Artigo Recomendado: As dificuldades da monitoração da Segurança de Rede

Recomendo o artigo abaixo, autoria do Paulo Braga, engenheiro de segurança da Sourcefire, sobre monitoração de eventos de rede:

http://www.tiinside.com.br/24/04/2012/as-dificuldades-da-monitoracao-da-seguranca-de-rede/sg/274519/news.aspx

Next Generation IPS - parte I

O uso do termo “next-generation” (próxima geração) em segurança de TI  é uma constante há vários anos. Em especial o Gartner Group o adora, já que volta e meia publica alguma análise sobre alguma nova geração de um produto. Pois em outubro de 2011 o instituto de pesquisa publicou estudo de seis páginas com o título “Defining Next-Generation Network Intrusion Prevention”,  descrevendo as funcionalidades que devem compor os dispositivos de prevenção de intrusos que as empresas precisariam no futuro próximo.

Eu pessoalmente não gosto desse termo. Primeiro porque não diz muita coisa. Os fabricantes estão sempre trabalhando em inovações para seus produtos que serão a sua próxima geração. Um bom exemplo é o firewall. Há quase dez anos atrás o Gartner publicou um estudo para o “next-generation firewall”, que naquela época era um firewall que incluía detecção de intrusos, ou deep packet inspection na terminologia da época. Hoje para o Gartner o next-generation firewall deve incluir várias outras funcionalidades e certamente daqui a cinco anos haverá outra geração de firewall e IPS, com as funcionalidades necessárias ao ambiente naquela época.

O segundo motivo é que causa confusão. Os relatórios do Gartner são pagos. Esse sobre IPS, especificamente, custa 95 dólares americanos, e muita gente decide não comprá-lo. Mas mesmo quem não tem acesso total ao relatório quer comprar seu IPS de próxima geração e exige isso de seus provedores.  Já os fabricantes, que precisam responder aos seus clientes e prospectos, passam a chamar seu produto de next generation IPS e a  realçar as funcionalidades de “próxima geração” presentes em seu produto. Porém mesmo para estes a aderência ao critério difere, pois o Gartner não especifica funcionalidades de produtos. Não é de se estranhar portanto que o next-generation IPS do fabricante A seja bem diferente do next-generation IPS do fabricante B.  

A única solução a meu ver é o usuário conhecer o que está sendo proposto pelo Gartner , analisar se faz sentido para sua empresa e especificar as funções ao invés de apenas pedir genericamente um “IPS de próxima geração”. Mas importante ainda é entender qual o problema e contexto da proposição de um novo tipo de IPS.  O motivador do estudo é a percepção pelo Gartner que os sistemas atuais de prevenção de intrusos, de “primeira geração”, não estão sendo capazes de deter os novos tipos de ataques, mais sofisticados e direcionados, e portanto é necessário que a tecnologia embarcada nos produtos evolua.  Mas como os analistas do Gartner chegaram a essa conclusão? Esse e os demais estudos são análises de mercado. Como exposto no documento as fontes foram os clientes do Gartner afetados por tais ataques – grandes empresas normalmente - e os fabricantes listados nos relatórios “Magic Quadrant” do próprio instituto. O resultado final é a opinião dos analistas do que precisa ser mudado para fazer frente ao problema.

De acordo com eles a tecnologia atualmente adotada é a da detecção e bloqueio de tentativas de explorar vulnerabilidades não corrigidas em servidores ou  erros de configuração.  Ataques mais sofisticados com malware especialmente desenvolvido para um alvo, malware instalado involuntariamente e botnets fogem da definição inicial da tecnologia de IPS e não são eficientemente detectados ou bloqueados. Dessa forma os produtos deveriam incorporar outras funcionalidades, sem deixar de lado as originais, obviamente. São elas:

Conhecimento das aplicações e visibilidade de toda a pilha de protocolos – capacidade de identificar aplicações e detectar ataques no seu contexto, independente da porta e protocolos de transporte utilizados.  Em comparação, a tecnologia mais elementar de IPS está baseada em portas, protocolos e serviços elementares de rede.

Considero essa capacidade extremamente importante, tanto para o firewall como para o IPS, já que a Internet se move cada vez mais para cima, ou seja, para aplicações baseadas em navegadores e nos novos recursos disponíveis para colaboração  e interconexão de sistemas.  O estudo fala também em detectar aplicações hostis. O que é necessário então verificar com seus fornecedores? Primeiro, quantas aplicações são hoje reconhecidas e o roadmap para essa parte. Depois, Como a área de pesquisa está estruturada para adicionar novas aplicações, já que todas foram estruturadas para pesquisar ameaças e vulnerabilidades. Verificar qual a penalização em desempenho quando a funcionalidade está em uso é também essencial. Se o seu fornecedor disser que não há, é importante perguntar como.

Reconhecimento de contexto – capacidade do produto agir em função do contexto do evento detectado, a partir de bases de informação externas. O ponto principal é que essa funcionalidade é genérica e envolve na verdade diferentes funções. Uma delas é o uso de listas de reputação de endereço. Outras são a identificação dos usuários, posição geográfica da origem do tráfego, correlação com o estado de vulnerabilidade e aplicação de correções nos destinos do tráfego suspeito. Dessa forma se o seu fornecedor disser que seu produto reconhece contexto é importante perguntar quais as fontes usadas e qual o tipo de ação que o produto toma a partir delas.  Nunca peça simplesmente em uma RFP que o produto “reconheça contexto” porque você irá receber coisas diferentes de cada fabricante. Um bom exercício é consultar diferentes fabricantes e ver como eles o estão implementando. 

Reconhecimento de conteúdo – inspecionar e classificar de executáveis e outros arquivos como PDF e Word.  A minha impressão é que nesse ponto o Gartner não quer dizer que um IPS faço o papel de antivírus, mas que deve identificar o envio de arquivos de tipos específicos e utilizar isso como mais um elemento na decisão de liberar ou bloquear o tráfego associado.  

Motor expansível – é a minha tradução livre para “agile engine”, ou a capacidade do motor do sistema de receber facilmente expansões para detectar novas modalidades de ataque ou conectar-se a novas fontes de apoio a decisão.  Trata-se de um requerimento louvável mas bem genérico e difícil de ser verificado na vida real.

 No final precisamos entender que o produto descrito pelo Gartner não existe, e tampouco esse deve o objetivo deles.  Trata-se mais de uma lista de recomendações de funcionalidades que deveriam ser adotadas em complemento à tradicional detecção baseada em vulnerabilidades e ameaças. Talvez elas nem façam sentido em muitas das empresas de hoje, para as quais um firewall e IPS básicos já dão conta do recado.