Symantec занялась усилением IDS

КОММУТАТОРЫ

Деннис Фишер

Производители средств безопасности трудятся над созданием продуктов с более продвинутыми по сравнению с традиционными системами обнаружения вторжений (IDS) возможностями по защите и предотвращению атак.

Такова, например, переработанная IDS корпорации Symantec, представленная в конце июня. Одним из важнейших ее компонентов является Host IDS 4.1 с функцией управления процессами, которая поможет защищаться от "троянских коней" и атак, использующих переполнение буфера.

Новая функция позволяет определять, какие приложения способны порождать новые процессы, и тем самым может служить препятствием для размножения червей вроде Code Red или Slammer. Она играет ключевую роль и в подавлении атак с переполнением буфера, поскольку в результате успешного проникновения в систему, как правило, создается командная оболочка. А включенная в Host IDS функция формирования отчетов позволяет вести детальный аудит каждого процесса в системе.

В последнее время IDS оказались под огнем критики за свою неэффективность, особенно в отношении неизвестных атак. Фирма Gartner даже заявила, что традиционные IDS практически мертвы. Однако не все эксперты согласны с этим. "В нашем мире бывают и ложные тревоги, и пропуски атак, - говорит Пит Линдстром, аналитик из компании Spire Security, - и категорически заявлять, будто IDS бесполезны, ни в коем случае нельзя. Это искаженное и нездоровое представление. И сами системы, и их функции аудита нужны пользователям".

Одновременно Symantec подготовила к выпуску третью версию своей сетевой IDS ManHunt, а также переименованный и улучшенный продукт Decoy Server, ранее известный под названием ManTrap. В новой версии ManHunt появился ряд добавочных возможностей, в том числе обнаружение аномалий протокола и функция записи и воспроизведения трафика.

Система моделирует правила протоколов и в реальном времени сравнивает их с входящим трафиком для идентификации атак, которые зачастую ускользают от внимания IDS, работающих на базе сигнатур. Завершающим компонентом новой инфраструктуры Symantec является Decoy Server 3.1, сервер-приманка корпоративного класса. Его последняя версия ненавязчиво отслеживает все, что делается над системой, и в случае атаки может записать для анализа каждое действие взломщика.

Свой IDS-продукт - устройство UnityOne-200 - выпустила и фирма TippingPoint Technologies. Этот прибор умеет обрабатывать трафик со скоростью 200 Мбит/с и осуществлять глубокое обследование пакетов на всех семи уровнях модели OSI. В него также включена функция для ограничения или блокировки трафика, генерируемого P2P-приложениями (взаимодействие ПК через Интернет без посредничества серверов), такими, например, как Kazaa или LimeWire.

И устройство UnityOne-200, и другая аппаратура TippingPoint имеют доступ к службе обновлений Attack Filter, предоставляющей пользователям фильтры для постоянно появляющихся новых видов угроз.

Все упомянутые продукты уже поступили в продажу.