אתמול היתה הרצאה במסגרת מפגשי TAUSEC. אודה ואתוודה, הסיבה היחידה שהגעתי לחלק הראשון היתה כדי לשאול שאלה אחת. אחרי ששאלתי אותה, אני חייב להודות שראיית עולמי לא השתנתה, וכנראה להפך.
המרצה דיבר על IDSים – מערכות לזיהוי חדירות. דיבר רבות על המערכות, מה הן יכולות לזהות, ומה לעשות לגבי זה. הוא גם ניסה להיות פרובוקטיבי בהטילו ספק, אף כי לא רב, בתועלת שהן מביאות.
בשלב זה שאלתי את השאלה הבאה:
“האם אתה יכול לספר על מקרה שבו ראית בעיניך מצב שמערכת ה-IDS עשתה משהו מועיל”.
התשובה היתה, בגדול, שעיקר השימושיות הינו עבור Forensics – לגלות מה קרה. אני אציין רק שהשימושיות הנ”ל מוטלת בספק. במקרה היחידי הידוע לי שבו ניצלו מידע שהגיע מ-IDS לצורך הגשת תביעה, לא היתה מחלוקת על העובדות, והנאשם יצא זכאי. במילים אחרות, לעניות דעתי, הקמה חכמה ומושקעת של מערכות התרעות על חדירות הינה, לעיתים מאוד קרובות (לא נחטוא לאמת ונגיד תמיד) בזבוז משאבים.
זה לא שהן לא מתריעות על נסיונות חדירה. זה פשוט שאין כל כך מה לעשות עם ההתרעות הנ”ל.
שחר
IDS – טוב או רע?
מאת
מעניין.
אתה כולל בהתייחסות שלך גם את המערכות המסחריות (שכחתי שמות של חברות ישראליות ספציפיות שעושות את זה, אתה בטח מכיר אותן – למשל אחת שמנטרת נסיונות חדירה דרך פרוטוקולים ברמת האפליקציה (למשל נסיון להחדיר קוד דרך ערכים של שדות SQL))?
השאלה הרלוונטית היא לא איך מזהים. השאלה הרלוונטית היא מה עושים עם זה.
אם יש להם משהו יותר חכם ממה שאני מכיר לעשות עם זיהוי נסיון התקפה, יכול להיות שיש פה משהו. אם הם באותם התחומים הרגילים, אותן מגבלות חלות גם עליהן, ואני לא כל כך בטוח מה התועלת.
שחר