Por Francisco Camargo, diretor da CLM*

Francisco Camargo - Diretor da CLM (Clique para obter foto em alta resolução)

O possível fim dos IDSs (Intrusion Detection Systems), apregoado pelo Gartner, gerou muita controvérsia. A discussão, que ocupou especialistas em segurança e sistemas de detecção de todo mundo, teve início após a declaração do instituto, que previa a obsolescência dos IDSs além de conclamar usuários a abandoná-los e migrar para controles de acesso (firewalls). Apesar dos enganos que a interpretação do Gartner provocou, a polêmica teve um lado positivo. Serviu para esclarecer pontos importantes sobre as reais necessidades de segurança nas redes corporativas e trouxe a público muitas vantagens e inovações dos sistemas de auditoria de segurança de rede, ao que parece, ignoradas até mesmo por aclamados institutos como o Gartner.

Lamentavelmente, verificou-se que a previsão não considerou o potencial de desenvolvimento, concretização e os aprimoramentos recentes dos IDSs, mostrando-se, no mínimo, tendenciosa e precipitada. O fato é que, no mundo de TI - do ERP ao antivírus - é dever obrigatório dos desenvolvedores modernizar, descobrir e atualizar seus softwares. Por que então  com  IDS seria diferente?

Entre os recentes avanços dos detectores de intrusos, verificou-se  o desenvolvimento  de ferramentas que  reduzem substancialmente o número de falso positivos, isto é, quando o sistema produz um alerta para eventos que não são oriundos de uma real invasão, uma das razões atribuídas pelo Gartner para a derrocada  dos IDSs.

Outro avanço notável está sendo obtido no Gerenciamento, com a interface muito mais intuitiva e funcional. A realidade é que estas inovações anunciam o renascimento da detecção de intrusão  e não sua morte. Mais ainda, ressaltam a necessidade do IDS para monitorar e auditar  atividades,  gerando uma trilha de auditoria, que pode se revelar bastante útil. Analisar as fraquezas de um sistema e adaptar políticas de prevenção de ataques a elas.

Existem dificuldades associadas ao IDS sim, mas seguir as recomendações do Gartner é assumir o risco de tornar-se cego aos ataques internos; perder o potencial de prevenção do ambiente em que estão operando e o conhecimento sobre o que acontece dentro da sua infra-estrutura. Estas inspeções não passam pelos controles de acesso  e portanto não são bloqueadas pelos Firewalls.

A verdade é que enquanto existirem hackers,  estes procurarão  vulnerabilidades nas redes corporativas. E, o preço a se pagar eliminando a prevenção que os IDSs proporcionam é muito alto. Envolve muito mais que  meros  prejuízos financeiros, mexe com a integridade de informações confidenciais,  com a imagem da empresa,   vitais para a sobrevivência de qualquer organização.

Os ataques contra redes continuam a se multiplicar, evidenciando que a guerra entre a couraça e o canhão nunca estará totalmente ganha. Também por esta razão, incitar, inadvertidamente, as empresas a desativar um sistema importante, estável e que permite uma "forensics"(2) detalhada e em constante aperfeiçoamento como o IDS, é ignorar os princípios básicos de segurança. Ora, auditar é, sem dúvida, uma função fundamental no provimento de defesa em qualquer ambiente de segurança, o que não é possível sem a devida trilha de auditoria. Além disso, o monitoramento constante dos detectores de intrusão propiciam visibilidade inigualável sobre a atividade de hackers; funcionários; terceirizados e sobre as ameaças contra sistemas corporativos.

Para dirimir controvérsias, é preciso analisar mais a fundo as razões das afirmações do instituto de pesquisa. Assim, temos que concordar que os sistemas de detecção de intrusão  mais antigos geram  muitos falsos-positivos e falsos-negativos,  gerando uma quantidade excessiva de alarmes e outros dados, o que requer  muito tempo de análise de  administradores de rede capacitados ,  para que a tecnologia seja eficaz. Estes sistemas incluem toda e qualquer possibilidade de ameaça, mesmo que seja falsa. Porém, o Gartner não considerou que vários IDSs trabalham com sintonia fina de defesa de intrusão , combinando o acompanhamento e a atualização rápida dos novos tipos de ataque (em grande parte target-based) juntamente com regras validadas a partir do nível de exposição de cada sistema, o que pode ser determinado por meio da  varredura da rede em tempo real.

E não há mágica, o sucesso da operação está intimamente ligado à acuracidade dos dados expostos que, por sua vez, dependem do uso da informação de vulnerabilidade, obtidos com a inteligência das tecnologias de detecção empregadas,  com cada tipo de risco de segurança no nível adequado. Daí, conclui-se que este contexto de inovações e progressos de segurança dos sistemas de detecção de intrusão não foi devidamente   apreciado  pelo Gartner, que, consequentemente, emitiu um  artigo errôneo sobre o futuro dos  IDSs.

Um avanço significativo foi a inclusão do  " escaneamento "   (varredura)  em tempo real, uma tecnologia inteligente que elimina automaticamente os alertas de ataques em sistemas não vulneráveis. Este tipo de ferramenta possui sensores que escaneiam e analisam, com minúcia, hosts, routers, gateways, protocolos, servidores, endereços IP, portas de internet para identificar cada dispositivo ou software. Desta forma, consegue enxergar todo o tráfego e coletar dados nos sistemas operacionais, o que permite montar um mapa da rede interna , que reconhece com precisão qualquer atividade suspeita. Além disso, esquadrinha o perfil comportamental dos dispositivos para saber como cada máquina trabalha e como interage com o  outras redes externas (internet).

O funcionamento é simples, todos estes dados são coletados em um console de gerenciamento e comparados com os ataques detectados para determinar o grau de exposição da rede. A base de dados sobre vulnerabilidades do IDS é cruzada com as versões de rede correlacionadas pelo nova tecnologia, excluindo ameaças ineficazes à rede. Assim, o IDS não sinaliza, por exemplo, a entrada de um vírus desenvolvido para sistemas Linux se seu sistema operacional for Microsoft.

Outro fato em que provavelmente se baseou o Gartner, é ainda existirem IDSs que trabalham com assinaturas inflexíveis e outras tecnologias, em que a saída para os falsos-positivos resume-se em desligar a assinatura ou sobreviver com eles. Novamente aí, houve um flagrante desconhecimento na afirmação, considerando que uma das vantagens de muitos IDSs são as regras adaptáveis à realidade de cada cliente. Como o nível de exposição da rede de uma companhia depende de muitos fatores - a localização da informação na rede, quem a acessa, que outras formas de defesa existem, etc., esta flexibilidade permite ajustar e individualizar  regras especificas  para o ambiente da empresa, o que por si só, diminui drasticamente o número de falsos-positivos e falsos-negativos.

Por outro lado, o resultado do IDS pode ser melhorado com a detecção de intrusos based-target, cujo exemplo mais notável é o do código SNORT, com uma comunidade de cerca de 100 mil contribuintes,  reportando ataques  no mundo todo.

Para finalizar, vale lembrar que outras pesquisas contrariam as previsões apocalípticas do Gartner. Recentemente, a Infonetics Research previu uma explosão nas vendas de IDS nos próximos três anos, afirmando que a tendência de crescimento contínuo observada em 2003, deve se manter em 2004. E justifica a expectativa devido ao crescimento global da demanda oriunda de clientes de todos os tamanhos e das inovações nas tecnologias IDS/IPS, que  os tornou mais fáceis de usar, mais acurados e disponíveis.

Por sua vez, a Computer Security Institute, pesquisa anual de crimes por computador e segurança do FBI, afirma que houve crescimento constante nas vendas. Em, 1998, 43% das organizações haviam adquirido sistema de detecção de intrusos. Em 2002, esta porcentagem subiu constantemente todos os anos e alcançou 73%.

Portanto, mesmo que se tenha 50 controladores de acesso em sua rede, é preciso acompanhar, correlacionar e ter uma visão ampla para agir proativamente a cada evento detectado pelo firewall, o que nos leva a uma conclusão muito prática: Controle de acesso é importante, mas o monitoramento também é (IDS).

*Francisco Camargo é diretor da CLM Informática.
fcamargoarrobaclm.com.br

Sobre a CLM
A CLM Software, fundada em 1990, é especializada em soluções voltadas para a Internet, eBusiness e VRM (Visitor Relationship Management). A empresa representa softwares de líderes deste segmento como a Internet Manager; WebTrends; SpyDinamics, RapidStream, Stellent, NetIQ e Elron. Além disso, presta serviços de consultoria, suporte e help desk para os produtos por ela representados

1. Usando o software WebInspect - www.clm.com.br/spidynamics
2. Forensics - do Inglês, relativo à autopsia, analise de eventos, invasões, a posteriori, identificando causas e vulnerabilidade