Obrona przed atakami IDS cz. 2

Transkrypt

1 Obrona przed atakami IDS cz. 2 1 Ataki i alarmy Systemy wykrywania intruzów nie informuj, czy zauwaony atak był skuteczny. W połczeniu z du liczb fałszywych alarmów moe przerodzi si to w administracyjny koszmar, a nawet - co bardziej prawdopodobne - w ignorowanie systemu NIDS. Taki stan rzeczy stwarza dogodne warunki do przeprowadzenia ataku DoS na sam system NIDS oraz jego operatorów. Atak taki implementuj m.in. narzdzia Stick oraz Snot. Sposób postpowania obu programów jest podobny: posiadajc baz sygnatur ataków systemu Snort, generuj one pakiety, których wykrycie przez system NIDS uruchamia alarm. Skutkiem takiego działania moe by: zajcie wszystkich zasobów sensora systemu NIDS, co uniemoliwia jego prawidłowe działanie, zapełnienie przestrzeni dyskowej przeznaczonej na logi systemu. Informacje o dalszych atakach nie bd pamitane, a zapełnienie dysku moe spowodowa przerw w działaniu systemu NIDS, wygenerowanie liczby alarmów, która przekracza fizyczne moliwoci sprawdzenia ich przez administratora. Generator pakietów losowo wybiera sygnatur z bazy, co utrudnia jego wykrycie poprzez szukanie stałych sekwencji ataków. Preferowane s sygnatury korzystajce z protokołów bezpołczeniowych, np. ICMP, UDP, poniewa niektóre systemy NIDS sprawdzaj kontekst ataku poprzez budowanie tablicy stanów połcze. Stworzenie na podstawie sygnatury i wysłanie segmentu TCP bez wczeniejszego nawizania połczenia spowoduje odrzucenie danego pakietu przez system NIDS. Pakiet taki mógłby równie zosta odrzucony przez ledzc stany połcze zapor ogniow lub router. Mona stworzy program, który byłby w stanie nawizywa pełne połczenie TCP, ale wtedy atakujcy musiałby zdradzi swój adres IP. Korzystajc z protokołów bezpołczeniowych, mona adres nadawcy sfałszowa. Według raportu Network Security Services, Snort, RealSecure oraz Cisco Secure IDS s podatne na atak przy uyciu narzdzi Snot oraz Stick. Nie powoduje on zaprzestania działania systemów NIDS, a jedynie generuje fałszywe alarmy. Ataki DoS s skuteczne, bowiem producenci systemów NIDS minimalizuj liczb fałszywych alarmów, ale przy załoeniu pracy w rodowisku o normalnej charakterystyce ruchu sieciowego. Sytuacja, w której pakiety uruchamiajce alarm generowane s umylnie, zwykle nie jest brana pod uwag. Stick jest w stanie wygenerowa 450 alarmów w cigu dwóch sekund. Aby atak taki był skuteczny, atakujcy nie potrzebuje łcza o duej przepustowoci. Szanse, e administrator nawet przy kilkudziesiciu alarmach na sekund sprawdzi je wszystkie, s znikome. System NIDS raportuje o wykryciu zdarzenia, nie informuje jednak, czy atak zakoczył si sukcesem. Cz sieciowych systemów IDS rozpoznaje rodzaj systemu operacyjnego chronionej maszyny i nie raportuje o próbach ataków, które go nie dotycz. Nie jest to rozwizanie idealne, bowiem administrator powinien wiedzie o zaistnieniu ataku, niezalenie od jego skutku. Stara si temu zaradzi program ClearResponse firmy Psionic, znanej z programów PortSentry, HostSentry oraz LogSentry. Według producenta, ClearResponse współpracuje z systemami NIDS i dostarcza automatycznie odpowiedzi, czy alarm jest fałszywy. Program jest w stanie odfiltrowa nieudane ataki, zwracajc uwag administratora

2 na udane wtargnicia. System NIDS nadal bdzie raportował o nieudanych atakach, lecz wyłcznie informacyjnie. Zautomatyzowanie procesu sprawdzania alarmów pozwala na analiz kadego zdarzenia. ClearResponse nie wymaga instalacji agentów na zdalnych maszynach. Zamiast tego polega na istniejcym systemie uwierzytelniania. Po zgłoszeniu zdarzenia przez system NIDS ClearResponse zaczyna kilkufazow analiz: 1. Okrela rodzaj systemu operacyjnego bdcego celem ataku. Informacja ta potrzebna jest do ustalenia, czy docelowe urzdzenie jest podatne na dany atak. 2. Jeli system jest podatny na atak, nastpuje sprawdzenie, czy łaty chronice przed danym atakiem zostały zainstalowane. 3. Jeli system jest podatny na atak, ClearResponse zaczyna szczegółowe badanie systemu, które obejmuje: analiz rejestru, systemu oraz logów, przeszukanie okrelonych lokalizacji w poszukiwaniu ladów ataku, inne czynnoci majce na celu potwierdzenie sukcesu lub poraki ataku. 4. W razie stwierdzenia włamania ClearResponse zbiera dowody i umieszcza je w bezpiecznym miejscu. 5. Do administratora wysyłana jest informacja o wykryciu włamania i przyjtej drodze postpowania oraz kopia zebranych dowodów. ClearResponse nie zastpi jednak profesjonalistów od bezpieczestwa sieciowego. Zawsze naley powiadomi administratora, który powinien umie zinterpretowa przedstawione dowody włamania i zdecydowa o dalszym postpowaniu. Dostpna wersja ClearResponse potrafi współpracowa jedynie z systemami RealSecure oraz Cisco Secure IDS. 2 IDS a szyfrowanie Sieciowe systemy IDS badaj zawarto przechwyconych pakietów. Jeli jednak pakiety te s zaszyfrowane, system traci moliwoci zbadania danych przez nie przenoszonych. Wiele ataków wykorzystuje to w celu uniknicia wykrycia. Problem dotyczy m.in. popularnych protokołów SSL oraz IPSec. SSL jest wykorzystywany do zabezpieczania transakcji w Internecie, np. w sklepach online. Zapewnienie poufnoci jest w takich przypadkach jak najbardziej podane. Niestety, zaszyfrowany moe by równie atak na serwer WWW, czego system NIDS nie jest w stanie zidentyfikowa. Protokół IPSec jest powszechnie wykorzystywany w wirtualnych sieciach prywatnych. Moe działa w trybie transportowym i tunelowym. Pierwszy szyfruje jedynie zawarto, pozostawiajc widoczne nagłówki pakietu; wykorzystywany jest w transmisji punkt-punkt. Podejrzenie zawartoci pakietów bez znajomoci klucza wymagałoby złamania zabezpiecze protokołu IPSec. W trybie tunelowym szyfrowana jest zawarto pola danych pakietu wraz z nagłówkami. Do tak zaszyfrowanego pakietu dodawany jest nowy nagłówek IP z adresem drugiego koca tunelu. W trybie tym mog pracowa dwa hosty komunikujce si bezporednio, jest on jednak wykorzystywany głównie w bramach IPSec. Brama to specjalne urzdzenie umieszczane zwykle na styku sieci LAN/WAN, które szyfruje ruch wychodzcy z sieci LAN. Wykorzystywane jest ono do bezpiecznego łczenia dwóch sieci LAN za pomoc sieci rozległej. W sieciach LAN ruch nie jest szyfrowany. Brama IPSec szyfruje jednak połczenia pomidzy sieciami LAN. Jest to proces niezauwaalny dla uytkowników. W trybie tunelowym niezbdne jest odpowiednie zlokalizowanie systemu NIDS, tak by widział on pakiety, zanim zostan one zaszyfrowane

3 lub dopiero po ich rozszyfrowaniu. Sprowadza si to do umieszczenia sensorów systemu NIDS za bram IPSec po stronie sieci lokalnej. Problem ten nie dotyczy niektórych systemów NNIDS oraz HIDS, np. Entercept, Okena Stormwatch, RealSecure Server Sensor. Programy te, korzystajc z bezporedniego dostpu do chronionej maszyny, badaj zawarto pakietów ju po ich rozszyfrowaniu przez system operacyjny. 3 Intrusion Detection and Response Współczesne mechanizmy obronne systemów komputerowych coraz bardziej - zarówno w terminologii, jak i taktyce - upodabniaj si do działa stricte militarnych. Przechodz te podobn ewolucj - od statycznych, okopanych fosami i "cianami ogniowymi" fortec do w pełni dynamicznej walki manewrowych i technologicznie zaawansowanych sił. Technika, o której mowa, okrelana jako Intrusion Detection and Response (active response), w działaniu przypomina urzdzenia walki radioelektronicznej - identyfikuje rodki napadu przeciwnika i zakłóca ich działanie, zmniejszajc w ten sposób ich skuteczno. Niestety tylko "zmniejsza", poniewa i w tej dziedzinie trwa wycig midzy atakujcym i bronicym. Mechanizm aktywnej reakcji (active response) wymaga wykrycia symptomów i parametrów ataku. Jest to niezbdne, by wiedzie, kiedy i komu odpowiedzie. Zatem komponentem czynnej obrony bdzie system IDS. Moe on tylko dostarcza informacji o ataku - poprzez zapis do logów lub przekazanie komunikatu innym aplikacjom - lub reagowa samodzielnie, jeli ma zaimplementowane odpowiednie procedury, np. w formie wtyczek (plug-ins). Od strony technicznej czynna obrona moe polega albo na przerwaniu danej sesji TCP (session sniping), albo na dopasowaniu konfiguracji ciany ogniowej (firewall update) i zazwyczaj okresowym (rzadko permanentnym) zablokowaniu dostpu intruzowi w całoci lub tylko do wybranego portu. "Przecicie" sesji odbywa si na ogół poprzez zmylenie stosu IP co do stanu sesji lub połczenia, np. poprzez wysłanie pakietu TCP z flag RST (reset) do obu stron sesji dla jej zakoczenia lub komunikatu ICMP do nadawcy, np. ICMP_NET_UNREACH, ICMP_HOST_UNREACH lub ICMP_PORT_UNREACH. Zastosowanie mechanizmu czynnej obrony ma sens tylko wtedy, gdy zostanie wykryty prawdziwy atak. Moe zdarzy si sytuacja, w której symptom ataku pojawi si w normalnej komunikacji i zostanie ona przerwana, tzw. false-positive. Aktywna obrona moe równie odwróci si przeciwko bronicemu, jeli intruz odkryje lub załoy funkcjonowanie tej techniki w systemie IT, który jest celem ataku. Moe on spowodowa szereg fałszywych alarmów pozornie pochodzcych od współdziałajcych komputerów - zablokowanie im komunikacji sparaliuje system IT i bdzie faktycznie form ataku DoS. Zastrzeenie to dotyczy przede wszystkim techniki uaktualnienia reguł cian ogniowych, podobnie jak sytuacja, kiedy intruz atakuje z adresu IP przydzielanego dynamicznie i dziki temu blokuje go w danej lokalizacji na dłuszy czas innym uytkownikom. Łatwo sfingowania ródła pakietu dotyczy zwłaszcza protokołów ICMP i UDP. Dlatego uywanie mechanizmów active response nie powinno by uzalenione od działa podejmowanych za pomoc tych protokołów - do wykorzystania pozostaje protokół transportowy TCP. Aby obrona była skuteczna, czas reakcji na atak musi zosta zminimalizowany, eby nie pozostawi intruzowi czasu na wyrzdzenie szkód. O powodzeniu lub niepowodzeniu ataku i przeciwdziałania mog zadecydowa milisekundy. Nie jest to wcale przesada. Niektórym zautomatyzowanym technikom penetracji systemów komputerowych rzeczywicie wystarcz ułamki sekundy do wyrzdzenia szkód lub otwarcia nieautoryzowanego dostpu z zewntrz.

4 Istniej równie techniki pozwalajce skutecznie obej mechanizm active response. Atakujcy dysponuje przewag w postaci wykonania pierwszego ruchu, nim atak zostanie zauwaony i zaklasyfikowany. Podzielenie kodu exploitu midzy kilka pakietów sprawia, e obserwujcy komunikacj system IDS musi najpierw złoy pakiety z danej konwersacji w strumie - dopiero wtedy jest w stanie dopasowa wzorzec z bazy sygnatur do zgromadzonych danych. W tym czasie pakiety z exploitem znajduj si ju w buforze wejciowym TCP zaatakowanego komputera. Jeli uyty w ataku exploit wymaga interakcji, skuteczne moe by nawet postawienie zapory przy uyciu firewalla, pod warunkiem e odbdzie si to przed dalszym cigiem konwersacji. Jeli exploit nie wymaga dalszej komunikacji midzy atakujcym i ofiar, to czas reakcji wyznacza chwila, w której kod exploitu przesłany zostanie z bufora TCP do zaatakowanej aplikacji. Jest to czas na uycie session sniping - przesłanie odpowiednio wczenie pakietu z flag RST spowoduje wyrzucenie z bufora złoliwych pakietów, nim dotr do właciwego celu. Blokowanie ruchu w inny sposób nie pomoe. Metodzie tej daleko jednak do stuprocentowej skutecznoci. Atakujcy moe ustawi inkryminowanym pakietom flag PUSH, wymuszajc dostarczenie pakietów do aplikacji bez buforowania - tak szybko, jak to moliwe. Moe to wystarczy do wykonania operacji zwizanej z exploitem, np. zostawienia "tylnego wejcia" w zaatakowanym systemie komputerowym. Dalszy atak moe odbywa si wtedy poza zakresem detekcji systemu IDS. Obejcie takie bdzie skuteczne take przy dynamicznym zarzdzaniu firewallem; co prawda zablokowany zostanie dostp z adresu, z którego uyto zdalnego exploitu, jednak dalsza penetracja systemu moe odbywa si - dziki zainstalowanym backdoors - z innych lokalizacji. Inn moliwoci ominicia obrony przez session sniping jest przesłanie wikszej liczby pakietów w porcji, ni spodziewa si IDS wysyłajcy TCP RST. Warunkiem skutecznoci przerwania konwersacji przez pakiet TCP RST jest otrzymanie przeze odpowiedniego numeru sekwencji. Jeli atakujcy po trzech pakietach zawierajcych exploit przele czwarty, nieszkodliwy pakiet - wysłany przez IDS pakiet TCP RST wypadnie z sekwencji i przez wikszo stosów IP zostanie zignorowany. Sesja bdzie trwała i to bez moliwoci zweryfikowania skutecznoci session sniping. Metoda ta jest skuteczna zwłaszcza przy uyciu exploitów wymagajcych dalszego utrzymania sesji. 4 Integracja IDS z firewall Niektóre koncepcje wdraania systemów IDS zakładaj, e system IDS po wykryciu ataku powinien mie moliwo rekonfiguracji systemu zaporowego. Koncepcja ta posiada jednak wikszy wymiar marketingowy jak praktyczny. Na pierwszy rzut oka pomysł ten wydaje si interesujcy, jednak wnikliwa analiza skutków zastosowania go w praktyce prowadzi do przeciwnych wniosków. Automatyczne blokowanie na Firewall adresów, z których wywodzi si atak wydaje si nierozsdne z kilku powodów. Po pierwsze, włamywacze posługuj si zazwyczaj komputerami/sieciami osób i firm trzecich. W trakcie prowadzenia wielu ataków mog take wykorzystywa dowolne, przypisane sobie adresy IP. Łatwo wyobrazi sobie sytuacj, w której włamywacz wiedzc, lub nawet tylko podejrzewajc, e firma stosuje tak strategi obrony wykorzysta do ataku sieci (lub tylko ich adresy) nalece do jej kluczowych partnerów lub klientów. W cigu kilku minut firma moe wic sama pozbawi si kontaktu ze wiatem. Po drugie, wziwszy pod uwag stosunkowo duo fałszywych alarmów generowanych przez systemy IDS, taka automatyzacja moe oznacza w praktyce dla administratorów wicej, a nie mniej pracy. Inna koncepcja integracji IDS z Firewall, znajdujca wiksze zastosowanie praktyczne polega na utrzymywaniu wspólnej bazy rejestrowanych przez nie zdarze. System IDS przesyła w czasie rzeczywistym logi do stacji zarzdzajcej Firewall, aby tam mogły zosta poddane wspólnej analizie. Takie podejcie stwarza lepsze moliwoci wykrywania naduy

5 bezpieczestwa i wyjaniania zaistniałych incydentów. Przykładem moe by opracowany przez Check Point protokół ELA (Event Logging API), poprzez który zdarzenia z IDS mog w czasie rzeczywistym by przesyłane do konsoli zarzdzania Firewall (SmartCenter) i tam poddawane korelacji i analizom. 5 IDS in-line Tym, którzy wybieraj si na internetow wojn z uyciem Intrusion Detection and Response naley si ostrzeenie: nie jest to technologia absolutnie skuteczna. Techniki jej neutralizacji s znane. Zastosowana w odpowiednich warunkach i w zestawieniu choby ze starannym zakładaniem "łat" na znane luki w systemach operacyjnych i aplikacjach pomoe na pewno odeprze mniej profesjonalnie przeprowadzone ataki, a pozostawi czas i siły do namysłu przed odparciem tych najgroniejszych. Uycie opisanych do tej pory systemów IDS współpracujcych z firewallem z biegiem czasu przestało by wystarczajce. Obecnie konieczne jest zastosowanie zintegrowanego systemu zabezpiecze, który wykrywa ataki i blokuje je w czasie rzeczywistym. Na rynku pojawiła si zatem nowa generacja zabezpiecze okrelana jako in-line IDS lub Deep Packet Inspection. Rozwizania te s co do zasady działania podobne do systemów firewall. Ruch wchodzi do urzdzenia IDS przez interfejs sieciowy i wewntrz jest poddawany analizie, a nastpnie wychodzi z urzdzenia drugim interfejsem. Dziki temu kontrola ruchu sieciowego jest łatwiejsza, pojawia si mniej jak w zwykłych IDS fałszywych alarmów i co najwaniejsze całkowicie eliminowane jest zagroenie, e IDS zgubi pakiety. Istotne jest take, e w in-line IDS ataki mog by w czasie rzeczywistym skutecznie blokowane. Zwykły system IDS, nasłuchujc sie identyfikuje zdarzenia w czasie gdy intruzi wykonali ju ataki na chronione zasoby i w praktyce nie jest w stanie ich zablokowa. Systemy IDS działajce w trybie in-line to m.in. Check Point SmartDefence, ISS RealSecure Guard i OneSecure (obecnie NetScreen IDP). Realna wydajno rozwiza in-line IDS wynosi od 100 do 400 Mb/s, co oznacza, e na razie mona je stosowa do ochrony segmentów sieci Fast Ethernet oraz mało obcionych sieci Gigabitowych. Poniej przedstawione zostało porównanie własnoci systemów IDS zintegrowanych z firewallem i systemów in-line IDS.

6 Własno Ochrona zasobów systemu informatycznego przed atakami Wykrywalno ataków Zagroenie zakłócania pracy systemu informatycznego System IDS zintegrowany z In-line IDS firewallem Brak moliwoci blokowania Atak jest blokowany przed ataków i ochrony zasobów systemu uzyskaniem dostpu do chronionych informatycznego. Reakcja Sniffer- zasobów systemu informatycznego. IDS odbywa si po wykonaniu In-line IDS blokuje pakiety, które ataku. Typowy atak sieciowy to wykonuj atak. In-line IDS w razie uruchomienie exploit typu potrzeb realizuje take funkcje przepełnienie bufora, załadowanie firewall. shellcode i instalacja backdoor. Czas trwania ataku jest bardzo krótki, a Sniffer-IDS nie ma moliwoci jego zablokowania poprzez wykonanie TCP Reset. Zablokowanie na firewall adresu IP, z którego wykonano atak take jest nieskuteczne. Intruz moe bowiem majc zainstalowany backdoor uzyska dostp do systemu uywajc innego adresu IP. Analiza ruchu sieciowego na zasadzie nasłuchu jest skomplikowana i istnieje zagroenie gubienia pakietów. Sniffer-IDS ma utrudnione zadanie z uwagi na wystpujce w sieci przecienia, retransmisje TCP, fragmentacj oraz rón kolejno napływajcych fragmentów datagramów. Na skutek tego zabezpieczenia Sniffer-IDS charakteryzuj si du liczb fałszywych alarmów (ang. false positives) i nie wykrywaj wszystkich ataków, nawet jeeli posiadaj w bazie ich sygnatury. Blokowanie na firewall adresów IP, z którego zostały zidentyfikowane ataki jest bardzo niebezpieczne (np. intruzi stosujc IP Spoofing mog wykonywa ataki uywajc adresów IP nalecych do oddziałów firmy, bd jej klientów i partnerów). In-line IDS analizuje cało ruchu sieciowego przepływajcego przez urzdzenie zabezpiecze. Poprawne identyfikowanie ataków jest łatwiejsze jak w Sniffer-IDS (m.in. w in-line nie ma zagroenia zgubienia pakietów, in-line IDS moe wykonywa kompletowanie poddanych fragmentacji datagramów IP przed wpuszczeniem ich do sieci chronionej). In-line IDS blokuje tylko pakiety wykonujce atak. Zagroenie wprowadzania zakłóce w pracy systemu informatycznego jest niewielkie. O jakoci systemów wykrywania intruzów decyduje wiele własnoci. Do najbardziej istotnych z nich mona zaliczy: Wykrywalno ataków - system IDS identyfikuje ataki, dla których posiada zdefiniowane sygnatury i jest odporny na techniki oszukiwania zabezpiecze (tzw. evasion techniques). Liczba fałszywych alarmów - system IDS dokładnie analizuje ruch sieciowy i generuje niewielk liczb fałszywych alarmów (tzw. false positives). Wydajno - system IDS nawet w warunkach duego obcienia sieci poddaje analizie cało ruchu sieciowego tzn. nie gubi pakietów.

7 Baza sygnatur i jej aktualizacja - system IDS posiada informacje na temat duej liczby ataków i dane te s czsto aktualizowane, Zakres reakcji - system IDS w razie wykrycia ataku podejmuje stosowne działanie (np. powiadamia administratora, zamyka sesj TCP). Dostrajanie zabezpiecze - polityka bezpieczestwa IDS jest dostosowana do potrzeb i specyfiki chronionych systemów (m.in. administrator decyduje jaki ruch podlega kontroli oraz moe definiowa własne sygnatury zdarze i metody ich obsługi). Zarzdzanie zabezpiecze - administrator IDS ma do dyspozycji dedykowane narzdzia do monitorowania sieci, analizy zdarze i wykrywania naduy bezpieczestwa oraz sprawnego zarzdzania systemu (m.in. scentralizowanej instalacji polityki bezpieczestwa i aktualizacji baz sygnatur na odległych sensorach IDS). 6 IDS to nie wszystko Zainstalowanie systemu IDS nie jest wcale równoznaczne z zapewnieniem bezpieczestwa. Nie ma systemów IDS w pełni zautomatyzowanych, które nie wymagaj do działania adnego nadzoru ze strony wykwalifikowanej obsługi. Wspomniane tu strojenie systemu NIDS to zaledwie czubek góry lodowej. Aktualizacja, przegldanie logów, reagowanie na alarmy - wszystkie te obszary pomimo rosncej automatyzacji musz by pod opiek człowieka. Fałszywe poczucie bezpieczestwa jest niejednokrotnie groniejsze w skutkach od nieposiadania jakichkolwiek zabezpiecze. Najlepiej samemu przekona si o skutecznoci posiadanego systemu wykrywania intruzów. Testy pozwalaj zapozna si z posiadanym systemem NIDS, rodzajami alarmów przez niego zgłaszanych oraz okolicznociami ich powstawania. Wród wielu programów napisanych specjalnie w tym celu s zarówno programy darmowe (np. Firewall Tester), jak i komercyjne (np. HailStrom, IDS Informer). Firewall Tester symuluje połczenia TCP pozwalajce testowa systemy dokonujce analizy kontekstowej ruchu sieciowego. Implementuje techniki unikania wykrycia oraz obsługuje fragmentacj IP oraz TCP. Potrafi korzysta z bazy reguł Snorta do tworzenia pakietów testowych. HailStorm naley do programów testujcych zabezpieczenia sieci. Do przeprowadzania symulowanych ataków wykorzystuje wewntrzn baz wzorców; umoliwia te definiowanie własnych wzorców. Pozwala testowa protokoły warstw: sieciowej, transportowej i aplikacji oraz sprawdza skuteczno zapór ogniowych i systemów IDS. Wykorzystuje techniki unikania wykrycia, dajc administratorowi kontrol nad rónymi ich rodzajami. IDS Informer został stworzony z myl o testowaniu systemów IDS. Dostpne s dwie wersje programu: Standard oraz Professional. Wg producenta - Blade Software - IDS Informer przeprowadza prawdziwe, aczkolwiek nieszkodliwe ataki na wybrane systemy. Technologia ta otrzymała nazw S.A.F.E. (Simulated Attacks For Evaluation). Zalet programu s regularne aktualizacje bazy danych o atakach, dziki czemu mona na bieco bada skuteczno systemu IDS. Daje to pewno, e system IDS jest skonfigurowany poprawnie i działa zgodnie z oczekiwaniami. Niezalenie od dostpnoci programów testujcych istnieje przekonanie, e nie ma lepszego sposobu na sprawdzenie skutecznoci systemu IDS ni przeprowadzenie ataków samemu. Daje to stuprocentow pewno, e system IDS wykrywa i poprawnie identyfikuje dokładnie taki atak, przed którym serwery i sie maj by chronione. Producenci systemów IDS staraj si nada za postpem w technologii sieciowej oraz nowymi metodami unikania wykrycia. Systemy IDS s ju pod wieloma wzgldami skuteczne, ale wci wymagaj dopracowania. Liczba oraz jako dostpnych rozwiza pozwalaj jednak bez obaw patrze w przyszło technologii wykrywania intruzów.