Στο χώρο του Information Security συνεχώς προσπαθούμε να αντιμετωπίσουμε τις απειλές επενδύοντας σε λύσεις ασφάλειας, συχνά χωρίς το επιθυμητό αποτέλεσμα.

Οι νέες προκλήσεις έχουν να κάνουν με την αντιμετώπιση νέων απειλών, τη σωστή χρήση των νέων τεχνολογιών προστασίας, καθώς και την εμφάνιση νέων κανονιστικών ρυθμίσεων που απαιτούν συμμόρφωση. Η τεχνολογία IDS/IPS (Intrusion Detection/Prevention Systems) αποτελεί παραδοσιακά έναν πολύ σημαντικό σύμμαχο των επιχειρήσεων στη μάχη ενάντια στις απειλές και δρα συμπληρωματικά των κλασσικών firewalls. Ομως, τα συμβατικά συστήματα IPS έχουν σημαντικά μειονεκτήματα:

· Εχουν δύσκολη διαχείριση, μια που συχνά απαιτείται εξειδικευμένο και άριστα εκπαιδευμένο προσωπικό για να αναλύει εκατοντάδες events και alerts, ώστε να αξιολογηθεί μια απειλή.
· Για να κρατήσουν χαμηλό τον αριθμό των λανθασμένων ενδείξεων (false positives), διατηρούν χαμηλό και τον αριθμό των κανόνων της συσκευής IPS, αφού δεν γνωρίζουν την ακριβή δομή του δικτύου.

Αυτό έχει ως αποτέλεσμα να απαιτείται σημαντική προσπάθεια παραμετροποίησης και συνεχή παρακολούθηση και βελτιστοποίηση. Ολα τα παραπάνω μεταφράζονται σε κόστος και σε μη αποτελεσματική προστασία.

Adaptive IPS
Η νέα γενιά IPS εισαγάγει μία νέα τεχνολογία που αναφέρεται ως Adaptive IPS και είναι σχεδιασμένη για να βοηθήσει στη βελτιστοποίηση της προστασίας και την εύκολη διαχείριση, ακόμη και από επιχειρήσεις με μικρό και όχι ιδιαίτερα καταρτισμένο προσωπικό ασφάλειας Πληροφορικής. Οι διαχειριστές δεν χρειάζεται πλέον να αλλάζουν την παραμετροποίηση στο σύστημα IPS καθώς το δίκτυο μεταβάλλεται, ούτε να αναλύουν σε καθημερινή βάση εκατοντάδες ή χιλιάδες περιστατικά για να διαπιστώσουν ποια από αυτά είναι τα πιο σημαντικά.

Η τεχνολογία που βρίσκεται πίσω από το Adaptive IPS λειτουργεί όπως το SONAR στα υποβρύχια: παρακολουθεί σε 24ωρη βάση τη δικτυακή κίνηση, προσφέροντας αναλυτική καταγραφή σε πραγματικό χρόνο όλων των συστημάτων, υπηρεσιών, πρωτοκόλλων, και τρωτών σημείων που υπάρχουν στο δίκτυο. Εχοντας πραγματική γνώση του δικτύου με συνεχή ενημέρωση, το IPS είναι πλέον σε θέση να προσαρμόζεται αυτόματα στο δικτυακό περιβάλλον, χωρίς την ανάγκη παρέμβασης των διαχειριστών.

Ενδεικτικά αναφέρουμε μερικά από τα χαρακτηριστικά τέτοιων συστημάτων και τα πλεονεκτήματα τους:

· Impact Flag Assessments: Η γνώση σχετικά με τις απειλές συσχετίζεται αυτόματα με τη γνώση σε πραγματικό χρόνο που αφορά τα συστήματα-στόχους, έτσι ώστε να καθορίζεται για την κάθε επίθεση το πόσο σχετική είναι, και τι πραγματικό αποτέλεσμα θα επιφέρει, με αποτέλεσμα τη μείωση τουλάχιστον κατά 99% των περιστατικών που απαιτούν ενέργειες διαχειριστών.
· Συνιστώμενοι Κανόνες (Rules): Καθώς το δίκτυο αλλάζει, το σύστημα Adaptive IPS προτείνει τους αντίστοιχους κανόνες με βάση το δίκτυο που προστατεύει, και τους ενεργοποιεί με ή χωρίς ανθρώπινη παρέμβαση, με αποτέλεσμα την ευκολότερη διαχείριση και αποτελεσματικότερη προστασία.
· Adaptive Traffic Profiling: Προστατεύει από πιθανή εξαπάτηση του συστήματος, καθώς επιτρέπει στο IPS να δημιουργήσει μοντέλα από segmented και fragmented δικτυακή κίνηση, με τον ίδιο τρόπο που θα την αντιλαμβανόταν το λειτουργικό του συστήματος στο οποίο αυτή κατευθύνεται.

Οφέλη
Συμπερασματικά, η χρήση Adaptive IPS συστήματος οδηγεί σε δραματική μείωση των false positives και των false negatives, σε μικρότερη ενασχόληση του προσωπικού Πληροφορικής για εξακρίβωση των περιστατικών και παραμετροποίηση του συστήματος, σε μικρότερες πιθανότητες μη διαθεσιμότητας του δικτύου και χαμηλότερο κόστος λειτουργίας.

Ο Δημήτρης Κοντορούσης είναι Deputy General Manager της MD5 A.E.