Çfarë është IDS?

Ka shumë malware që qarkullojnë në internet. Fatmirësisht, ekzistojnë shumë masa mbrojtëse. Disa prej tyre, të tilla si produktet antivirus, janë krijuar për t'u përdorur në bazë të një pajisjeje dhe janë ideale për individët me një numër të vogël pajisjesh. Softueri antivirus është gjithashtu i dobishëm në rrjetet e ndërmarrjeve të mëdha. Megjithatë, një nga problemet atje është thjesht numri i pajisjeve që më pas kanë softuer antivirus që funksionon që raporton vetëm në makinë. Një rrjet ndërmarrjesh me të vërtetë dëshiron që raportet e incidenteve antivirus të jenë të centralizuara. Ajo që është një avantazh për përdoruesit shtëpiak është një dobësi për rrjetet e ndërmarrjeve.

Duke shkuar përtej antivirusit

Për t'i çuar gjërat më tej, nevojitet një qasje tjetër. Kjo qasje quhet IDS ose Sistem i zbulimit të ndërhyrjeve. Ka shumë variacione të ndryshme në IDS, shumë prej të cilave mund të plotësojnë njëra-tjetrën. Për shembull, një IDS mund të ngarkohet të monitorojë trafikun e një pajisjeje ose rrjeti. Një pajisje që monitoron IDS quhet HIDS ose Sistem i zbulimit të ndërhyrjeve të bazuara në host. Një IDS e monitorimit të rrjetit njihet si NIDS ose Sistemi i zbulimit të ndërhyrjeve në rrjet. Një HIDS është i ngjashëm me një grup antivirus, duke monitoruar një pajisje dhe duke raportuar përsëri në një sistem të centralizuar.

Një NIDS zakonisht vendoset në një zonë me trafik të lartë të rrjetit. Shpesh kjo do të jetë ose në një ruter të rrjetit bazë/bazë ose në kufirin e rrjetit dhe lidhjen e tij me internetin. Një NIDS mund të konfigurohet të jetë në linjë ose në një konfigurim me prekje. Një NIDS inline mund të filtrojë në mënyrë aktive trafikun bazuar në zbulimet si një IPS (një aspekt që do të kthehemi më vonë), megjithatë, ai vepron si një pikë e vetme dështimi. Një konfigurim i prekjes në thelb pasqyron të gjithë trafikun e rrjetit në NIDS. Më pas mund të kryejë funksionet e tij të monitorimit pa vepruar si një pikë e vetme dështimi.

Metodat e monitorimit

Një IDS zakonisht përdor një sërë metodash zbulimi. Qasja klasike është pikërisht ajo që përdoret në produktet antivirus; zbulimi i bazuar në nënshkrim. Në këtë, IDS krahason softuerin e vëzhguar ose trafikun e rrjetit me një grup të madh nënshkrimesh të trafikut të rrjetit të njohur keqdashës dhe keqdashës. Kjo është një mënyrë e njohur dhe përgjithësisht mjaft efektive për të luftuar kërcënimet e njohura. Monitorimi i bazuar në nënshkrime, megjithatë, nuk është një plumb argjendi. Problemi me nënshkrimet është se ju duhet së pari të zbuloni malware për të shtuar më pas nënshkrimin e tij në listën e krahasimit. Kjo e bën atë të padobishëm në zbulimin e sulmeve të reja dhe të prekshëm ndaj variacioneve në teknikat ekzistuese.

Metoda kryesore alternative që përdor një IDS për identifikim është sjellja anormale. Zbulimi i bazuar në anomali merr një bazë të përdorimit standard dhe më pas raporton për aktivitet të pazakontë. Ky mund të jetë një mjet i fuqishëm. Ai madje mund të nxjerrë në pah një rrezik nga një kërcënim i mundshëm i brendshëm mashtrues. Çështja kryesore me këtë është se ai duhet të përshtatet me sjelljen bazë të secilit sistem që do të thotë se duhet të trajnohet. Kjo do të thotë që nëse sistemi është tashmë i rrezikuar ndërkohë që IDS është duke u trajnuar, ai nuk do ta shohë aktivitetin keqdashës si të pazakontë.

Një fushë në zhvillim është përdorimi i Rrjeteve Neurale artificiale për të kryer procesin e zbulimit të bazuar në anomali. Kjo fushë premton, por është ende mjaft e re dhe ka të ngjarë të përballet me sfida të ngjashme me versionet më klasike të zbulimit të bazuar në anomali.

Centralizimi: Një mallkim apo një bekim?

Një nga karakteristikat kryesore të një IDS është centralizimi. Ai lejon një ekip të sigurisë së rrjetit të mbledhë përditësime të drejtpërdrejta të rrjetit dhe statusit të pajisjes. Kjo përfshin shumë informacione, shumica e të cilave është "gjithçka është në rregull". Për të minimizuar shanset e negativeve të rreme, dmth. aktiviteti keqdashës i humbur, shumica e sistemeve IDS janë konfiguruar të jenë shumë "të dredhur". Raportohet edhe aludimi më i vogël se diçka është e fikur. Shpesh ky raport duhet të trajtohet nga një njeri. Nëse ka shumë rezultate false, ekipi përgjegjës mund të mbingarkohet shpejt dhe të përballet me djegien. Për të shmangur këtë, mund të futen filtra për të zvogëluar ndjeshmërinë e IDS, por kjo rrit rrezikun e negativëve të rremë. Për më tepër,

Centralizimi i sistemit shpesh përfshin gjithashtu shtimin e një sistemi kompleks SIEM. SIEM do të thotë Sistemi i Informacionit të Sigurisë dhe Menaxhimit të Ngjarjeve. Zakonisht përfshin një sërë agjentësh grumbullimi rreth rrjetit që mbledhin raporte nga pajisjet e afërta. Këta agjentë grumbullimi pastaj i kthejnë raportet në sistemin qendror të menaxhimit. Prezantimi i një SIEM rrit sipërfaqen e kërcënimit të rrjetit. Sistemet e sigurisë shpesh sigurohen mjaft mirë, por kjo nuk është një garanci dhe ato vetë mund të jenë të prekshme ndaj infeksionit nga malware që më pas e pengojnë veten të raportohet. Megjithatë, ky është gjithmonë një rrezik për çdo sistem sigurie.

Automatizimi i përgjigjeve me një IPS

Një IDS është në thelb një sistem paralajmërimi. Kërkon për aktivitete keqdashëse dhe më pas dërgon sinjalizime te grupi i monitorimit. Kjo do të thotë që çdo gjë shikohet nga një njeri, por kjo vjen me rrezikun e vonesave, veçanërisht në rastin e një shpërthimi aktiviteti. Për shembull. Imagjinoni nëse një krimb ransomware arrin të hyjë në rrjet. Mund të duhet pak kohë që recensuesit njerëzorë të identifikojnë një alarm IDS si të ligjshëm deri në të cilin moment krimbi mund të jetë përhapur më tej.

Një IDS që automatizon procesin e veprimit ndaj sinjalizimeve me siguri të lartë quhet IPS ose IDPS me "P" që qëndron për "Mbrojtje". Një IPS ndërmerr veprime të automatizuara në përpjekje për të minimizuar rrezikun. Sigurisht, me shkallën e lartë false-pozitive të një IDS, nuk dëshironi që një IPS të veprojë në çdo alarm, vetëm në ato që mendohet se kanë një siguri të lartë.

Në një HIDS, një IPS vepron si një funksion karantinimi i softuerit antivirus. Ai bllokon automatikisht malware-in e dyshuar dhe njofton ekipin e sigurisë për të analizuar incidentin. Në një NIDS, një IPS duhet të jetë në linjë. Kjo do të thotë që i gjithë trafiku duhet të kalojë përmes IPS, duke e bërë atë një pikë të vetme dështimi. Megjithatë, anasjelltas, ai mund të heqë ose heqë në mënyrë aktive trafikun e dyshimtë të rrjetit dhe të paralajmërojë ekipin e sigurisë për të shqyrtuar incidentin.

Avantazhi kryesor i një IPS mbi një IDS të pastër është se ai mund t'i përgjigjet automatikisht shumë kërcënimeve shumë më shpejt sesa mund të arrihet vetëm me rishikim njerëzor. Kjo e lejon atë të parandalojë gjëra të tilla si ngjarjet e ekfiltrimit të të dhënave pasi ato po ndodhin në vend që thjesht të identifikojë se ka ndodhur pas faktit.

Kufizimet

Një IDS ka disa kufizime. Funksionaliteti i zbulimit të bazuar në nënshkrime varet nga nënshkrimet e përditësuara, duke e bërë atë më pak efektiv në kapjen e malware të ri potencialisht më të rrezikshëm. Norma false pozitive është përgjithësisht shumë e lartë dhe mund të ketë periudha të mëdha kohore midis çështjeve legjitime. Kjo mund të çojë që ekipi i sigurisë të desensibilizohet dhe të zhgënjehet për alarmet. Ky qëndrim rrit rrezikun që ata të keqkategorizojnë një pozitiv të rrallë të vërtetë si pozitiv të rremë.

Mjetet e analizës së trafikut të rrjetit zakonisht përdorin biblioteka standarde për të analizuar trafikun e rrjetit. Nëse trafiku është me qëllim të keq dhe shfrytëzon një të metë në bibliotekë, mund të jetë e mundur të infektohet vetë sistemi IDS. NIDS inline veprojnë si pika të vetme të dështimit. Ata duhet të analizojnë një vëllim të madh trafiku shumë shpejt dhe nëse nuk mund të vazhdojnë, ose duhet ta heqin atë, duke shkaktuar probleme të performancës/stabilitetit, ose ta lejojnë atë të kalojë, duke munguar potencialisht aktivitete me qëllim të keq.

Trajnimi i një sistemi të bazuar në anomali kërkon që rrjeti të jetë i sigurt në radhë të parë. Nëse ekziston tashmë malware që komunikon në rrjet, kjo do të përfshihet si normale në bazë dhe do të injorohet. Për më tepër, vija bazë mund të zgjerohet ngadalë nga një aktor keqdashës thjesht duke marrë kohën e tij për të shtyrë kufijtë, duke i shtrirë ato në vend që t'i thyejë. Së fundi, një IDS nuk mund të analizojë më vete trafikun e koduar. Për të qenë në gjendje ta bëjë këtë, ndërmarrja do t'i duhet të Man in the Middle (MitM) trafikun me një certifikatë rrënjë korporative. Kjo në të kaluarën ka paraqitur rreziqet e veta. Me përqindjen e trafikut modern të rrjetit që mbetet i pakriptuar, kjo mund të kufizojë disi dobinë e një NIDS. Vlen të përmendet se edhe pa deshifruar trafikun,

konkluzioni

Një IDS është një sistem zbulimi i ndërhyrjeve. Në thelb është një version i përshkallëzuar i një produkti antivirus i krijuar për përdorim në rrjetet e ndërmarrjeve dhe që paraqet raportim të centralizuar përmes një SIEM. Mund të funksionojë si në pajisje individuale dhe të monitorojë trafikun e përgjithshëm të rrjetit në variante të njohura si HIDS dhe NIDS përkatësisht. Një IDS vuan nga norma shumë të larta false pozitive në një përpjekje për të shmangur negativët e rremë. Në mënyrë tipike, raportet kontrollohen nga një ekip i sigurisë njerëzore. Disa veprime, kur besimi i zbulimit është i lartë, mund të automatizohen dhe më pas të raportohen për shqyrtim. Një sistem i tillë njihet si IPS ose IDPS.