Co je IDS?

Na internetu se pohybuje spousta malwaru. Naštěstí existuje mnoho ochranných opatření. Některé z nich, například antivirové produkty, jsou navrženy tak, aby je bylo možné provozovat na základě jednotlivých zařízení a jsou ideální pro jednotlivce s malým počtem zařízení. Antivirový software je také užitečný ve velkých podnikových sítích. Jedním z problémů je však jednoduše počet zařízení, na kterých pak běží antivirový software, který hlásí pouze stroj. Podniková síť opravdu chce mít centralizované zprávy o antivirových incidentech. Co je výhodou pro domácí uživatele, je slabost pro podnikové sítě.

Jít za hranice antiviru

Aby se věci posunuly dále, je zapotřebí jiný přístup. Tento přístup je označován jako IDS nebo Intrusion Detection System. Existuje mnoho různých variant IDS, z nichž mnohé se mohou vzájemně doplňovat. Například IDS může být pověřeno monitorováním zařízení nebo síťového provozu. Zařízení monitorující IDS se nazývá HIDS nebo Host(-based) Intrusion Detection System. Síťový monitorovací IDS je známý jako NIDS nebo Network Intrusion Detection System. HIDS je podobný antivirové sadě, monitoruje zařízení a podává zprávy do centralizovaného systému.

NIDS je obecně umístěn v oblasti sítě s vysokým provozem. Často to bude buď na hlavní síti / páteřním směrovači nebo na hranici sítě a jejího připojení k internetu. NIDS může být nakonfigurován jako inline nebo v konfiguraci kohoutku. Inline NIDS může aktivně filtrovat provoz na základě detekcí jako IPS (faset, ke kterému se vrátíme později), nicméně funguje jako jediný bod selhání. Konfigurace tap v podstatě zrcadlí veškerý síťový provoz na NIDS. Poté může plnit své monitorovací funkce, aniž by se choval jako jediný bod selhání.

Metody monitorování

IDS obvykle používá řadu metod detekce. Klasický přístup je přesně to, co se používá v antivirových produktech; detekce na základě podpisu. V tomto IDS porovnává pozorovaný software nebo síťový provoz s velkým množstvím signatur známého malwaru a škodlivého síťového provozu. Jedná se o známý a obecně poměrně účinný způsob, jak čelit známým hrozbám. Monitorování založené na podpisu však není nic dobrého. Problém s podpisy spočívá v tom, že musíte nejprve detekovat malware a poté přidat jeho podpis do porovnávacího seznamu. Díky tomu je nepoužitelný při odhalování nových útoků a zranitelný vůči variacím stávajících technik.

Hlavní alternativní metodou, kterou IDS používá k identifikaci, je anomální chování. Detekce založená na anomáliích vychází ze standardního použití a poté hlásí neobvyklou aktivitu. To může být mocný nástroj. Může dokonce upozornit na riziko potenciální nečestné vnitřní hrozby. Hlavním problémem je, že musí být vyladěn na základní chování každého systému, což znamená, že musí být vyškolen. To znamená, že pokud je systém již kompromitován během trénování IDS, nebude záškodná aktivita vnímat jako neobvyklou.

Rozvíjející se oblastí je použití umělých neuronových sítí k provádění procesu detekce založeného na anomáliích. Toto pole je slibné, ale je stále poměrně nové a pravděpodobně čelí podobným problémům jako klasičtější verze detekce založené na anomáliích.

Centralizace: prokletí nebo požehnání?

Jednou z klíčových vlastností IDS je centralizace. Umožňuje týmu pro zabezpečení sítě shromažďovat aktuální aktualizace stavu sítě a zařízení. To zahrnuje spoustu informací, z nichž většina je „všechno v pořádku“. Aby se minimalizovala pravděpodobnost falešně negativních výsledků, tj. zmeškané škodlivé činnosti, je většina systémů IDS nakonfigurována tak, aby byly velmi „trhavé“. I sebemenší náznak toho, že něco nefunguje, je hlášen. Často pak tuto zprávu musí třídit člověk. Pokud existuje mnoho falešně pozitivních výsledků, odpovědný tým může být rychle přemožen a čelit syndromu vyhoření. Aby se tomu zabránilo, mohou být zavedeny filtry ke snížení citlivosti IDS, ale to zvyšuje riziko falešně negativních výsledků. Dodatečně,

Centralizace systému také často zahrnuje přidání komplexního systému SIEM. SIEM je zkratka pro Security Information and Event Management system. Obvykle zahrnuje řadu sběrných agentů v síti, kteří shromažďují zprávy z blízkých zařízení. Tito inkasní agenti pak posílají zprávy zpět do centrálního řídicího systému. Zavedení SIEM skutečně zvyšuje povrch síťových hrozeb. Bezpečnostní systémy jsou často poměrně dobře zabezpečeny, ale to není zárukou, a samy mohou být zranitelné vůči infekci malwarem, který pak sám sebe brání v nahlášení. To je však vždy riziko pro jakýkoli bezpečnostní systém.

Automatizace odpovědí pomocí IPS

IDS je v podstatě varovný systém. Hledá škodlivou aktivitu a poté posílá upozornění monitorovacímu týmu. To znamená, že na vše dohlíží člověk, ale to s sebou nese riziko zpoždění, zejména v případě výbuchu aktivity. Například. Představte si, že se ransomwarovému červu podaří dostat do sítě. Lidským kontrolorům může nějakou dobu trvat, než identifikují výstrahu IDS jako legitimní, kdy se červ mohl dále šířit.

IDS, které automatizuje proces působení na výstrahy s vysokou jistotou, se nazývá IPS nebo IDPS, přičemž „P“ znamená „Ochrana“. IPS provádí automatickou akci ve snaze minimalizovat riziko. Samozřejmě s vysokou mírou falešně pozitivních výsledků IDS nechcete, aby IPS reagoval na každé varování, pouze na ty, které jsou považovány za vysoce spolehlivé.

Na HIDS funguje IPS jako karanténní funkce antivirového softwaru. Automaticky uzamkne podezřelý malware a upozorní bezpečnostní tým, aby analyzoval incident. Na NIDS musí být IPS inline. To znamená, že veškerý provoz musí probíhat přes IPS, což z něj činí jediný bod selhání. Naopak může aktivně odstraňovat nebo upouštět podezřelý síťový provoz a varovat bezpečnostní tým, aby incident přezkoumal.

Klíčovou výhodou IPS oproti čistému IDS je to, že dokáže automaticky reagovat na mnoho hrozeb mnohem rychleji, než by bylo možné dosáhnout pouze kontrolou člověkem. To mu umožňuje předcházet věcem, jako jsou události exfiltrace dat, když se dějí, spíše než jen identifikovat, že k tomu došlo až poté.

Omezení

IDS má několik omezení. Funkce detekce založená na signaturách je závislá na aktuálních signaturách, takže je méně účinná při zachycení potenciálně nebezpečnějšího nového malwaru. Míra falešně pozitivních výsledků je obecně opravdu vysoká a mezi legitimními problémy mohou být dlouhé časové úseky. To může vést k tomu, že bezpečnostní tým znecitliví a bude blazeovaný kvůli alarmům. Tento postoj zvyšuje riziko, že nesprávně zařadí vzácný pravdivý pozitivní výsledek jako falešně pozitivní.

Nástroje pro analýzu síťového provozu obvykle používají k analýze síťového provozu standardní knihovny. Pokud je provoz škodlivý a využívá chybu v knihovně, může být možné infikovat samotný systém IDS. Inline NIDS fungují jako jednotlivé body selhání. Potřebují velmi rychle analyzovat velký objem provozu, a pokud nemohou držet krok, musí jej buď upustit, což způsobí problémy s výkonem/stabilitou, nebo ho nechat projít, potenciálně chybějící škodlivou aktivitu.

Školení systému založeného na anomáliích vyžaduje, aby byla síť v první řadě bezpečná. Pokud již v síti komunikuje malware, bude to jako obvykle zahrnuto do základní linie a bude ignorováno. Kromě toho může být základní čára pomalu rozšiřována tím, že zlomyslný herec si prostě dá na čas a posouvá hranice, spíše je prodlužuje, než aby je porušoval. Konečně, IDS nemůže samo o sobě analyzovat šifrovaný provoz. Aby to bylo možné, podnik by potřeboval provoz Man in the Middle (MitM) s firemním kořenovým certifikátem. To v minulosti přineslo svá vlastní rizika. S procentem moderního síťového provozu, které zůstává nešifrované, to může poněkud omezit užitečnost NIDS. Stojí za zmínku, že i bez dešifrování provozu

Závěr

IDS je systém detekce narušení. Je to v podstatě zvětšená verze antivirového produktu navržená pro použití v podnikových sítích a obsahující centralizované hlášení prostřednictvím SIEM. Může pracovat jak na jednotlivých zařízeních, tak monitorovat obecný síťový provoz ve variantách známých jako HIDS a NIDS. IDS trpí velmi vysokou mírou falešně pozitivních výsledků ve snaze vyhnout se falešným negativním výsledkům. Zprávy jsou obvykle vyhodnoceny týmem lidské bezpečnosti. Některé akce, když je spolehlivost detekce vysoká, mohou být automatizovány a poté označeny ke kontrole. Takový systém je známý jako IPS nebo IDPS.