Het Prelude Hybrid IDS project is meer dan alleen een IDS, het is een raamwerk dat verschillende sensoren zoals Snort, honeyd, Nessus Vulnerability Scanner en Samhain gebruikt om een aanval te herkennen en gebeurtenissen met elkaar te koppelen. Wij interviewden bedenker Yoann Vandoorselaere over Prelude en IDS in het algemeen.

Security.NL: Wat onderscheidt Prelude van de concurrentie zoals Snort?

Vandoorselaere: Prelude is een gedistribueerd Hybride IDS platform dat een raamwerk biedt om verschillende beveiligingsprodukten, onafhankelijk van hun merk of licenties, samen te laten werken. Prelude biedt een centraal overzicht van waaruit je de beveiliging van al je systemen kunt regelen.

Dit is de reden waarom Snort of welk produkt dan ook geen concurrent van Prelude is: Het is juist een onderdeel ervan.

Het is juist goed als het aantal en soort security monitoring applicaties toeneemt, omdat er dan minder kans voor een aanvallers is om detectie te ontlopen, maar het biedt ook meer inzicht in hoe een aanvaller beveiligde locaties probeert te bereiken. Een NIDS kan bijvoorbeeld een specifieke aanval niet herkennen, maar een "file integrity checker" ziet misschien iets dat onderdeel is van de aanval zelf.

Neem bijvoorbeeld een kamer waar de toegang via een digitale camera in de gaten wordt gehouden. Als een aanvaller de hoek van de camera weet, kan hij er misschien langs glippen zonder gezien te worden. Stel je nu voor dat je lichaamstemperatuur en bewegingssensoren toevoegt, dat maakt het al een stuk lastiger.

Daar komt wel bij dat als het aantal detectie methodes toeneemt, ook het aantal af te handelen events toeneemt, daarom is aggregatie en correlatie erg belangrijk binnen een Hybride IDS context, omdat die de ruwe gegevens in informatie kunnen omzetten.

Security.NL: Waarom heb je besloten om een IDS te ontwikkelen en ben je er na al die jaren nog steeds mee bezig? Veel beveiligingsexperts zijn van mening dat IDS geen toegevoegde beveiligingswaarde hebben.

Vandoorselaere: Veel experts hebben problemen met op signatures gebaseerde NIDS in plaats van IDS in het algemeen. Het probleem met op signatures gebaseerde NIDS is dat ze geen nieuwe aanvallen kunnen herkennen, maar zinvol zijn omdat hun signature database regelmatig wordt bijgewerkt, zodat bekende aanvallen wel gedetecteerd en gestopt kunnen worden.

In mijn opinie gaat deze discussie om een bekend probleem dat zich richt op een specifiek produkt, en heeft geen connectie met Hybride IDS.

Ik gebruik Prelude om mijn infrastructuur te beveiligen, en denk dat het wel toegevoegde beveiligingswaarde heeft. Ik denk dat de toenemende vraag waar we mee te maken krijgen dit onderstreept.

Security.NL: Waarom heb je gekozen voor een hybride systeem?

Vandoorselaere: Prelude begon ooit als een project dat als doel had het opzetten van een gedistribueerde NIDS infrastructuur met een gedecentraliseerd rapportage systeem. De tijd verstreek en we kregen het gevoel dat NIDS niet voldoende waren voor de groeiende security infrastructuur.

In 2001 tijdens een LSM conferentie ontmoette ik de Trithème ontwikkelaars (Trithème was een project met dezelfde doelen als Prelude). We besproken de IDS architectuur en hadden dezelfde mening wat betreft NIDS en de noodzaak voor een beter overzicht van beveiligingsincidenten die op de infrastructuur plaatsvonden.

Hier begon onze visie van een systeem dat niet alleen beveiligingsincidenten monitort, maar ook alles wat met de algemene beveiliging te maken heeft, of het nu software of fysieke security is, om zo beter te zien wat er binnen de infrastructuur gebeurt.

Om dit doel te bereiken, was er een gemeenschappelijke taal voor verschillende sensoren nodig om alarm te kunnen slaan, hier kwam IDMEF (Intrusion Detection Message Exchange Format) van pas. We ging aan de slag met het ontwikkelen van de standaard en niet veel later werden Prelude en Trithème samengevoegd.

Er werd een framework gemaakt, waardoor het voor elke security applicatie mogelijk was, zoals shell scripts, om beveiligingsincidenten naar het Prelude systeem te sturen. Dat was de geboorte van het Hybride IDS.

Security.NL: Een van de grootste problemen met IDS/IPS is de hoeveelheid false positives. Hoe gaat Prelude hiermee om en wat kun je nog meer doen om te voorkomen dat mensen de weg kwijtraken door alle waarschuwingen die een IDS geeft?

Vandoorselaere: False positives zijn eens specifiek probleem bij sommige op signatures gebaseerde sensoren, die slechts een van de vele groepen sensoren vormen waar wij gegevens uit verzamelen. Zelfs in het geval van op signatures gebaseerde sensoren, zorgt de Hybride IDS aanpak ervoor dat data uit andere bronnen wordt verzameld en gebruikt om bepaalde incidenten te valideren.

Aggregatie en correlatie van incidenten gebeurt zowel in een correlatie engine als aan de voorkant van Prelude, waardoor je elke gebeurtenis kunt zien binnen de context van de hele security omgeving.

Security.NL: Waarom koos je een mier als logo?

Vandoorselaere: Net als met veel andere open-source projecten hebben we een mascotte gekozen. De keuze voor de mier komt overeen met het gedistribueerde karakter van het Prelude Systeem. Prelude bestaat uit meerdere elementen die samenwerken. Net als bij mieren, ligt de kracht van Prelude in gedistribueerde samenwerking met hetzelfde doel.

Het hardwerkende karakter van de mieren, hun houding om te communiceren, samenwerking, intelligentie en strijd om hun gebied te beschermen zijn allemaal elementen die onze keuze rechtvaardigt.

Security.NL: Prelude beweert "ongekende bescherming van systemen en netwerken". Dat is een boute uitspraak, wat kun je bijvoorbeeld doen om een netwerk tegen nieuwe aanvallen te beschermen waar nog geen signature voor is?

Hybrid IDS biedt toegang tot een beter en breder overzicht van alle incidenten die zich voordoen binnen de infrastructuur. Bepaalde sensoren, zoals op signatures gebaseerde IDS, zijn beperkt dat ze alleen bekende aanvallen herkennen, maar niet alle sensoren hebben deze beperking. Zo is een "file integrity checker" niet afhankelijk van een signature om een verandering te herkennen. Ook een sensor die het gebruik van een machine monitort tijdens werkuren is niet afhankelijk van een signature en ook sensor die netwerkverkeer monitort door te bepalen wat goed is en wat niet, kan verdachte, maar toch onbekende gebeurtenissen detecteren.

Een CPU gecombineerd met het monitoren van de bandbreedte laat bijvoorbeeld zien wanneer een systeem door een worm is getroffen. Honeypots waarschuwen op hun beurt als er nieuwe aanvallen en exploits actief zijn. Het komt er dus op neer dat veel IDS technologieën die via Prelude beschikbaar zijn niet afhankelijk zijn van signatures

In mijn mening is de kwaliteit van bescherming niet afhankelijk van het soort detectie, signatures of niet, maar hoeveel detectie methodes er gebruikt worden, en de mogelijkheid om incidenten aan elkaar te koppelen.

Security.NL: Welke nieuwe dingen kunnen mensen in de toekomst van Prelude verwachten?

Vandoorselaere: We zijn druk bezig met het bieden van meer correlatie features. De correlatie agent regel taal wordt sterk verbeterd, zodat die meer dan alleen het op signatures gebaseerd stacken van gebeurtenissen doet, maar ook op correlatie gebaseerde statistische analyse.

We willen ook de sensor registratie voor grote infrastructuren vereenvoudigen: Vandaag de dag wordt Prelude gebruikt door organisaties met duizenden machines. We zijn ook bezig met het maken van een nieuwe en innovatieve sensor, en het poorten van bestaande beveiligingsapplicaties zodat ze ook het Prelude systeem ondersteunen.

Security.NL: Naast het open source gedeelte is Prelude ook commercieel bezig. Zien jullie een groeiende vraag naar IDS systemen?

Vandoorselaere: Sinds 2004 zie ik een toename in de vraag naar IDS, wat me er toe zette om het bedrijf PreludeIDS Technologies in 2005 op te richten. Het Prelude project kreeg steeds meer commerciële verzoeken voor technische ondersteuning en ontwikkeling, verzoeken waar het PreludeIDS project vanwege haar vrijwillige en niet op winst gericht oogmerk aan kon voldoen. Sindsdien is de vraag alleen maar toegenomen, althans, dat is wat we zien met Prelude.

Security.NL: Hoe voorkom je dat je IDS gehackt wordt?

Vandoorselaere: De machine die de IDS componenten draait moet zelf door deze componenten beschermd worden, waardoor aanvallen op deze machine te herkennen zijn. In Prelude sturen sensoren informatie over hun status. Als een aanvaller een sensor probeert te kapen, door het te herstarten of te verstoren, zal dit worden opgemerkt. Daarnaast zijn er veel manieren om IDS componenten te verbergen: NIDS op een machine zonder IP-adres, verbergen van processen, etc.

In het ergste geval waar een IDS component gehackt wordt, blijft de rest zonder problemen functioneren. Prelude is zo gemaakt dat volledige redundantie mogelijk is, en alle componenten verdubbeld kunnen worden, zodat als de machine gehackt wordt, de dubbelganger gewoon door blijft gaan.

Security.NL: Heb je ooit overwogen om Prelude aan een groot bedrijf te verkopen of helemaal te stoppen met het aanbieden als open source?

Vandoorselaere: Toen ik begon met het ontwikkelen van software, zorgde de open source gemeenschap ervoor dat ik veel kon leren via de beschikbaarheid van code, ontwikkelaars, feedback etc, dit is waarom de Prelude code open source blijft.

We hebben verschillende aanbiedingen van bedrijven die het project wilden overnemen, en in closed source wilden veranderen, afgeslagen

Wat de commerciële kant betreft, bieden we een aantal proprietary extensies die voornamelijk voor bedrijven handig zij. Bedrijven die deze extensies aanschaffen ondersteunen de ontwikkelen en onderhoud van het Prelude project.

Security.NL: Op welke manier heeft de open source gemeenschap bijgedragen aan de ontwikkeling van Prelude?

Vandoorselaere: Het idee achter Prelude, alle energie die in de ontwikkeling is gestoken, hebben het project doen evolueren naar een Hybride IDS systeem. Dit is allemaal mogelijk geworden dankzij de discussies, het uitwisselen van ideeën en meningen van IDS experts. Ondersteuning van de gemeenschap is een van de redenen waarom Prelude zoveel verschillende beveiligingssystemen ondersteunt.

Feedback van gebruikers, bijdrages aan de code, ideeën zijn allemaal elementen die bijdragen aan de kwaliteit van Prelude, en ik wil graag van de gelegenheid gebruik maken om iedereen te bedanken die met de ontwikkeling van Prelude heeft geholpen.

Security.NL: wat is de grootste fout die mensen met een IDS maken?

Vandoorselaere: De grootste fout die een gebruiker kan maken is het systeem niet "kennen". Dit is niet echt een fout van de gebruiker, maar vaak een beperking van het produkt in kwestie.

Open source systemen zoals Snort, Samhain, Nagios, Netfilter, of Prelude laten hun gebruikers het systeem personaliseren en aanpassen aan hun behoeftes. Dit wordt gedaan via configuratie, ontwikkeling en in het geval van Prelude door de gebruiker het aantal en soort sensoren te laten instellen.

In elk geval is het erg belangrijk dat de gebruiker "plezier" met het systeem kan hebben, dat zij zich vrij voelt in het gebruik ervan.