ПО IDS/9000, предназначенное для обнаружения вторжения, войдет в состав HP-UX
Корпорация Hewlett-Packard намерена оснастить HP-UX, средствами обнаружения и анализа попыток взлома операционной системы. «Программное обеспечение IDS/9000, предназначенное для обнаружения вторжения, войдет в состав нашей флагманской операционной системы HP-UX, — сообщил главный архитектор HP по вопросам безопасности Марк Кросби во время своего выступления на конференции RAID 2001. — Через несколько недель должна появиться вторая версия продукта, которая впоследствии будет перенесена в среду других ОС. В настоящее время IDS/9000 можно бесплатно загрузить с сайта HP».
Программное обеспечение IDS/9000 осуществляет контроль за возможным проникновением на уровне ядра операционной системы. В момент атаки делается снимок состояния ОС и инициируется ответная процедура, призванная минимизировать отрицательные последствия вторжения. В пакете используются 12 шаблонов атак, с помощью которых можно обнаружить все необычное в работе системы и выявить отклонения от нормальной ситуации (например, появление странного системного журнала или несанкционированное изменение свойств файла).
Системный администратор может проанализировать, при каком состоянии системы произошла попытка взлома, и использовать полученные результаты для предотвращения подобных атак в будущем. Кроме того, продукт IDS/9000 автоматически предпринимает целый ряд ответных действий (в частности, блокирует подозрительные учетные записи пользователей, посылает сигнал тревоги администратору и активизирует программы обнаружения в других приложениях).
«Программное обеспечение для обнаружения вторжения зачастую замедляет работу системы, — отметил Кросби. — Что касается продукта HP, то он снижает скорость обработки транзакций на Web-сайте всего лишь на 1%. Однако при неправильно настроенной конфигурации сайта замедление может достигать 20%».
Представители института SRI International продемонстрировали на конференции систему для обнаружения вторжения, работающую на популярном Web-сервере Apache. Продукт SRI способен осуществлять контроль за 10 виртуальными клиентами из одной центральной точки, следя за запросами адресов URL на Web-сервере и собирая информацию о возможных атаках. У группы разработчиков уже готов прототип программного обеспечения для продукта iPlanet Web Server, предлагаемого компанией iPlanet E-Commerce Solutions.
«В настоящее время мы занимаемся адаптацией своего продукта к особенностям баз данных, серверов FTP и почтовых серверов», — сообщил специалист SRI Ульф Линдквист.
Многие посетители конференции считают, что системным администраторам следует постоянно следить за распределением ресурсов в сетях, приложениях, серверах и серверных операционных системах, а не полагаться на надежность пакета продуктов обнаружения.
«В настоящее время существует множество систем, предназначенных для контроля за состоянием сети, — заметил директор компании Guardent по вопросам корпоративной безопасности Марвин Кристенсен. — Они, безусловно, окупают потраченные на них деньги, но при этом каждая имеет свои достоинства и недостатки».
Компании, обрабатывающие большое количество транзакций или пропускающие через свои сайты большие объемы трафика, предъявляют повышенные требования к производительности системы, в которой установлены продукты обнаружения вторжения. Учитывая это, пакет, с помощью которого HP намерена осуществлять контроль за состоянием операционной системы, должен доказать свою конкурентоспособность по сравнению с другими приложениями, сохраняя производительность на приемлемом уровне.