O possível fim dos IDSs (Intrusion Detection Systems), apregoado pelo Gartner, gerou muita controvérsia. A discussão, que ocupou especialistas em segurança e sistemas de detecção de todo mundo, teve início após a declaração do instituto, que previa a obsolescência dos IDSs além de conclamar usuários a abandoná-los e migrar para controles de acesso (firewalls). Apesar dos enganos que a interpretação do Gartner provocou, a polêmica teve um lado positivo. Serviu para esclarecer pontos importantes sobre as reais necessidades de segurança nas redes corporativas e trouxe a público muitas vantagens e inovações dos sistemas de auditoria de segurança de rede, ao que parece, ignoradas até mesmo por aclamados institutos como o Gartner.
Lamentavelmente, verificou-se que a previsão não considerou o potencial de desenvolvimento, concretização e os aprimoramentos recentes dos IDSs, mostrando-se, no mínimo, tendenciosa e precipitada. O fato é que, no mundo de TI, do ERP ao antivírus, é dever obrigatório dos desenvolvedores modernizar, descobrir e atualizar seus softwares. Por que então com IDS seria diferente?
Entre os recentes avanços dos detectores de intrusos, verificou-se o desenvolvimento de ferramentas que reduzem substancialmente o número de falso positivos, isto é, quando o sistema produz um alerta para eventos que não são oriundos de uma real invasão, uma das razões atribuídas pelo Gartner para a derrocada dos IDSs.
Outro avanço notável está sendo obtido no Gerenciamento, com a interface muito mais intuitiva e funcional. A realidade é que estas inovações anunciam o renascimento da detecção de intrusão e não sua morte. Mais ainda, ressaltam a necessidade do IDS para monitorar e auditar atividades, gerando uma trilha de auditoria, que pode se revelar bastante útil. Analisar as fraquezas de um sistema e adaptar políticas de prevenção de ataques a elas.
Existem dificuldades associadas ao IDS sim, mas seguir as recomendações do Gartner é assumir o risco de tornar-se cego aos ataques internos; perder o potencial de prevenção do ambiente em que estão operando e o conhecimento sobre o que acontece dentro da sua infra-estrutura. Estas inspeções não passam pelos controles de acesso e portanto não são bloqueadas pelos Firewalls.
Temos realizado vários testes de penetração para verificar a segurança na Camada de Aplicação, isto é, usando as portas 80 (http) e 433 (htpps), que os Firewall não podem e não devem bloquear e por onde os hackers tem penetrado em redes corporativas e somente um IDS bem configurado pode detectar este tipo de intrusão.
A verdade é que enquanto existirem hackers, estes procurarão vulnerabilidades nas redes corporativas. E, o preço a se pagar eliminando a prevenção que os IDSs proporcionam é muito alto. Envolve muito mais que meros prejuízos financeiros, mexe com a integridade de informações confidenciais, com a imagem da empresa, vitais para a sobrevivência de qualquer organização.
Os ataques contra redes continuam a se multiplicar, evidenciando que a guerra entre a couraça e o canhão nunca estará totalmente ganha. Também por esta razão, incitar, inadvertidamente, as empresas a desativar um sistema importante, estável e que permite uma “forensics”(2) detalhada e em constante aperfeiçoamento como o IDS, é ignorar os princípios básicos de segurança. Ora, auditar é, sem dúvida, uma função fundamental no provimento de defesa em qualquer ambiente de segurança, o que não é possível sem a devida trilha de auditoria. Além disso, o monitoramento constante dos detectores de intrusão propiciam visibilidade inigualável sobre a atividade de hackers; funcionários; terceirizados e sobre as ameaças contra sistemas corporativos.
Para dirimir controvérsias, é preciso analisar mais a fundo as razões das afirmações do instituto de pesquisa. Assim, temos que concordar que os sistemas de detecção de intrusão mais antigos geram muitos falsos-positivos e falsos-negativos, gerando uma quantidade excessiva de alarmes e outros dados, o que requer muito tempo de análise de administradores de rede capacitados , para que a tecnologia seja eficaz. Estes sistemas incluem toda e qualquer possibilidade de ameaça, mesmo que seja falsa. Porém, o Gartner não considerou que vários IDSs trabalham com sintonia fina de defesa de intrusão , combinando o acompanhamento e a atualização rápida dos novos tipos de ataque (em grande parte target-based) juntamente com regras validadas a partir do nível de exposição de cada sistema, o que pode ser determinado por meio da varredura da rede em tempo real.
E não há mágica, o sucesso da operação está intimamente ligado à acuracidade dos dados expostos que, por sua vez, dependem do uso da informação de vulnerabilidade, obtidos com a inteligência das tecnologias de detecção empregadas, com cada tipo de risco de segurança no nível adequado. Daí, conclui-se que este contexto de inovações e progressos de segurança dos sistemas de detecção de intrusão não foi devidamente apreciado pelo Gartner, que, consequentemente, emitiu um artigo errôneo sobre o futuro dos IDSs.
Um avanço significativo foi a inclusão do ” escaneamento ” (varredura) em tempo real, uma tecnologia inteligente que elimina automaticamente os alertas de ataques em sistemas não vulneráveis. Este tipo de ferramenta possui sensores que escaneiam e analisam, com minúcia, hosts, routers, gateways, protocolos, servidores, endereços IP, portas de internet para identificar cada dispositivo ou software. Desta forma, consegue enxergar todo o tráfego e coletar dados nos sistemas operacionais, o que permite montar um mapa da rede interna , que reconhece com precisão qualquer atividade suspeita. Além disso, esquadrinha o perfil comportamental dos dispositivos para saber como cada máquina trabalha e como interage com o outras redes externas (internet).
O funcionamento é simples, todos estes dados são coletados em um console de gerenciamento e comparados com os ataques detectados para determinar o grau de exposição da rede. A base de dados sobre vulnerabilidades do IDS é cruzada com as versões de rede correlacionadas pelo nova tecnologia, excluindo ameaças ineficazes à rede. Assim, o IDS não sinaliza, por exemplo, a entrada de um vírus desenvolvido para sistemas Linux se seu sistema operacional for Microsoft.
Outro fato em que provavelmente se baseou o Gartner, é ainda existirem IDSs que trabalham com assinaturas inflexíveis e outras tecnologias, em que a saída para os falsos-positivos resume-se em desligar a assinatura ou sobreviver com eles. Novamente aí, houve um flagrante desconhecimento na afirmação, considerando que uma das vantagens de muitos IDSs são as regras adaptáveis à realidade de cada cliente. Como o nível de exposição da rede de uma companhia depende de muitos fatores – a localização da informação na rede, quem a acessa, que outras formas de defesa existem, etc., esta flexibilidade permite ajustar e individualizar regras especificas para o ambiente da empresa, o que por si só, diminui drasticamente o número de falsos-positivos e falsos-negativos.
Por outro lado, o resultado do IDS pode ser melhorado com a detecção de intrusos based-target, cujo exemplo mais notável é o do código SNORT, com uma comunidade de cerca de 100 mil contribuintes, reportando ataques no mundo todo.
Para finalizar, vale lembrar que outras pesquisas contrariam as previsões apocalípticas do Gartner. Recentemente, a Infonetics Research previu uma explosão nas vendas de IDS nos próximos três anos, afirmando que a tendência de crescimento contínuo observada em 2003, deve se manter em 2004. E justifica a expectativa devido ao crescimento global da demanda oriunda de clientes de todos os tamanhos e das inovações nas tecnologias IDS/IPS, que os tornou mais fáceis de usar, mais acurados e disponíveis.
Por sua vez, a Computer Security Institute, pesquisa anual de crimes por computador e segurança do FBI, afirma que houve crescimento constante nas vendas. Em, 1998, 43% das organizações haviam adquirido sistema de detecção de intrusos. Em 2002, esta porcentagem subiu constantemente todos os anos e alcançou 73%.
Portanto, mesmo que se tenha 50 controladores de acesso em sua rede, é preciso acompanhar, correlacionar e ter uma visão ampla para agir proativamente a cada evento detectado pelo firewall, o que nos leva a uma conclusão muito prática: Controle de acesso é importante, mas o monitoramento também é (IDS).
Francisco Camargo é diretor da CLM Informática. E-mail: fcamargoarrobaclm.com.br
(2) Forensics – do Inglês, relativo à autopsia, analise de eventos, invasões, a posteriori, identificando causas e vulnerabilidades