Пользователей IDS затопили ложными предупреждениями

Число избыточных тревог и ложных вторжений, сгенерированных Системами Обнаружения Вторжения (IDS) вызвало резкую критику пользователей, использующих эту технологию, разработанную для обработки и понимания происходящих в системе событий.

Посетители 'ABCs of IDS' в Лондонском Городском Университете вчера сообщили, что более 80 процентов предупреждений, которые они получали, были ложными, а один из них предоставил 60 предупреждений, которые он получил относительно несуществующих проблем только за одно утро работы за компьютером.

Системы IDS, которые действуют как своего рода сигнализация при атаках хакеров, обеспечивают "защиту по глубине" от вторжения, обеспечивая предупреждения относительно всей подозрительной деятельности через датчики в сети или на компьютере. Технология реактивная по своей природе, что означает, что человеческое вмешательство необходимо, ведь если система IDS будет блокировать трафик и останавливать работу автоматически, это может вызвать еще большее количество проблем, чем при ныне существующей системе.

Представители Cisco Systems, Intrusion.com, NFR Security, Top Layer и других фирм выразили серьезную озабоченность из-за получения ложных предупреждений и избыточных тревожных сигналов (типа Apache-направленного вторжения на системе, не имеющей установленного Apache). Однако до сих пор отмечено отсутствие идеи относительно того, как IDS технологии могут быть подстроены, чтобы минимизировать проблему. Продавцы же подчеркивают факт, что такие системы должны быть частью полной защитной политики любой организации и получать адекватные ресурсы.

Часть проблемы, кажется, заключается в том, что менеджеры часто покупают такие системы (по совету ревизоров или консультантов) без того, чтобы нанять людей, и выделить ресурсы, необходимые для корректной работы технологии, или иметь сервис-службу, которая сможет грамотно инсталлировать и настроить программы. В этом случае возможно, организация будет не в состоянии наладить IDS-систему и просто оставит ее в таком виде, чтобы она собирала «все пылинки», поскольку начальство этого требует, и тогда она будет нервировать системных администраторов, бомбардируя их сообщениями о ложных тревогах.

На прошлой неделе две системные службы, COLT Telecom and Data Return, сообщили, что они запросили инсталляцию систем IDS для своих расчетных центров, но впоследствии были не в состоянии контролировать все сгенерированные системой предупреждения. Выступая на недавней конференции Black Hat, Николас Фишбах, старший инженер безопасности в COLT Telecom, сказал: “Cистемы IDS при полном анализе процессов генерирует тысячи предупреждений, но никто не наблюдает их". Он предупредил, что это может создать ложную иллюзию защиты. И он же подвел итог встречи, заявив, что "Инсталляция Систем Обнаружения Вторжения - только 10 процентов от решения проблемы компьютерной защиты".

Брайен Милнес, генеральный директор Северо-Европейской фирмы Intrusion.com, сказал, что закупка IDS систем оказывается сродни покупке к празднику щенка "так как оба нуждаются в постоянном внимании”.