Què és un IDS?

Hi ha un munt de programari maliciós flotant per aquí a Internet. Afortunadament, hi ha moltes mesures de protecció disponibles. Alguns d'ells, com els productes antivirus, estan dissenyats per executar-se per dispositiu i són ideals per a persones amb un nombre reduït de dispositius. El programari antivirus també és útil a les xarxes de grans empreses. Un dels problemes allà, però, és simplement el nombre de dispositius que després tenen programari antivirus en execució que només informa a la màquina. Una xarxa empresarial realment vol tenir informes d'incidències antivirus per centralitzar. El que és un avantatge per als usuaris domèstics és una debilitat per a les xarxes empresarials.

Anant més enllà de l'antivirus

Per portar les coses més enllà, cal un enfocament diferent. Aquest enfocament es coneix com a IDS o sistema de detecció d'intrusions. Hi ha moltes variacions diferents de l'IDS, moltes de les quals es poden complementar. Per exemple, un IDS pot ser encarregat de supervisar el trànsit d'un dispositiu o de xarxa. Un IDS de monitorització de dispositius s'anomena HIDS o sistema de detecció d'intrusions basat en host. Un IDS de monitorització de xarxa es coneix com a NIDS o sistema de detecció d'intrusions a la xarxa. Un HIDS és similar a una suite antivirus, supervisa un dispositiu i informa a un sistema centralitzat.

Un NIDS generalment es col·loca en una zona de gran trànsit de la xarxa. Sovint, això serà en una xarxa principal/encaminador troncal o al límit de la xarxa i la seva connexió a Internet. Un NIDS es pot configurar perquè sigui en línia o en una configuració de tap. Un NIDS en línia pot filtrar activament el trànsit en funció de les deteccions com a IPS (una faceta a la qual tornarem més endavant), però, actua com un únic punt de fallada. Una configuració de toc reflecteix bàsicament tot el trànsit de xarxa al NIDS. Aleshores pot realitzar les seves funcions de monitorització sense actuar com un únic punt de fallada.

Mètodes de seguiment

Un IDS normalment utilitza una sèrie de mètodes de detecció. L'enfocament clàssic és exactament el que s'utilitza als productes antivirus; detecció basada en signatura. En això, l'IDS compara el programari o el trànsit de xarxa observat amb una gran varietat de signatures de programari maliciós conegut i trànsit de xarxa maliciós. Aquesta és una manera coneguda i en general força eficaç de contrarestar les amenaces conegudes. El seguiment basat en signatures, però, no és una bala de plata. El problema de les signatures és que primer heu de detectar el programari maliciós per afegir la seva signatura a la llista de comparació. Això fa que sigui inútil per detectar nous atacs i sigui vulnerable a les variacions de les tècniques existents.

El principal mètode alternatiu que utilitza un IDS per a la identificació és el comportament anòmal. La detecció basada en anomalies pren una línia de base de l'ús estàndard i després informa sobre l'activitat inusual. Aquesta pot ser una eina potent. Fins i tot pot destacar un risc d'una potencial amenaça interna canalla. El problema principal amb això és que s'ha d'ajustar al comportament bàsic de cada sistema, la qual cosa significa que s'ha d'entrenar. Això vol dir que si el sistema ja està compromès mentre s'està entrenant l'IDS, no veurà l'activitat maliciosa com a inusual.

Un camp en desenvolupament és l'ús de xarxes neuronals artificials per dur a terme el procés de detecció basat en anomalies. Aquest camp és prometedor, però encara és força nou i probablement s'enfronti a reptes similars a les versions més clàssiques de la detecció basada en anomalies.

Centralització: una maledicció o una benedicció?

Una de les característiques clau d'un IDS és la centralització. Permet que un equip de seguretat de la xarxa reculli actualitzacions en directe de l'estat de la xarxa i del dispositiu. Això inclou molta informació, la majoria de la qual és "tot està bé". Per minimitzar les possibilitats de falsos negatius, és a dir, la pèrdua d'activitat maliciosa, la majoria dels sistemes IDS estan configurats per ser molt "convulsos". S'informa fins i tot el més mínim indici d'alguna cosa. Sovint, aquest informe ha de ser triat per un humà. Si hi ha molts falsos positius, l'equip responsable es pot veure desbordat ràpidament i fer front a l'esgotament. Per evitar-ho, es poden introduir filtres per reduir la sensibilitat de l'IDS, però això augmenta el risc de falsos negatius. A més,

La centralització del sistema també implica sovint afegir un sistema SIEM complex. SIEM són les sigles de Security Information and Event Management System. Normalment implica una sèrie d'agents de recollida al voltant de la xarxa que recullen informes dels dispositius propers. A continuació, aquests agents de recollida retornen els informes al sistema de gestió central. La introducció d'un SIEM augmenta la superfície d'amenaça de la xarxa. Els sistemes de seguretat solen estar bastant ben assegurats, però això no és una garantia i poden ser vulnerables a la infecció per programari maliciós que, a continuació, s'impedeix que es denunciï. Això, però, és sempre un risc per a qualsevol sistema de seguretat.

Automatització de respostes amb un IPS

Un IDS és bàsicament un sistema d'avís. Busca activitats malicioses i després llança alertes a l'equip de supervisió. Això vol dir que tot és revisat per un humà, però això comporta el risc de retards, sobretot en el cas d'una explosió d'activitat. Per exemple. Imagineu-vos si un cuc de ransomware aconsegueix entrar a la xarxa. Els revisors humans poden trigar algun temps a identificar una alerta IDS com a legítima, moment en què el cuc podria haver-se estès encara més.

Un IDS que automatitza el procés d'actuar en alertes d'alta certesa s'anomena IPS o IDPS amb la "P" que significa "Protecció". Un IPS pren accions automatitzades per intentar minimitzar el risc. Per descomptat, amb l'alta taxa de falsos positius d'un IDS, no voleu que un IPS actuï en totes les alertes, només en aquelles que es considera que tenen una alta certesa.

En un HIDS, un IPS actua com una funció de quarantena de programari antivirus. Bloqueja automàticament el programari maliciós sospitós i avisa l'equip de seguretat per analitzar l'incident. En un NIDS, un IPS ha d'estar en línia. Això vol dir que tot el trànsit ha de passar per l'IPS, cosa que el converteix en un únic punt de fallada. Per contra, però, pot eliminar o eliminar activament el trànsit de xarxa sospitós i alertar l'equip de seguretat perquè revisi l'incident.

L'avantatge clau d'un IPS sobre un IDS pur és que pot respondre automàticament a moltes amenaces molt més ràpidament del que es podria aconseguir només amb una revisió humana. Això li permet evitar coses com els esdeveniments d'exfiltració de dades a mesura que es produeixen en lloc d'identificar que ha passat després del fet.

Limitacions

Un IDS té diverses limitacions. La funcionalitat de detecció basada en signatures depèn de signatures actualitzades, la qual cosa la fa menys eficaç per capturar programari maliciós potencialment més perillós. La taxa de falsos positius és generalment molt alta i pot haver-hi grans períodes de temps entre problemes legítims. Això pot provocar que l'equip de seguretat es torni insensibilitzat i blasfema amb les alarmes. Aquesta actitud augmenta el risc que classifiquen erròniament un positiu veritable rar com a fals positiu.

Les eines d'anàlisi del trànsit de xarxa solen utilitzar biblioteques estàndard per analitzar el trànsit de la xarxa. Si el trànsit és maliciós i explota una fallada a la biblioteca, és possible que es pugui infectar el propi sistema IDS. Els NIDS en línia actuen com a punts únics de fallada. Han d'analitzar un gran volum de trànsit molt ràpidament i, si no poden mantenir-se al dia, han d'abandonar-lo, causant problemes de rendiment/estabilitat, o bé deixar-lo passar, amb la qual cosa es pot perdre activitat maliciosa.

L'entrenament d'un sistema basat en anomalies requereix que la xarxa estigui segura en primer lloc. Si ja hi ha programari maliciós que es comunica a la xarxa, s'inclourà com a normal a la línia de base i s'ignorarà. A més, la línia de base es pot ampliar lentament per un actor maliciós simplement prenent-se el seu temps per empènyer els límits, estirant-los en lloc de trencar-los. Finalment, un IDS no pot analitzar el trànsit xifrat per si sol. Per poder fer-ho, l'empresa necessitaria Man in the Middle (MitM) el trànsit amb un certificat arrel corporatiu. Això ha introduït en el passat els seus propis riscos. Amb el percentatge de trànsit de xarxa modern que roman sense xifrar, això pot limitar una mica la utilitat d'un NIDS. Val la pena assenyalar que fins i tot sense desxifrar el trànsit,

Conclusió

Un IDS és un sistema de detecció d'intrusions. Bàsicament és una versió ampliada d'un producte antivirus dissenyat per utilitzar-se en xarxes empresarials i que inclou informes centralitzats mitjançant un SIEM. Pot funcionar tant en dispositius individuals com controlar el trànsit general de la xarxa en variants conegudes com HIDS i NIDS respectivament. Un IDS pateix taxes de falsos positius molt altes en un esforç per evitar falsos negatius. Normalment, els informes són triats per un equip de seguretat humana. Algunes accions, quan la confiança de la detecció és alta, es poden automatitzar i després marcar-les per revisar-les. Aquest sistema es coneix com a IPS o IDPS.