* 1
Odpowiedź nie jest jednoznaczna. Faktem jest, źe włamywacz* nlium* przemierzają internet, wyszukując niezabezpieczone miejsca, które mfidk 1 wykorzystać. Generalnie cały internet jest areną zmasowanego ataku wl I o tym właściciel dowolnego serwera zabezpieczonego loginami i hulam I bo w kronice serwera codziennie znajduje cale morze wpisów na lemtt na, I udanych prób logowania .
Włamywaczom naprawdę udaje się włamywać do systemów u pnnun odgadnięcia hasła, więc raportowania ataków tego rodzaju nir woż/ia fla/w* fałszywym alarmem, mimo że większość prób kończy się niepowodzdwsi Przy odpowiednio silnym haśle próby takie skazane są na niepowodzeń* jednak w przypadku hasła „oczywistego” (lub pustego) mogą się udać śtfś wniosek, iż konsekwentne ignorowanie komunikatów systemu detekcji mań nie jest dobrym pomysłem.
To, te nadmiernej „gadatliwości" systemów NIDS i NfPS nie można ntock na karb fałszywych alarmów, nie oznacza, że fałszywych alarmów wcafc nie ma, bo faktycznie występują, codziennie jest ich tysiące, lecz nawet gdyby udało się ich całkowicie pozbyć, nie uniknie się wysokich kosztów zarządzania tymi systemami. Umiejętne obniżenie liczby alarmów wymsgi wiele pracy, konieczne jest bowiem rozpoznanie klasy każdego problemu, a to wymaga sporo czasu.
Sam proces „strojenia" systemu wiąże się z dużymi kotztami bczpotred nimi. Nawet w odpowiednio „dostrojonym” systemie analiza generowanych alertów też wiąże się z dużymi kosztami. Przykładowo można analizować (ręcznie lub automatycznie, za pomocą dedykowanych do tego produktów), czy nieudane próby logowania do SSH nie są powiązane z innymi zdarzeniami w sieci — w efekcie mogłoby się okazać, że któraś próba włamania do sieci się powiodła! Koszty takiej analizy są jednak na tyle wysokie, że całe przedsięwzięcie może być nieopłacalne dla małej lub średniej firmy. I
Załóżmy, te mamy 40 użytkowników podłączonych do korporacyjnej Unii DSL. Załóżmy także, iż w sieci tej funkcjonują systemy NlDS/NfPS,,
Mó; osobisty serwer SSH me dopuszcza uwierzytelniania towteuj, nie jen
odpowiedni----1 — dla tego typu ataków, a mimo to wc/‘>n4 xnM.Ąr,„ ,
o blisko 600 próbach logowania.
m*
^ -ró/MrfyjM
fąittdwłtk wyfłąd ąag lofcw psłtsetid wwtknaśwkłdąty aftfcśilłfawwp at HmŚaksk jośme
Mftyu aytHidem, «ę<
wgt«śo*sreśtil Htwpd SeturUf Set •dhmyuu tnmy I* fewyCtaadsnl) Wd
AKŚtlkCUlsjZ Ad
MkyalAywniewyw '"sm kón4rkonft kUrf duifitm hjt **wwydtśOOf łdttrśfASt I ł ¥/b/**ma
£ \%
której
% Jttk MfWW
1 twwwftąjfi h w* rr Ai
ijewsftłttyp
Mf*ę4ó4itś zs pwwwą fcrst