"Zelf had ik nooit gedacht dat dit soort detectie systemen iets zou worden. Er zijn zoveel false positives dat mij dit problematisch leek", zegt Roesch. "Wie de detectie goed wil inrichten heeft daar echt veel werk aan." Hij is opgelucht dat bewaking van het netwerkverkeer niet meer is weg te denken. Snort kan ook aanvallen stoppen en hij ziet dat daardoor veel problemen in de kiem worden gesmoord. "Wat dan wel belangrijk is, is dat het systeem goed is ingesteld en geen rechtmatig verkeer wordt tegengehouden."

In de nieuwe versie 3.0, die volgend jaar het levenslicht moet zien, bouwt Sourcefire meer intelligentie in. Zo moet de software met hulpmiddelen zelf ontdekken hoe het netwerk eruit ziet dat beschermd moet worden. "Laten we eerlijk zijn: tuning is een niet werkend model. Niemand vindt het leuk en het kost veel tijd. Niemand heeft tijd en niemand kent alle systemen in een omgeving door en door", betoogt Roesch. "Als het aan mij ligt dan maken we tuning overbodig en vertrouwen we op de software. Je kunt niet vertrouwen op de hersenen van de mensen."

Snort 3.0 analyseert verkeer op basis van de bestemming. "Als je weet hoe het netwerk eruit ziet dan focus je op werkende aanvallen en niet op kansloze. Door dat onderscheid duurt de analyse korter en kun je grotere volumes aan", weet Roesch. "De praktijk is dat de behoefte aan bandbreedte groeit en dat er dus ook meer te bewaken is." De nieuwe software wordt vanaf de grond opnieuw opgebouwd en houdt ook meteen rekening met de nieuwe mogelijkheden van hardware. Zo is er ondersteuning voor multi-coresystemen ingebouwd. Roesch: "Nu kunnen we nog wel gigabitnetwerken aan, maar dat is over een tijdje ook niet voldoende meer."

Volgens Sourcefire gaat de ontwikkeling van de nieuwe versie nu snel. Na vier jaar zijn er 50.000 regels broncode geschreven en werken er vier mensen full-time aan het project. Als het raamwerk later dit jaar af is, dan treedt het bedrijf naar buiten en kan de gemeenschap gaan meehelpen. Roesch hoopt dat vrijwilligers gaan helpen met het nadenken over technieken die detectie van aanvallen voorkomen. "Daar is nog steeds geen goede oplossing voor." Volgens hem kan de gemeenschap dat goed en kunnen ook niet-programmeurs checks schrijven, omdat Snort in de toekomst ook gebruik maakt van de scriptingtaal Lua. Deze taal wordt in meer producten gebruikt zoals World of Warcraft en de sniffingsoftware Wireshark

Sourcefire werd mede door Roesch gesticht na het succes van Snort in de open-sourcegemeenschap. Het bedrijf met 240 medewerkers is inmiddels beursgenoteerd en zet jaarlijks 58 miljoen dollar om.

Bron: Techworld