I slutändan kokar ett eventuellt beslut att köpa ett ids- eller ips-system ned till två frågor: Hur passar ids (intrusion detection system) och ips (intrusion prevention system) in i den hotbild vi ser och är skyddet värt pengarna?

Sedan över tio år är de flesta säkerhetsbedömare överens om att de flesta och de största säkerhetshoten kommer inifrån den egna organisationen. En ids som är placerad bakom brandväggen och analyserar trafik i nätverket kan mycket väl avskräcka anställda som funderar på att göra något fuffens. Loggarna av nätverkstrafiken kan även skynda på utredningen av interna brott mot lag eller policy. Naturligtvis kan en välskött ids också vara skillnaden mellan att problem upptäcks och att de aldrig kommer upp i ljuset.


Även tekniska problem

Det behöver inte vara människorelaterade problem. En administratör som regelbundet går igenom loggar eller rapporter från en ids kan också få indikationer på att rent tekniska problem är under uppsegling.

Ids och ips kan skydda mot misstag och manipulation men inte mot olyckshändelser. En ids förväntas ge dig tips om någon eller något på insidan av brandväggen gör saker du kan tänkas ogilla. En ips förväntas hindra att elände från utsidan kommer in. En ids kan också användas för att justera inställningarna på en ips eller en brandvägg genom att ge en annan bild av vad som rör sig i det egna nätverket.

Om skyddet är värt pengarna kan vara svårt att räkna på. Ett tips är göra ett penetrationstest och sedan värdera den information som eventuellt gick att nå för en obehörig vid intrångsförsöket.

”Begreppsförvirringen beror till stor del på branschen själv.”


Ett problem är att ids och ips omges av begreppsförvirring och konstiga uppfattningar. Det beror till stor del på branschen själv. 1980 skrev James Anderson uppsatsen ”Computer Security Threat Monitoring and Surveillance”. Den finns på internet, men ser för en nutida läsare ut som en diskussion om automatiserad logganalys för att öka kontrollen i stordatormiljö. Den handlar mycket om olika angripares beteende och hur just beteendeanalys ska kunna röja en användare med ont uppsåt.


Ids i slutet av 1980-talet

De första ids-systemen började dyka upp för ungefär 20 år sedan, mot slutet av 1980-talet. 1987 skrev Dorothy E Denning en annan uppmärksammad uppsats, ”An Intrusion Detection Model”, för IEEE, Institute of Electrical and Electronics Engineers, som är en organisation för teknikutveckling. Hon använde begreppet IDES, intrusion detection expert system, för ett regelbaserat system för mönsterigenkänning i loggar.

Den teknik Dorothy E Denning målade upp liknar i stort dagens brandväggar. Hon tänkte sig att den säkerhetsansvarige skulle bestämma vilken typ av trafik som var önskvärd i nätverket och att en tekniker sedan skulle formulera reglerna för intrångsdetekteringssystemet.

Vid den här tidpunkten hade dataintrång utifrån blivit en realitet, eftersom datorer kopplades till nätverk där inte alla användare var kända. Dorothy E Dennings rapport är bara sju år yngre än James Andersons, men känns mycket mer modern i både språk och hotbild. Även Dorothy E Denning argumenterade för beteendeanalys för att fånga fula fiskar.

En kul detalj är att hon också argumenterade för att intrångsdetekteringssystem skulle kunna användas mot datavirus och trojanska hästar, genom att skadliga program har ett annat mönster för processorutnyttjande än vad legitima program har. Med dagens snabba datavirus och maskar skulle nog ingen försöka sälja in en ids med just det argumentet.


Ids/ips har ryckt ut flera gånger på landstinget

– I dag finns ids- och ips-funktioner både i och kring SLLnet, som är Stockholms läns landstings gemensamma nätverk för data, telefoni och rörliga bilder. Funktionerna finns både centralt och i utkanterna av nätverket för att ge maximal effekt, säger Magnus Larsson, datakommunikationstekniker på it-enheten på Danderyds sjukhus.

Magnus Larsson berättar att landstinget i dag använder både signatur- och beteendebaserade identifieringsmetoder. Det ger fördelar och möjligheter att hitta kända oönskade program och även icke allmänt kända program som har mer eller mindre kända kommunikationsmönster. Med andra ord en sund balans mellan reaktiva och proaktiva identifieringsmetoder.

Landstinget har haft nytta av funktionen vid ett flertal tillfällen. Det har gällt både oönskad trafik och oönskade program som har upptäckts och hindrats.

– Vanliga bärare har exempelvis varit e-post, webbläsare med ”hjälpsamma små verktyg” samt webbsidor som varit infekterade med skadlig kod. Trojaner och maskar som systematiskt söker efter nya noder att infektera har också upptäckts, säger Magnus Larsson.

Signatur- och beteendedatabaserna uppdateras kontinuerligt för att öka möjligheterna att identifiera både nya och gamla hot.

Finansierat av försvaret

Både James Anderson och Dorothy E Denning arbetade på uppdrag åt myndigheter i USA. Ett genomgående tema i utvecklingen av ids och ips har varit att forskningen bekostats av USA:s försvarsbudget och att kommersiella företag sedan har skapat produkter runt tekniken.

De första kommersiella ids:erna dök upp i början av 1990-talet. Ids och ips har sedan följt den vanliga utvecklingen för teknik i vår bransch. Först många års undanskymd tillvaro, sedan ett plötsligt ökat intresse och uppskruvade förväntningar som planar ut efter några år.

Vi gjorde en enkel Googlesökning för att räkna antalet förekomster av uttrycket ”intrusion detection system” åren 1980-2008 (se diagram på sidan 66). Det är en mycket grov metod, men den ger en bild som stämmer överens med vår uppfattning. Den undanskymda tillvaron pågick fram till en hype runt år 2000. Intresset planade sedan ut runt 2004. Efter många år av begreppsförvirring och besvikelser verkar ids/ips då ha mognat, funnit sin roll och accepterats bland kunderna.

I början av år 2001 var den allmänna uppfattningen att det som kallades nid, network intrusion detection, inte kunde fungera i nätverk som var växlade i stället för hubbade. Det skulle inte heller fungera i krypterade nätverk eller i nätverk som gick i gigabithastighet. Innan året var slut hade Ciscos växel Catalyst 6000 visat att det där om gigabithastighet inte längre gällde. ISS nyinköpta Network ICE visade att gick att sniffa paket även i gigabithastighet.



Ökat intresse. Så många träffar fick vi i en Googlesökning på ”intrusion detection system” och olika årtal.

Rykte om falsklarm

Networks Associates var stora inom nätverk på den här tiden och hävdade att ips var en underavdelning till ids. Ids hade också ett rykte om sig att ge väldigt många falsklarm. En liknelse som användes var att ids var som att ha ett tjuvlarm med rörelsedetektorer aktivt under kontorstid. Det fungerade, om du kunde sätta upp detaljerade regler för vem som fick göra vad och när och alla anställda sedan anhöll i förväg om att få ändra sitt beteende.

I juni 2003 publicerade undersökningsföretaget Gartner en rapport om att ids hade visat sig vara ett marknadsföringsmässigt misslyckande. Gartner förutspådde att ids skulle vara överspelat år 2005. I rapporten, som kom att kallas ”Ids är dött-rapporten”, skrev Richard Stiennon på Gartner att tillverkarna nu i stället försökte sälja ips men att även den marknaden hade gått i stå. Framtiden tillhörde i stället förbättrade brandväggar, som med nya funktioner som deep packet inspection skulle kunna blockera skadlig trafik och även fungera som antivirus.

År 2004 fördes också en intressant debatt på webbplatsen Insecure.org. Debatten började med att en person provocerade med frågan om ids/ips var värdelöst. Debatten som följde under ett par dagar visade att det fanns många som hade insett nyttan av ett ids-system, men menade att produkterna kostade för mycket.

Andra klagade över att det var svårt att presentera ett räkneexempel på ids som icke-tekniska företagsledare kunde ta ställning till. Många ansåg också att marknadsföringen av ids och ips som ett sätt att stoppa både hackare och virus hade gjort tekniken en otjänst genom att förväntningarna hade blivit orealistiska.

Krävde resurser för skötsel

På den här tiden krävde också ids och ips mer uppmärksamhet från it-personalen och många företag kritiserades för att sälja ids/ips till företag som de visste inte hade resurserna för att sköta en sådan lösning på ett meningsfullt sätt. Även företag som köpte ids/ips utan att först undersöka hotbilden eller förstå tekniken fick kritik för att tekniken råkat i vanrykte.

En åsikt 2004 var att ids/ips var som pki (public key infrastructure): i början upphaussat, sedan en källa till besvikelse och i dag en rätt anonym och dyr men användbar teknik.

I dag är frågan om ids och ips över huvud taget kan sägas vara samma sak. Visserligen kan dagens ips-lösningar sägas vara sprungna ur de ids-system som har växt fram sedan 1980-talet, men i dag är en ids mest lämpad att sitta någonstans bakom en brandvägg och lyssna på nätverkstrafik utan att lägga sig i. En modern idp (intrusion detection and prevention) är en slags avancerad brandvägg som förväntas ge en bättre helhetsbild av vad som passerar in till och ut från ett nätverk.

När vi ringer Stefan Lager och Anders Stenwall på Juniper håller de med om att förväntningarna på ids och ips nog var lite uppskruvade när tekniken fick sitt breda genomslag.

Integration är framtiden för ids/ips

Den tydligaste trenden inom ids/ips är integrationen med olika system, enligt Stefan Lager på Juniper. Den förståelse för tillämpningar som finns hos ett ips-system används då till andra saker än att bara stoppa attacker.

– Det handlar om allt från quality of service i nätverket till wan-accelerering. I dag är qos ganska yxigt i många fall, du har det bara på portar men det kan gå massa olika tillämpningar på de här portarna. Du vill kanske ha olika quality of service för olika tillämpningar. Då är det bra att ha den förståelse som ett ips- eller ids-system ger, säger Stefan Lager.

– Man behöver även ha mer visibilitet. Det handlar inte bara om att kunna stoppa attacker, utan även om att kunna visa vilka som talar med vilka i nätet, vilken trafik som går var, vilka tillämpningar som körs och så vidare. Det kan också vara ett sätt att förbereda sig för att implementera nya tjänster.

Stefan Lager ser en trend att ids och ips integreras allt mer med andra typer av system, till exempel för fjärrinloggning, remote access. Det motiveras dels av en önskan att stoppa attacker, dels av en vilja att förstå var attackerna kommer från. Syftet är stoppa de system eller användarkonton som attackerna kommer in genom. Det kan vara exempelvis vpn- och nac-lösningar inne i nätet. Om en användare kopplar sig till en skyddad port på nätet ska det gå att stänga av den porten och säga att användaren inte får komma in där längre.

Företaget Aruba Networks har en annan syn på framtiden. Dess tanke är att användarna ska skapa och dela med sig av signaturfiler för ips. Det gäller i första hand Arubas trådlösa ips:er.

Tanken är att det ska gå snabbare att stoppa så kallade Zero-day-attacker, det vill säga angrepp mot sårbarheter som inte är kända eller som det inte finns någon patch för. Genom att den som utsätts för attacken själv skapar ett motmedel ska det gå snabbare att göra andra användare immuna.

– Det krävs lite expertis och det finns proffs inom it- och nätverk som har den expertisen, säger Mike Tennefoss på Aruba Networks till nyhetstjänsten Eweek.

– Om de inte har expertisen själva kan de diskutera sårbarheter och få signaturer som utvecklats av Aruba och andra användare via olika resurser online.

De nya produkterna med dessa funktioner finns tillgängliga sedan sommaren.

Ips och brandvägg kan samma sak

Intressant nog säger de att Gartner hade rätt. Deras beskrivning av en ips är påfallande lik vad Gartner beskrev som en bättre brandvägg i rapporten om ids död 2003, bortsett från att brandväggarna i dag inte fungerar som antivirus. Att maskiner som gör samma saker kan kallas ips av vissa företag och brandvägg av andra företag är en del av den stora begreppsförvirringen i branschen. Att sedan Nescreen, numera Juniper, 2004 lanserade en slags kombinerad brandvägg, ids och ips under namnet idp gjorde inte begreppsförvirringen mindre.

Idp uttyds som sagt intrusion detection and prevention, det vill säga en maskin som både upptäcker ett hot och stoppar det. En självklar tanke kan tyckas, ändå finns det goda skäl att dela upp jobbet att upptäcka hot och att stoppa dem på skilda maskiner och på skilda platser i nätverket. Att Juniper menar att det finns goda skäl att inte kombinera ids och ips i en och samma maskin lär inte heller förvåna den vakne läsaren, som förstått varför ordet ”begreppsförvirring” redan förekommit så rikligt i denna artikel.

Skillnaden mellan ips och brandvägg

Junipers syn på skillnaden mellan brandväggar och ips är att en stateful inspection-brandvägg bara fungerar upp till nivå fyra i den så kallade osi-modellen, det vill säga kontroll av ip-adresser och portar. Den stänger portar, men har ingen kontroll på vad det är för trafik som går genom de öppna portarna.

– Den kan inte se skillnad på en helt vanlig förfrågan till en webbserver och en elak attack mot webbservern. Ips däremot tittar hela vägen upp på nivå sju, applikationsnivån, och ser vad som faktiskt skickas till webbservern., säger Stefan Lager på Juniper.

Junipers åsikt är att en ips också bör ha funktioner som protocol anomaly detection och stateful signatures. Det första är att kunna upptäcka när trafik tar sig friheter gentemot det protokoll den använder. Det andra är signaturfiler för att känna igen olika typer av attacker och försök av trafik att utge sig för något annat än det är.

Ska man ha brandvägg över huvud taget?

Brandväggar bygger på regler. I en organisation där det inte finns några gemensamma regler är det ingen större idé att försöka hindra något med hjälp av en brandvägg.

Det finns exempel på organisationer som helt struntar i en central brandvägg. En tanke kan vara att de olika delarna i organisationen själva måste ta beslut om vad de vill tillåta i sina delar av nätet. En annan tanke kan vara att systemen ska kunna vara så säkra att ingen brandvägg behövs. Det är en ovanlig strategi och passar nog bäst där det inte finns någon central styrning. För alla andra som vill ha kontroll över en sammanhängande insida är brandväggar ett grundkrav. Även om brandväggar är lätta att kringgå utgör de ändå en del av ett försvar i många lager.

Billigare varianter

Trots att ids och ips är olika tekniker och fungerar bäst på olika platser i nätverket säljs en hel del maskiner med båda funktionerna. Då rör det sig främst om lite billigare maskiner där många funktioner har bakats ihop med vpn eller brandväggar. De har fördelen att de kan köpas i stor mängd och spridas över ett företags olika geografiska platser och ändå skötas centralt. Många moderna säkerhetsmaskiner av den här typen låter administratören koppla in ids-funktionerna på insidan av nätverket och ips-funktionerna vid nätverkets kant.

Stoppar krävande tjänster

En annan trend är att ips även säljs som ett svar på webb 2.0, det vill säga interaktiva bandbreddsslukande tjänster som Facebook, fildelning, Youtube, Ebay, Skype, Itunes och Flickr. Genom att kunna se skillnad mellan olika tillämpningar som använder http-protokollet och port 80 kan en ips prioritera trafik. Den kan till exempel se till att webb 2.0-innehållet inte slukar mer än tio procent av företagets bandbredd.

Stefan Lager på Juniper menar att ids-tekniken har utvecklats mycket de senaste åren. Från att bara stå och generera loggar kan den nu kunna hjälpa till att identifiera program och se trafikmönster och trafikmängder som går över nätet.

– Men den skyddar inte. Ett ids-system sitter bara och tittar passivt på trafiken. Och ett ips-system skyddar inte mot samma saker som antivirussystem är tänkta att skydda mot. Om jag skickar med en bifogad fil med e-post är det antivirussystemets jobb att ta hand om den. Däremot tror jag att många vaggas in i falsk trygghet bara för att man har antivirus och url-filtrering ut mot internet. De skyddar inte mot den nya formen av server-to-client-attacker. Om jag har en sårbarhet i min webbläsare kan jag smittas när jag surfar på en webbplats som lägger elak kod på min dator. Den typen av attacker är ips:er förträffliga skydd mot, säger Stefan Lager på Juniper.

Om det finns en typ av it-säkerhet där det är bättre att säga till en potentiell säljare vad problemet är, i stället för vad det är för maskin du vill köpa, är det förmodligen här. Säg att du vill ha något som stoppar bakgrundsbruset från gamla virus och riktade attacker samt kan begränsa mängden nöjestrafik i ditt nätverk. Sedan får säljaren komma med ett prisförslag. Vad de olika teknikkombinationerna kallas av olika tillverkare vid olika tidpunkter är det inte stor vits att försöka hålla koll på.




Illustration & grafik: Jonas Englund


Fakta

Företagen som erbjuder ids/ips-skydd

» 3 Com
» Borderware
» Cisco
» Clavister
» Check Point
» Cyberguard
» D-Link
» F-Secure
» Halon
» ISS
» Juniper
» McAfee
» Symantec
» Trend Micro
» Watchguard

Flera företag, till exempel Crossbeam, säljer ids/ips som del av en större infrastruktur.