Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
ossim
 
Господа, юзающие разные nids. Хотелось бы послушать ваше мнение по поводу проекта ossim (www.ossim.net). Судя по их whitepaper планы у ребят наполеоновские. Но мне лично чего то не верится в успех этой штуки. Особенно хотелось бы послушать мнение г-на Лукацкого по этому поводу.
 
Не заметил особых отличий от существующих систем обнаружения атак, что там такого особенного?
IMHO если у ребят все получится, то будет еще один продукт, но в принципе ничего нового
 
А вы сами то пробовали поставить и "пощупать" эту программку? Как впечатления? Я вот первый раз вижу прогу - пойду ее попробую...
 
Блин, я же не про прогу спрашивал, а про ее концепцию, которую они только обещают реализовать в будущем. Типа корреляции всякие и вечная ботва о false positive vs false negative. Ведь не даром из док там только whitepaper, и ничего конкретного. Жалко, мистер luka так и не увидел мой вопрос, он ведь признаный спец в этом деле. Сама то идея хорошая, чтобы система не доставала админа постоянными сообщениями о вторжениях, а решала сама, что опасно, а что нет. И чтобы это решение было надежным. Кстати, ни одна NIDS на сегодня (по крайней мере из доступных для простых смертных) такими возможностями не обладает. Я уж и не заикаюсь о RealSecure. Никогда больше в жизни к этому отстою и за километр не подойду. Вот по такому поводу и хотелось услышать мнения людей, реально работающими с системами обнаружений.
 
Цитата
scum пишет:
Жалко, мистер luka так и не увидел мой вопрос, он ведь признаный спец в этом деле.
Так возьми и покажи ему свой вопрос :)
Его ящик вроде известен: luka infosec.ru
 
Мистер Luka увидел ваш постинг и сейчас думает над ответом  
Luka
 
Итак по пунктам.

1. Идея хорошая и, как и все идеи, не вызывает никаких вопросов. Теперь, что касается реализации.
2. Заявление о том, что они включат поддержку решений третьих фирм для корреляции наводит на мысль, что они не совсем понимают, за что они берутся. netForensics тоже об этом заявил, но дальше сбора и консолидации логов они пока не продвинулись. До нормальной корреляции им еще, имхо, как до Полярной звезды. Я вообще скептически отношусь к заявлениям такого рода - "наша система вендорнезависима и умеет работать с огромным количеством различных решений третьих фирм". Вендор-независимость - это миф.
3. Меня также пугает фраза, что "OSSIM - не продукт, а технология". После таких слов вспоминаются многие российские компании, выпускающие свои "технологии" под каждого конкретного заказчика и стригущих с него денег, в каждом конкретном случае свои. Нет продукта - нет и конкретной цены.
4. Судя по высказываниям они ориентируются только на сетевой уровень, забывая про уровень ОС, СУБД и приложений.
5. Они почему-то напрочь забыли про сканеры безопасности. Хотя без них процесс корреляции будет не то, что неполным, а просто ущербным.

В-целом планы у них грандиозные, но, исхо, малореализуемые за приемлимые деньги в разумное время. Читая их концепцию я мало нашел отличий от netForensics. Отличий только два. netForensics - коммерческий продукт и уже реализован.
Luka
 
Цитата
scum пишет:
Сама то идея хорошая, чтобы система не доставала админа постоянными сообщениями о вторжениях, а решала сама, что опасно, а что нет.
Гы ;) У меня IDS уже больше 2 лет работает, и я постоянно ищу решение, которое бы если не избавляло от false positives, то хотя бы сортировала события по принципу "подождет до утра, когда оператор будет читтаь отчет за сутки" / "shit happens, нужно срочное вмешательство человека".
Так вот, мое not so humble opinion: нет такой фигни, и в ближайшее время не будет, ибо набор параметров для принятия такого решения слишком сложен, недетерминирован и может быть решен под каждую конкретную ситуацию, пожалуй, только с помощью экспертных систем / нейросетей. А занахаляву такие решения никто отдавать не будет, потому что в таком решении самое дорогостоящее не программирование, а расстановка коэффициентов.
 
Цитата
cybervlad пишет:
 Так вот, мое not so humble opinion: нет такой фигни, и в ближайшее время не будет, ибо набор параметров для принятия такого решения слишком сложен, недетерминирован и может быть решен под каждую конкретную ситуацию, пожалуй, только с помощью экспертных систем / нейросетей. А занахаляву такие решения никто отдавать не будет, потому что в таком решении самое дорогостоящее не программирование, а расстановка коэффициентов.

Имхо, такая "фигня" есть. Вопрос только в том, что она стоит денег и требует не просто IDS, а еще и сканеров безопасности. Работает просто (относительно). Сканируется сеть и собирается информация о:
 - используемых на узлах ОС, приложениях и их версиях
 - имеющихся на этих же узлах дырах.

А потом, получая данные о том, что на узел А совершается атака Х, эта "фигня" лезет в базу сканера безопасности и смотрит, а что у нас есть по узлу А. Если она видит, что атака Х для узла А может нанести ущерб (на основе инфы об ОС или дыре), то она показывает сообщение на консоли и, возможно, изменяет приоритет события и варианты реагирования. А если атака Х для узла А не нанесет ущерба, то сообщение об атаке не показывается или его приоритет снижается до минимума. И так для каждой связки "атака-адрес жертвы", т.к. для одной жертвы атака нанесет ущерб, а для другой - нет.
Luka
Страницы: 1
Читают тему