|
Al momento in cui scriviamo, RealSecure è il prodotto
che ha il più ampio market share a livello mondiale.
Internet Security Systems (ISS), inoltre, è un'azienda
che continua a registrare un aumento molto corposo delle proprie
revenue, contestuale ad un'escalation delle acquisizioni. È
recente la notizia dell'acquisizione di Network Ice, che produce
il noto BlackICE, la qual cosa è da inquadrare come un
definitivo spostamento dal modello ibrido a quello totalmente
"Agent Based", di cui parlarono Tom Noonan e Chris
Klaus (le due colonne storiche di Iss) tempo fa. "Un agente
in ogni macchina" è un concetto ribadito anche recentemente
da Alex Bogaerts, vice president Emea di Iss, che abbiamo avuto
l'occasione di conoscere all'It-Way Security Forum. Partendo
da queste affermazioni e, contestualmente, dagli attacchi che
la stessa Xforce ha segnalato, pur non essendo completamente
d'accordo con la visione di ISS, abbiamo ritenuto opportuno
parlare di Server Sensor, la versione di Realsecure più
recente.
In realtà Server Sensor è solo la parte agente
di questo sistema, che rimane sostanzialmente invariato nelle
altre componenti, pur con alcune innovazioni. Il modello di
analisi su cui si basa questo prodotto è ancora un po'
ibrido, in quanto, se vogliamo rifarci alla letteratura, è
ancora Os Sensor a essere HIDS al 100%. Server Sensor ha, infatti,
le stesse caratteristiche del primo, con l'aggiunta di un'operatività
di verifica dello stack. In poche parole, oltre a monitorare
gli eventi di sistema come fa Os Sensor, il prodotto che abbiamo
testato controlla anche il traffico di rete relativo al punto
dove è stato installato. Questo tipo di approccio renderebbe
possibile una verifica anche del traffico crittografato. Fin
qui tutto dipende dal punto di codifica del dato. Quello che
appare più interessante è l'obiettivo che Iss
si prefigge nel contrasto agli attacchi basati sulla frammentazione.
Questi potrebbero essere ulteriormente mitigati proprio grazie
al controllo sullo stack effettuato su due punti differenti.
Dal punto di vista delle signature, il prodotto testato contiene
un insieme di quelle contenute in Network e Os Sensor, con l'aggiunta
di un superset proprio di Server Sensor stesso. Per questo motivo
sono state portate una serie di violazioni adeguate al tipo
di implementazioni, fake triggering compreso. Atteso che quest'ultimo
tipo di attacco è maggiormente proprio di un target come
Network Sensor, vista l'impostazione del prodotto ci è
sembrato opportuno fare una prova, senza forzare eccessivamente.
Il risultato non ha deluso le aspettative, al contrario del
riconoscimento delle fasi di information gathering, che si è
dimostrato sicuramente migliorabile. Anche in questo caso, comunque,
è possibile operare una personalizzazione delle signature
che, nel caso specifico, si chiamano firecell. Comunque, è
possibile, agendo sulla console e sulle policy, pianificare
delle reazioni, anche a livello di riconfigurazione dei dispositivi
di sicurezza, firewall compresi. Server Sensor, inoltre, può
lavorare con SecureLogic, un superset di script customizzabili
(a patto di conoscere il TCL) finalizzato alla gestione delle
contromisure. Il rilascio di Server Sensor, inserito ovviamente
in un'infrastruttura già consolidata, potrebbe costituire
un duro colpo per i competitor. Firecell e Securelogic rappresentano
degli strumenti da tenere in considerazione, forse un po' troppo
farraginosi ma interessanti. Spesso, comunque, è questo
il prezzo da pagare per la granularità che tutti si aspettano
da un prodotto di questo tipo. La consistenza della documentazione
è appena sufficiente ma la qualità di stesura
è superiore alla media.
Auspicabile l'estensione delle piattaforme coperte dal prodotto,
specie sul mondo Linux. Comunque si tratta di un modello analisi
innovativo da tenere sotto controllo, specie per le potenziali
capacità di riduzione di alcuni attacchi, come gli Ipfrag
based.
Tabella
|
