Het probleem van huidige generatie Intrusion Detection Systems en Intrusion Prevention Systems (IDS/IPS) is dat zij onderhevig zijn aan False Alarms. Zij herkennen misschien wel heel veel dubieus verkeer op het netwerk maar hebben echter geen manier om te weten te komen of dat verkeer belangrijk of relevant is, aldus SourceFire, wat de meesten zullen kennen van het Open Source IPS Snort. Het bedrijf heeft een oplossing voor het false alarm probleem gevonden door omgevingskennis aan het IDS/IPS toe te voegen.

Met behulp van het SourceFire 3D systeem wordt een Unified Network Defense System geboden. De 3 D’s bestaan uit Discover, Determine en Defend. De belangrijkste componenten van Discover zijn Threat Intelligentie, Endpoint Intelligentie en Netwerk Intelligentie. Het 3D systeem correleert automatisch de 3 intelligentie types, prioritiseert het resultaat en onderneemt vervolgens automatisch actie om te beschermen tegen relevante bedreigingen.

Het SourceFire 3D systeem integreert zowel active scanning als passive discovery om zo tot de meest accurate real-time endpoint intelligentie te komen. Geen ander systeem biedt deze geintegreerde combinatie die gebruikers in staat stelt het gehele threat spectrum aan te pakken.

Het bepalen, of een bepaalde threat valide, is wordt gedaan met behulp van het SourceFire Defense Center. Het Defense Center onderhoud een database die informatie bevat over welke hosts zich op netwerk bevinden en het bouwt profielen van wat normaal netwerk verkeer voor deze systemen is. Deze informatie is afkomstig vanuit de RNA sensors en de SourceFire Intrusion Sensors op het netwerk. Het Defense Center correleert dan netwerk veranderingen, anomalous verkeer en verdachte activiteiten, met zijn kennis van het netwerk, om op deze manier, real-time geprioritiseerde alarmering en threat mitigation te kunnen bieden.

Het 3D systeem verdedigt het netwerk met behulp van de ABC’s van verdediging - Alarmeer, Blokkeer, Corrigeer. Dit omvat o.a. het sturen van SNMP traps, syslog alerts en email notificatie; het blokkeren van boosaardig verkeer of het vervangen van boosaardige content met goedaardige; firewall reacties om boosaardig verkeer te blokkeren; alsmede integratie met patch of configuratie management systemen om configuratie of code veranderingen aan te brengen om op die manier mogelijke exploitations te verhinderen. Het Defense Center bevat eveneens modules om actief vijandige communicatie te blokkeren op firewalls, zoals Cisco PIX of Checkpoint OPSEC compatible firewalls.

SourceFire 3D is een volledig geintegreerde oplossing die management van intrusion detectie en preventie, netwerk discovery, vulnerability scanning en event correlatie vanuit een enkele console mogelijk maakt. Deze integratie maakt het mogelijk om high-value alerts te sturen naar het incident response team en maakt eveneens geautomatiseerde threat mitigation mogelijk. Incident handlers kunnen actuele data bekijken om te bepalen welke commmunicatie er op een gegeven moment plaatsvindt, inclusief historisch analyse. De Datamining en event drilldown features zijn zeer bruikbaar bij verder forensisch onderzoek.

De belangrijkste eigenschap waarmee SourceFire zich onderscheidt van anderen is de mogelijkheid om continue passive discovery uit te voeren. Dit is de primaire methode om endpoint en network intelligentie te vergaren, in tegenstelling tot tradionele methoden zoals active scanning of gedistribueerde agents.

Passieve discovery maakt ook een andere belangrijke eigenschap van het 3D systeem mogelijk, namelijk ‘Impact’ rating. Door het combineren van passive system fingerprinting, active targeted scanning, en robuste vulnerability signatures kan het 3D systeem elk alarm van een ‘Impact’-rating voorzien. Het Defense Center bepaalt de relevantie oftewel impact van een bepaald event gebaseerd op de mogelijke slagingskans van een successvolle exploitation op het beoogde target. Bijvoorbeeld, een alert op een Apache exploit zal een veel lagere Impact rating krijgen wanneer deze geprobeerd wordt op servers waarvan men weet (via RNA) dat er Microsoft IIS opdraait.

Deze impact ratings zijn essentiele gegevens die de Defense Center’s Policy en Response engine in staat stelt om automatisch de meest toepasselijke reactie te geven, in real-time. Bijvoorbeeld, een Apache exploit geprobeerd op een IIS server kan eenvoudig gelogd worden voor toekomstige analyse terwijl dezelfde exploit tegen een Apache server direct een remediation actie naar de firewall als gevolg kan hebben. De Policy en Response engine maakt het ook mogelijk om complexe security policies door te voeren. Een voorbeeld hiervan zou kunnen zijn dat de policy bepaalt dat peer-to-peer transfers niet zijn toegestaan. Een Policy en response rule zou kunnen worden geschreven om P2P connecties niet toe te staan, zodat “data-lekkage” niet kan voorkomen.

Meer over informatie over dit systeem is te vinden in het RNA White Paper.