Какво е IDS?

Има много злонамерен софтуер, който витае из интернет. За щастие има много налични мерки за защита. Някои от тях, като например антивирусни продукти, са проектирани да работят на базата на устройство и са идеални за хора с малък брой устройства. Антивирусният софтуер също е полезен в големи корпоративни мрежи. Един от проблемите там обаче е просто броят на устройствата, които след това имат работещ антивирусен софтуер, който отчита само на машината. Една корпоративна мрежа наистина иска да има централизирани доклади за антивирусни инциденти. Това, което е предимство за домашните потребители, е слабост за корпоративните мрежи.

Надминавайки антивирусната програма

За да продължим нещата, е необходим различен подход. Този подход се нарича IDS или система за откриване на проникване. Има много различни варианти на IDS, много от които могат да се допълват взаимно. Например IDS може да бъде натоварен да наблюдава устройство или мрежов трафик. IDS за наблюдение на устройство се нарича HIDS или Host (базирана) система за откриване на проникване. IDS за наблюдение на мрежата е известен като NIDS или система за откриване на проникване в мрежа. HIDS е подобен на антивирусен пакет, който наблюдава устройство и отчита обратно към централизирана система.

NIDS обикновено се поставя в зона с голям трафик на мрежата. Често това ще бъде или на основна мрежа/банален рутер, или на границата на мрежата и нейната връзка с Интернет. NIDS може да бъде конфигуриран да бъде вграден или в конфигурация с кран. Вграденият NIDS може активно да филтрира трафика въз основа на откривания като IPS (фасет, към който ще се върнем по-късно), но той действа като единична точка на повреда. Конфигурацията на кран основно отразява целия мрежов трафик към NIDS. След това може да изпълнява функциите си за наблюдение, без да действа като единична точка на повреда.

Методи за наблюдение

IDS обикновено използва набор от методи за откриване. Класическият подход е точно това, което се използва в антивирусните продукти; откриване на базата на сигнатура. При това IDS сравнява наблюдавания софтуер или мрежов трафик с огромен набор от сигнатури на известен злонамерен софтуер и злонамерен мрежов трафик. Това е добре известен и като цяло доста ефективен начин за противодействие на известни заплахи. Мониторингът, базиран на подписи, обаче, не е сребърен куршум. Проблемът с подписите е, че първо трябва да откриете злонамерения софтуер, за да добавите подписа му към списъка за сравнение. Това го прави безполезен при откриване на нови атаки и уязвим към вариации на съществуващите техники.

Основният алтернативен метод, който IDS използва за идентифициране, е аномалното поведение. Базираното на аномалии откриване взема базова линия на стандартна употреба и след това докладва за необичайна дейност. Това може да бъде мощен инструмент. Може дори да подчертае риск от потенциална измамна вътрешна заплаха. Основният проблем с това е, че той трябва да бъде настроен към базовото поведение на всяка система, което означава, че трябва да бъде обучен. Това означава, че ако системата вече е компрометирана, докато IDS се обучава, тя няма да види злонамерената дейност като необичайна.

Развиваща се област е използването на изкуствени невронни мрежи за извършване на процеса на откриване на аномалии. Това поле е обещаващо, но все още е сравнително ново и вероятно е изправено пред предизвикателства, подобни на по-класическите версии на базирано на аномалии откриване.

Централизацията: проклятие или благословия?

Една от ключовите характеристики на IDS е централизацията. Това позволява на екип за мрежова сигурност да събира на живо актуализации на състоянието на мрежата и устройството. Това включва много информация, повечето от които е „всичко е наред“. За да се сведат до минимум шансовете за фалшиви негативи, т.е. пропусната злонамерена дейност, повечето IDS системи са конфигурирани да бъдат много „потрепващи“. Докладва се дори и най-малкият намек за нещо изключено. Често този доклад след това трябва да бъде сортиран от човек. Ако има много фалшиви положителни резултати, отговорният екип може бързо да бъде претоварен и да се сблъска с прегаряне. За да се избегне това, могат да бъдат въведени филтри за намаляване на чувствителността на IDS, но това увеличава риска от фалшиви отрицателни резултати. Освен това,

Централизирането на системата също често включва добавяне на сложна SIEM система. SIEM означава система за управление на информация за сигурността и събития. Обикновено включва набор от агенти за събиране около мрежата, събиращи отчети от устройства наблизо. Тези агенти за събиране след това подават отчетите обратно към централната система за управление. Въвеждането на SIEM наистина увеличава повърхността на мрежовата заплаха. Системите за сигурност често са сравнително добре защитени, но това не е гаранция и те самите може да са уязвими към заразяване от злонамерен софтуер, който след това не позволява да бъде докладван. Това обаче винаги е риск за всяка система за сигурност.

Автоматизиране на отговорите с IPS

IDS е основно система за предупреждение. Той търси злонамерена дейност и след това изпраща предупреждения до екипа за наблюдение. Това означава, че всичко се преглежда от човек, но това е свързано с риск от забавяне, особено в случай на изблик на активност. Например. Представете си, ако ransomware червей успее да влезе в мрежата. Може да отнеме известно време на проверяващите хора, за да идентифицират IDS сигнал като легитимен, до който момент червеят може да се е разпространил още повече.

IDS, който автоматизира процеса на действие при предупреждения с висока степен на сигурност, се нарича IPS или IDPS, като „P“ означава „Защита“. IPS предприема автоматизирани действия, за да се опита да минимизира риска. Разбира се, с високия фалшиво положителен процент на IDS не искате IPS да действа при всеки сигнал, а само при такива, за които се счита, че имат висока сигурност.

На HIDS, IPS действа като функция за карантина на антивирусен софтуер. Той автоматично заключва предполагаемия зловреден софтуер и предупреждава екипа по сигурността да анализира инцидента. При NIDS IPS трябва да е вграден. Това означава, че целият трафик трябва да преминава през IPS, което го прави една единствена точка на отказ. Обратно обаче, той може активно да премахва или премахва подозрителен мрежов трафик и да предупреди екипа по сигурността да прегледа инцидента.

Ключовото предимство на IPS пред чистия IDS е, че може автоматично да реагира на много заплахи много по-бързо, отколкото би могло да се постигне само с човешки преглед. Това му позволява да предотвратява неща като събития за ексфилтриране на данни, докато се случват, вместо просто да идентифицира, че се е случило след факта.

Ограничения

IDS има няколко ограничения. Функционалността за откриване, базирана на сигнатури, зависи от актуални сигнатури, което я прави по-малко ефективна при улавяне на потенциално по-опасен нов зловреден софтуер. Честотата на фалшивите положителни резултати обикновено е много висока и може да има големи периоди от време между легитимните проблеми. Това може да доведе до десенсибилизиране на екипа по сигурността и безхаберие относно алармите. Това отношение увеличава риска те да категоризират погрешно рядко истинско положително като фалшиво положително.

Инструментите за анализ на мрежовия трафик обикновено използват стандартни библиотеки за анализ на мрежовия трафик. Ако трафикът е злонамерен и използва пропуск в библиотеката, може да е възможно да заразите самата IDS система. Вградените NIDS действат като единични точки на отказ. Те трябва да анализират голям обем трафик много бързо и ако не могат да се справят, трябва или да го изпуснат, причинявайки проблеми с производителността/стабилността, или да го пропуснат, потенциално пропускайки злонамерена дейност.

Обучението на система, базирана на аномалии, изисква мрежата да бъде безопасна на първо място. Ако вече има злонамерен софтуер, който комуникира в мрежата, това ще бъде включено като нормално в базовата линия и ще бъде игнорирано. Освен това, базовата линия може бавно да се разшири от злонамерен играч, който просто отделя време за преминаване на границите, като ги разтяга, вместо да ги нарушава. И накрая, IDS не може сам да анализира криптиран трафик. За да може да направи това, предприятието ще трябва да управлява трафика с корпоративен основен сертификат (MitM). В миналото това е въвело своите рискове. С процента на съвременния мрежов трафик, който остава некриптиран, това може донякъде да ограничи полезността на NIDS. Струва си да се отбележи, че дори и без дешифриране на трафика,

Заключение

IDS е система за откриване на проникване. По същество това е увеличена версия на антивирусен продукт, предназначен за използване в корпоративни мрежи и включващ централизирано отчитане чрез SIEM. Той може да работи както на отделни устройства, така и да наблюдава общия мрежов трафик във варианти, известни съответно като HIDS и NIDS. IDS страда от много високи нива на фалшиви положителни резултати в опит да се избегнат фалшиви отрицателни резултати. Обикновено докладите се преглеждат от екип за човешка сигурност. Някои действия, когато надеждността на откриване е висока, може да бъдат автоматизирани и след това маркирани за преглед. Такава система е известна като IPS или IDPS.