
drie weken kan laten wachten tot de zooi in de OTAP straat
is gehangen...

Met een IDS weet je dat je een kans maakt om de hack
pogingen van een pentest team te detecteren zodat je een
goed verhaal hebt nadat ze je suf gehacked hebben met een of
andere ouwe exploit. De meeste pentesters nemen namelijk
niet eens de moeite om een 0-day te schrijven omdat daar
geen tijd voor is. Als manager kan je dan tenminste zeggen
dat het IDS het detecteerde en dat de pentesters dus niet
ongemerkt binnen zijn gekomen. Met behulp van de juiste
rapportage uit het IDS kun je dat onderbouwen en voorkom je
dat er een discussie ontstaat over de mate van controle die
de afdeling ICT heeft over de beveiliging...

Los van het feit dat ook 0-days wegens compliancy violations
te detecteren zijn omdat de meeste middels trial en error
pas werkende te krjgen zijn... Als je zelf ooit exploits
geschreven hebt weet je dat...

De essentie van een IDS is niet alles tegen te houden. De
essentie van een IDS is onderdeel te zijn van een set van
maatregelen zoals ook in het artikel over Prelude op dit
forum vermeld wordt. Het pure feit dat een IDs van merk A, B
of C niet alles 100 % detecteerd is nog geen reden het
gelijk te bestempelen als waardeloze techniek. Ik ben in de
praktijk blij als ik 80% van het "malicious" verkeer tijdig
detecteer. De overige 20% is dan middels correlatie vaak ook
te traceren als je er op tijd bij bent.

Anyway... My two cents,
Carlo
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.