Τι είναι το IDS;

Υπάρχει άφθονο κακόβουλο λογισμικό που επιπλέει εκεί έξω στο Διαδίκτυο. Ευτυχώς, υπάρχουν πολλά διαθέσιμα μέτρα προστασίας. Ορισμένα από αυτά, όπως τα προϊόντα προστασίας από ιούς, έχουν σχεδιαστεί για να εκτελούνται ανά συσκευή και είναι ιδανικά για άτομα με μικρό αριθμό συσκευών. Το λογισμικό προστασίας από ιούς είναι επίσης χρήσιμο σε μεγάλα εταιρικά δίκτυα. Ένα από τα ζητήματα, ωστόσο, είναι απλώς ο αριθμός των συσκευών που διαθέτουν στη συνέχεια λογισμικό προστασίας από ιούς που εκτελείται και αναφέρει μόνο στο μηχάνημα. Ένα εταιρικό δίκτυο θέλει πραγματικά να έχει συγκεντρωτικές αναφορές περιστατικών προστασίας από ιούς. Αυτό που είναι πλεονέκτημα για τους οικιακούς χρήστες είναι μια αδυναμία για τα εταιρικά δίκτυα.

Πηγαίνοντας πέρα ​​από το antivirus

Για να προχωρήσουμε τα πράγματα πιο πέρα ​​χρειάζεται μια διαφορετική προσέγγιση. Αυτή η προσέγγιση αναφέρεται ως IDS ή σύστημα ανίχνευσης εισβολής. Υπάρχουν πολλές διαφορετικές παραλλαγές στο IDS, πολλές από τις οποίες μπορούν να αλληλοσυμπληρώνονται. Για παράδειγμα, μπορεί να ανατεθεί σε ένα IDS η παρακολούθηση της κυκλοφορίας μιας συσκευής ή δικτύου. Μια συσκευή που παρακολουθεί το IDS αναφέρεται ως HIDS ή Σύστημα ανίχνευσης εισβολής που βασίζεται σε κεντρικό υπολογιστή. Ένα αναγνωριστικό παρακολούθησης δικτύου είναι γνωστό ως NIDS ή Σύστημα Ανίχνευσης Εισβολής Δικτύου. Ένα HIDS είναι παρόμοιο με μια σουίτα προστασίας από ιούς, που παρακολουθεί μια συσκευή και αναφέρει σε ένα κεντρικό σύστημα.

Ένα NIDS τοποθετείται γενικά σε μια περιοχή υψηλής επισκεψιμότητας του δικτύου. Συχνά αυτό θα είναι είτε σε ένα βασικό δίκτυο/δρομολογητή κορμού είτε στο όριο του δικτύου και της σύνδεσής του με το Διαδίκτυο. Ένα NIDS μπορεί να διαμορφωθεί ώστε να είναι ενσωματωμένο ή σε διαμόρφωση πατήματος. Ένα ενσωματωμένο NIDS μπορεί να φιλτράρει ενεργά την κυκλοφορία με βάση τις ανιχνεύσεις ως IPS (μια πτυχή στην οποία θα επανέλθουμε αργότερα), ωστόσο, λειτουργεί ως ένα μόνο σημείο αποτυχίας. Μια διαμόρφωση πατήματος αντικατοπτρίζει βασικά όλη την κίνηση δικτύου στο NIDS. Στη συνέχεια, μπορεί να εκτελέσει τις λειτουργίες παρακολούθησης χωρίς να λειτουργεί ως ένα μόνο σημείο αστοχίας.

Μέθοδοι παρακολούθησης

Ένα IDS χρησιμοποιεί συνήθως μια σειρά από μεθόδους ανίχνευσης. Η κλασική προσέγγιση είναι ακριβώς αυτή που χρησιμοποιείται στα προϊόντα προστασίας από ιούς. ανίχνευση με βάση την υπογραφή. Σε αυτό, το IDS συγκρίνει το παρατηρούμενο λογισμικό ή κίνηση δικτύου με μια τεράστια σειρά υπογραφών γνωστού κακόβουλου λογισμικού και κακόβουλης κυκλοφορίας δικτύου. Αυτός είναι ένας πολύ γνωστός και γενικά αρκετά αποτελεσματικός τρόπος αντιμετώπισης γνωστών απειλών. Η παρακολούθηση που βασίζεται σε υπογραφές, ωστόσο, δεν είναι μια ασημένια σφαίρα. Το πρόβλημα με τις υπογραφές είναι ότι πρέπει πρώτα να εντοπίσετε το κακόβουλο λογισμικό για να προσθέσετε στη συνέχεια την υπογραφή του στη λίστα σύγκρισης. Αυτό το καθιστά άχρηστο για τον εντοπισμό νέων επιθέσεων και ευάλωτο σε παραλλαγές των υπαρχουσών τεχνικών.

Η κύρια εναλλακτική μέθοδος που χρησιμοποιεί ένα IDS για την αναγνώριση είναι η ανώμαλη συμπεριφορά. Η ανίχνευση βάσει ανωμαλιών λαμβάνει μια βασική γραμμή τυπικής χρήσης και, στη συνέχεια, αναφέρει για ασυνήθιστη δραστηριότητα. Αυτό μπορεί να είναι ένα ισχυρό εργαλείο. Μπορεί ακόμη και να υπογραμμίσει έναν κίνδυνο από μια πιθανή απειλή από εσωτερικές πληροφορίες. Το κύριο ζήτημα με αυτό είναι ότι πρέπει να προσαρμοστεί στη βασική συμπεριφορά κάθε συστήματος, πράγμα που σημαίνει ότι πρέπει να εκπαιδευτεί. Αυτό σημαίνει ότι εάν το σύστημα έχει ήδη παραβιαστεί ενώ το IDS εκπαιδεύεται, δεν θα δει την κακόβουλη δραστηριότητα ως ασυνήθιστη.

Ένα αναπτυσσόμενο πεδίο είναι η χρήση τεχνητών νευρωνικών δικτύων για την εκτέλεση της διαδικασίας ανίχνευσης που βασίζεται σε ανωμαλίες. Αυτό το πεδίο είναι υποσχόμενο, αλλά εξακολουθεί να είναι αρκετά νέο και πιθανότατα αντιμετωπίζει παρόμοιες προκλήσεις με τις πιο κλασικές εκδόσεις ανίχνευσης που βασίζεται σε ανωμαλίες.

Συγκεντρωτισμός: Κατάρα ή ευλογία;

Ένα από τα βασικά χαρακτηριστικά ενός IDS είναι η συγκέντρωση. Επιτρέπει σε μια ομάδα ασφαλείας δικτύου να συλλέγει ζωντανές ενημερώσεις κατάστασης δικτύου και συσκευής. Αυτό περιλαμβάνει πολλές πληροφορίες, οι περισσότερες από τις οποίες είναι "όλα είναι καλά". Για να ελαχιστοποιηθούν οι πιθανότητες ψευδών αρνητικών, π.χ. χαμένη κακόβουλη δραστηριότητα, τα περισσότερα συστήματα IDS έχουν ρυθμιστεί ώστε να είναι πολύ «σπασμωδικά». Ακόμη και η παραμικρή ένδειξη ότι κάτι είναι απενεργοποιημένο αναφέρεται. Συχνά, αυτή η αναφορά πρέπει στη συνέχεια να δοκιμαστεί από έναν άνθρωπο. Εάν υπάρχουν πολλά ψευδώς θετικά στοιχεία, η υπεύθυνη ομάδα μπορεί γρήγορα να συντρίψει και να αντιμετωπίσει την εξάντληση. Για να αποφευχθεί αυτό, ενδέχεται να εισαχθούν φίλτρα για τη μείωση της ευαισθησίας του IDS, αλλά αυτό αυξάνει τον κίνδυνο ψευδώς αρνητικών. Επιπροσθέτως,

Η συγκέντρωση του συστήματος συχνά περιλαμβάνει επίσης την προσθήκη ενός πολύπλοκου συστήματος SIEM. Το SIEM σημαίνει Σύστημα Διαχείρισης Πληροφοριών Ασφαλείας και Συμβάντων. Συνήθως περιλαμβάνει μια σειρά πρακτόρων συλλογής γύρω από το δίκτυο που συλλέγει αναφορές από κοντινές συσκευές. Αυτοί οι πράκτορες συλλογής στη συνέχεια τροφοδοτούν τις αναφορές στο κεντρικό σύστημα διαχείρισης. Η εισαγωγή ενός SIEM αυξάνει την επιφάνεια απειλής δικτύου. Τα συστήματα ασφαλείας είναι συχνά αρκετά καλά ασφαλισμένα, αλλά αυτό δεν αποτελεί εγγύηση και μπορεί να είναι τα ίδια ευάλωτα σε μόλυνση από κακόβουλο λογισμικό που στη συνέχεια αποτρέπει την αναφορά του. Αυτό, ωστόσο, είναι πάντα ένας κίνδυνος για οποιοδήποτε σύστημα ασφαλείας.

Αυτοματοποίηση απαντήσεων με IPS

Ένα IDS είναι βασικά ένα σύστημα προειδοποίησης. Αναζητά για κακόβουλη δραστηριότητα και στη συνέχεια στέλνει ειδοποιήσεις στην ομάδα παρακολούθησης. Αυτό σημαίνει ότι τα πάντα εξετάζονται από έναν άνθρωπο, αλλά αυτό ενέχει τον κίνδυνο καθυστερήσεων, ειδικά σε περίπτωση έκρηξης δραστηριότητας. Για παράδειγμα. Φανταστείτε εάν ένα worm ransomware καταφέρει να μπει στο δίκτυο. Ενδέχεται να χρειαστεί λίγος χρόνος για να αναγνωρίσουν οι ανθρώπινοι αναθεωρητές μια ειδοποίηση IDS ως νόμιμη, οπότε το σκουλήκι μπορεί να έχει εξαπλωθεί περαιτέρω.

Ένα IDS που αυτοματοποιεί τη διαδικασία δράσης σε ειδοποιήσεις υψηλής βεβαιότητας ονομάζεται IPS ή IDPS με το "P" να σημαίνει "Προστασία". Ένα IPS αναλαμβάνει αυτοματοποιημένες ενέργειες για να προσπαθήσει να ελαχιστοποιήσει τον κίνδυνο. Φυσικά, με το υψηλό ποσοστό ψευδώς θετικών ενός IDS δεν θέλετε το IPS να ενεργεί σε κάθε ειδοποίηση, μόνο σε όσες θεωρείται ότι έχουν υψηλή βεβαιότητα.

Σε ένα HIDS, ένα IPS λειτουργεί σαν μια λειτουργία καραντίνας λογισμικού προστασίας από ιούς. Κλειδώνει αυτόματα το ύποπτο κακόβουλο λογισμικό και ειδοποιεί την ομάδα ασφαλείας να αναλύσει το περιστατικό. Σε ένα NIDS, ένα IPS πρέπει να είναι ενσωματωμένο. Αυτό σημαίνει ότι όλη η κίνηση πρέπει να διέρχεται μέσω του IPS, καθιστώντας το ένα μόνο σημείο αποτυχίας. Αντίθετα, ωστόσο, μπορεί να αφαιρέσει ή να απορρίψει ενεργά την ύποπτη κίνηση δικτύου και να ειδοποιήσει την ομάδα ασφαλείας να ελέγξει το συμβάν.

Το βασικό πλεονέκτημα ενός IPS έναντι ενός καθαρού IDS είναι ότι μπορεί να ανταποκριθεί αυτόματα σε πολλές απειλές πολύ πιο γρήγορα από ό,τι θα μπορούσε να επιτευχθεί μόνο με ανθρώπινη αναθεώρηση. Αυτό του επιτρέπει να αποτρέπει πράγματα όπως συμβάντα διείσδυσης δεδομένων καθώς συμβαίνουν αντί να αναγνωρίζει απλώς ότι συνέβη εκ των υστέρων.

Περιορισμοί

Ένα IDS έχει αρκετούς περιορισμούς. Η λειτουργία ανίχνευσης βάσει υπογραφών βασίζεται σε ενημερωμένες υπογραφές, καθιστώντας την λιγότερο αποτελεσματική στην σύλληψη δυνητικά πιο επικίνδυνου νέου κακόβουλου λογισμικού. Το ποσοστό ψευδώς θετικών είναι γενικά πολύ υψηλό και μπορεί να υπάρχουν μεγάλα χρονικά διαστήματα μεταξύ των νόμιμων ζητημάτων. Αυτό μπορεί να οδηγήσει στην απευαισθητοποίηση της ομάδας ασφαλείας και στην αποδοκιμασία των συναγερμών. Αυτή η στάση αυξάνει τον κίνδυνο να κατηγοριοποιήσουν εσφαλμένα ένα σπάνιο αληθινό θετικό ως ψευδώς θετικό.

Τα εργαλεία ανάλυσης κίνησης δικτύου συνήθως χρησιμοποιούν τυπικές βιβλιοθήκες για την ανάλυση της κυκλοφορίας του δικτύου. Εάν η επισκεψιμότητα είναι κακόβουλη και εκμεταλλεύεται ένα ελάττωμα στη βιβλιοθήκη, ενδέχεται να είναι δυνατό να μολύνει το ίδιο το σύστημα IDS. Τα ενσωματωμένα NIDS λειτουργούν ως μεμονωμένα σημεία αστοχίας. Πρέπει να αναλύσουν έναν μεγάλο όγκο επισκεψιμότητας πολύ γρήγορα και αν δεν μπορούν να συμβαδίσουν, πρέπει είτε να το παρατήσουν, προκαλώντας προβλήματα απόδοσης/σταθερότητας, είτε να το αφήσουν να περάσει, δυνητικά να λείπει κακόβουλη δραστηριότητα.

Η εκπαίδευση ενός συστήματος που βασίζεται σε ανωμαλίες απαιτεί το δίκτυο να είναι εξαρχής ασφαλές. Εάν υπάρχει ήδη κακόβουλο λογισμικό που επικοινωνεί στο δίκτυο, αυτό θα συμπεριληφθεί κανονικά στη γραμμή βάσης και θα αγνοηθεί. Επιπλέον, η γραμμή βάσης μπορεί να επεκταθεί σιγά-σιγά από έναν κακόβουλο ηθοποιό που απλώς αφιερώνει το χρόνο του για να ωθήσει τα όρια, να τα τεντώσει αντί να τα σπάσει. Τέλος, ένα IDS δεν μπορεί από μόνο του να αναλύσει την κρυπτογραφημένη κίνηση. Για να μπορέσει να το κάνει αυτό, η επιχείρηση θα πρέπει να Man in the Middle (MitM) την κίνηση με ένα εταιρικό πιστοποιητικό ρίζας. Αυτό είχε στο παρελθόν εισαγάγει τους δικούς του κινδύνους. Με το ποσοστό της σύγχρονης κίνησης δικτύου που παραμένει μη κρυπτογραφημένο, αυτό μπορεί να περιορίσει κάπως τη χρησιμότητα ενός NIDS. Αξίζει να σημειωθεί ότι ακόμη και χωρίς αποκρυπτογράφηση της κίνησης,

συμπέρασμα

Ένα IDS είναι ένα σύστημα ανίχνευσης εισβολής. Είναι βασικά μια αναβαθμισμένη έκδοση ενός προϊόντος προστασίας από ιούς που έχει σχεδιαστεί για χρήση σε εταιρικά δίκτυα και διαθέτει κεντρική αναφορά μέσω ενός SIEM. Μπορεί να λειτουργεί τόσο σε μεμονωμένες συσκευές όσο και να παρακολουθεί τη γενική κίνηση δικτύου σε παραλλαγές γνωστές ως HIDS και NIDS αντίστοιχα. Ένα IDS πάσχει από πολύ υψηλά ποσοστά ψευδώς θετικών σε μια προσπάθεια να αποφύγει τα ψευδώς αρνητικά. Συνήθως, οι αναφορές ελέγχονται από μια ομάδα ανθρώπινης ασφάλειας. Ορισμένες ενέργειες, όταν η εμπιστοσύνη ανίχνευσης είναι υψηλή, ενδέχεται να αυτοματοποιηθούν και στη συνέχεια να επισημανθούν για έλεγχο. Ένα τέτοιο σύστημα είναι γνωστό ως IPS ή IDPS.