Kutt ut snokvarsling, sier Gartner

Gartner mener snokvarslingsteknologi allerede er håpløst foreldet og ulønnsom. Andre mener Gartner har iført seg øyebind.

Gartner har publisert en serie rapporter om den såkalte "hype cycle" for forskjellige typer teknologi. (Se artikkelen Langt frem for nye søketeknikker om rapporten "Hype Cycle for Advanced Analytics".) I "Hype Cycle for Information Security" trekker Gartner den overraskende konklusjonen at snokvarslingsteknologi – "intrusion detection" – ikke bare befinner seg i "desillusjonens bølgedal", men allerede er utdatert og aldri vil nå stadiet med effektiv produktivitet.

I selve rapporten heter det bare at snokvarslere er en markedsflopp og at leverandørene i stedet vil satse på å stanse inntrengere gjennom stadig mer dyptgående brannmurer. Følgelig vil teknologien legges død en gang i 2005.

Til SearchSecurity.com sier forskningssjef Richard Stiennon i Gartner at selskaper som trenger snokvarsling implisitt gjør noe galt siden de ikke greier å stenge inntrengere ute.

– Det er bortkastet å bruke penger på å advares når neste SQL Slammer-orm slår til, sier Stiennon. – Nøkkelen er ikke flere sensorer og mer administrasjon. Investeringer der gjør ikke profilen sikrere. Selskaper bør migrere til et beskyttende nettverksmiljø, heller enn å notere seg alt som skjer. Brannmurer er det mest effektive forsvaret mot inntrengere, og de blir stadig bedre til å sperre for nettbaserte angrep.

Stiennon sier det bare er to stedet der overvåkning og varsling er på sin plass: Innen trådløse lokalnett for å avdekke snyltere, og på applikasjonsnivå for å fange opp avvik fra normal bruk. Men som egen sikkerhetsteknologi venter han altså at snokvarsling vil forsvinne.

Techweb har samlet en rekke motargumenter mot dette synet, fra både leverandører og uavhengige eksperter.

Leverandørene innrømmer flere av problemene som Stiennon mener hefter ved snokvarslingssystemer, blant annet at de gir tapt når trafikken overstiger 600 Mb/s og at det er ofte så mange falske alarmer at driftspersonalet ikke får konsentrert seg om sin egentlige jobb. Men de mener teknologien gjennomgår en grundig forbedring, og de mener også at Gartner tar feil på et grunnleggende punkt: Det er bare i en perfekt verden at sperrer vil holde alle inntrengere ute, og at det er uklokt å prinsipielt avvise teknologi som sier i fra når sperrene svikter. De peker videre på en undersøkelse til Computer Security Institute (se artikkelen Økt årvåkenhet halverte tap til datakrim) som nylig konstaterte at andelen amerikanske storbedrifter som investerer i snokvarsling har økt jevnt fra 43 prosent i 1998 til 73 prosent i 2002.

Snort-opphavet Martin Roesch fra Sourcefire er ikke nådig i sin dom over Gartner.

– Det er utopisk, sier han til Techweb. – Det er som om de plutselige ble religiøse eller noe sånt, eller plutselig ble dummere. Du kan ikke avskaffe behovet for å gjennomgå logger og overvåke det som skjer i nettet. Og teknologien blir stadig bedre. De tar feil i denne saken.

Tim McCormick fra Internet Security Systems (ISS) er ikke uenig i at brannmurer vil ta over oppgaver som i dag håndteres av snokvarslingssystemer, men advarer at det grunnleggende behovet for intern overvåkning aldri vil forsvinne.

Andre peker på at når man skal etterforske et angrep, er loggdata fra snokvarsleren et uvurderlig hjelpemiddel. De legger til at hensikten med snokvarslere er ikke å blokkere for inntrengere, men å advare systemansvarlige om at det skjer ureglementerte ting, og gi løpende informasjon slik at inntrengingen kan håndteres på en hensiktsmessig måte – hvilket ikke alltid vil innebære blokkering.

Jørn Tore Hov i det norske sikkerhetsselskapet mnemonic sier han ikke har lest hele Gartner-rapporten, men at han absolutt ikke har planer om å trekke tilbake de stadig mer populære og effektive produktene og tjenestene som han tilbyr innen snokvarsling.

mnemonic har blant annet arbeidet med prosjekter med såkalte honningnett, der man oppretter falske tjenester som bare kan oppdages av folk som pirker rundt der de ikke har noe å gjøre. Her er også en rekke andre selskaper engasjert, blant annet har Symantec et eget honningnettprodukt, Decoy. Gartner-rapporten nevner ikke honningnetteknologi.

Til toppen