SOURCEfire
Podstawowym problemem związanym ze stosowaniem systemów IDS/IPS jest konieczność analizy dużej liczby zdarzeń jakie one generują. Typowy sensor IDS/IPS dla średniej wielkości sieci liczącej kilkaset hostów wygeneruje w ciągu kilku godzin ponad tysiąc zdarzeń. Taka liczba jest zbyt duża aby mogła być "ręcznie" przeanalizowan. Okazuje się jednak, że nawet dla poprawnie skonfigurowanego sensora ponad 90% zdarzeń nie ma żadnego znaczenia i może być pominięta w bieżącej analizie bezpieczeństwa - nadmiarowe zdarzenia dotyczą błędów, które: zostały juz załatane, lub związane są z nie wykorzystywanym w danej sieci oprogramowaniem lub też innymi jego wersjami. Nowatorskie podejście stosowane przez SOURCEfire polega na dostosowaniu bazy podatności do faktycznej konfiguracji sieci. Przykładowo - jeśli stosowany jest serwer SMTP na platformie Windows to nie będą (domyślnie) raportowane zdarzenia związane z błędnymi implementacjami serwerów SMTP na platformie Linux.
Komponenty
- Sourcefire IPS - zbudowany na bazie oprogramowania SNORT system IPS, dostępny na różnorodne platformy sprzętowe.
- Sourcefire RNA (Real-time Network Awareness) - pasywna sonda IPS skanująca ruch i dostarczająca szczegółowych danych dotyczących zasobów sieciowych, systemowych i aplikacyjnych. Wiedza zgromadzona przez sondę wykorzystywana jest do ograniczenia raportowanych incydentów do tych, które faktycznie mogą swiadczyć o naruszeniu bezpieczeństwa. RNA pozwala określić podatność systemu na znane ataki. Informacje zebrane przez RNA pokazują administratorom na bieżąco kiedy nowe zasoby, usługi lub protokoły ujawniają się w sieci.
- Sourcefire RUA (Real-time User Awareness) - moduł pozwalający na wykorzystanie tożsamości użytkowników w procesie definiowania polityk lub wykrywania incydentów.
- Sensor 3D - sprzętowa platforma dla modułów IPS, RNA i RUA - dostępnych jest kilkanście urządzeń typu appliance o zróżnicowanej wydajności, liczbie i typie interfejsów sieciowych, pojemności dysków, itp.
- Defense Center - serwer administracyjny odpowiedzialny za korelowanie informacji z poszczególnych systemów oraz definiowanie reguły polityki bezpieczeństwa.
Dostępne systemy
Parametry wydajnościowe systemów 3D