Napastnikom nie brakuje pomysłów w wymyślaniu coraz bardziej złożonych ataków, lepiej przystosowanych do obchodzenia środków ochrony obwodowej. Sieciowe IDS (Intrusion - Detection Systems) okazują się niewystarczającym środkiem monitorowania takich zagrożeń. Kluczowym elementem zintegrowanej strategii ochrony jest uzupełnianie sieciowych IDS hostowymi IDS (Host IDS - HIDS).

Ten typ oprogramowania wykrywania wtargnięć jest instalowany przede wszystkim na serwerach, ale także można go zainstalować na desktopach i laptopach. Oprogramowanie Host IDS jest ostatnią linią obrony przed atakami osiągającymi te punkty końcowe sieci.

Moduły agentów HIDS powinny być wdrażane na krytycznych dla działania biznesu serwerach. Są to zazwyczaj serwery infrastruktury sieciowej, serwery infrastruktury biznesowej i serwery zawierające informacje o klientach i treść stanowiącą własność intelektualną firmy.

Sieciowe IDS kontrolują pakiety w sieci pod kątem podejrzanych działań, natomiast hostowe IDS monitorują anomalie występujące w plikach systemowych, procesach i plikach logów. Pliki logów systemów operacyjnych i aplikacji są przeszukiwane pod kątem znamion szkodliwych działań; system plików jest monitorowany pod kątem penetracji istotnych plików i naruszana ich zawartości, a ruch sieciowy wchodzący i wychodzący w punktach końcowych jest monitorowany na okoliczność ataków sieciowych.

Typowy atak na serwer rozpoczyna się często przepełnieniem bufora, wykorzystywanym w krytycznych usługach systemowych. Nieszczelność ta otwiera „tylne drzwi” do systemu, udostępniając atakującemu uprawnienia administratora. Przez takie „tylne drzwi” można wprowadzić trojana (program „konia trojańskiego”) i umieścić go w katalogu systemowym. Plik trojana zostanie zarejestrowany w systemie operacyjnym do wykonania przy każdym restarcie systemu.

Agent HIDS zainstalowany na serwerze może zatrzymać taki atak już na początku, z chwilą wykrycia stanu przepełnienia bufora. Jeżeli zajdzie potrzeba, HIDS może także zatrzymać intruza na etapie kopiowania programu trojana, zmiany rejestrów Windows lub w momencie odpalania trojana.

HIDS powinny być elementem wielowarstwowej strategii bezpieczeństwa, zapewniającej zwartą ochronę w ramach całej organizacji. Uzupełnia on możliwości innych produktów ochrony, takiej jak NIDS, pułapki i przynęty oraz zapory ogniowe. Każdy z tych elementów przynależy do zintegrowanej infrastruktury bezpieczeństwa, która wzmacnia obronę i zmniejsza ryzyko w sieci.

Zobacz także

• Systemy IDS
  • Problem fałszywych alarmów
  • Sieciowe IDS jako narzędzia analityczne
  • Systemy wykrywania włamań
  • Techniki obronne w IDS