Mis on SMPS?
Enne oma arvutile SMPS-i valimist uurige, mis on SMPS ja mida tähendab erinevate tõhususe reiting.
Internetis hõljub palju pahavara. Õnneks on saadaval palju kaitsemeetmeid. Mõned neist, näiteks viirusetõrjetooted, on loodud töötama seadmepõhiselt ja sobivad ideaalselt inimestele, kellel on vähe seadmeid. Viirusetõrjetarkvara on kasulik ka suurettevõtete võrkudes. Üheks probleemiks on aga lihtsalt nende seadmete arv, millel siis töötab viirusetõrjetarkvara, mis annab aru ainult masinast. Ettevõtlusvõrk soovib tõesti, et viirusetõrjejuhtumite aruanded oleksid tsentraliseeritud. Kodukasutajate eeliseks on ettevõtete võrkude nõrkus.
Viirustõrjest kaugemale jõudmine
Asjade edasiviimiseks on vaja teistsugust lähenemist. Seda lähenemisviisi nimetatakse IDS-iks või sissetungimise tuvastamise süsteemiks. IDS-il on palju erinevaid variatsioone, millest paljud võivad üksteist täiendada. Näiteks võib IDS-ile anda ülesande jälgida seadet või võrguliiklust. IDS-i jälgivat seadet nimetatakse HIDS-iks või hostipõhiseks sissetungituvastussüsteemiks. Võrgu jälgimise IDS on tuntud kui NIDS või võrgu sissetungimise tuvastamise süsteem. HIDS sarnaneb viirusetõrjepaketiga, jälgib seadet ja annab aru tsentraliseeritud süsteemile.
NIDS paigutatakse tavaliselt võrgu tiheda liiklusega piirkonda. Sageli on see kas põhivõrgus / magistraalruuteris või võrgu ja selle Interneti-ühenduse piiril. NIDS-i saab konfigureerida reasiseseks või kraanikonfiguratsioonis. Sisseehitatud NIDS suudab IPS-ina (aspekti juurde tuleme hiljem tagasi) tuvastamise põhjal liiklust aktiivselt filtreerida, kuid see toimib ühe tõrkepunktina. Kraanide konfiguratsioon peegeldab põhimõtteliselt kogu võrguliiklust NIDS-i. Seejärel saab see täita oma jälgimisfunktsioone, toimimata ühe tõrkepunktina.
Seiremeetodid
IDS kasutab tavaliselt mitmesuguseid tuvastamismeetodeid. Klassikaline lähenemine on täpselt see, mida viirusetõrjetoodetes kasutatakse; allkirjapõhine tuvastamine. Selles võrdleb IDS vaadeldud tarkvara või võrguliiklust suure hulga teadaoleva pahavara ja pahatahtliku võrguliikluse allkirjadega. See on tuntud ja üldiselt üsna tõhus viis teadaolevate ohtude vastu võitlemiseks. Allkirjapõhine jälgimine ei ole aga hõbekuul. Signatuuride probleem seisneb selles, et peate esmalt tuvastama pahavara, et seejärel lisada selle allkiri võrdlusloendisse. See muudab selle uute rünnakute tuvastamisel kasutuks ja haavatavaks olemasolevate tehnikate variatsioonide suhtes.
Peamine alternatiivne meetod, mida IDS tuvastamiseks kasutab, on anomaalne käitumine. Anomaaliapõhine tuvastamine võtab standardkasutuse lähtetaseme ja annab seejärel aru ebatavalisest tegevusest. See võib olla võimas tööriist. See võib isegi esile tuua riski, mis tuleneb võimalikust petturist siseringi ohust. Selle peamine probleem on see, et see tuleb häälestada iga süsteemi algkäitumisele, mis tähendab, et seda tuleb koolitada. See tähendab, et kui süsteem on juba IDS-i koolitamise ajal ohustatud, ei näe see pahatahtlikku tegevust ebatavalisena.
Arenev valdkond on tehisnärvivõrkude kasutamine anomaaliapõhise tuvastamise protsessi läbiviimiseks. See väli on paljulubav, kuid on siiski üsna uus ja tõenäoliselt seisab silmitsi sarnaste väljakutsetega kui anomaaliapõhise tuvastamise klassikalisemad versioonid.
Tsentraliseerimine: needus või õnnistus?
IDS-i üks peamisi omadusi on tsentraliseerimine. See võimaldab võrgu turvameeskonnal koguda reaalajas võrgu ja seadme olekuvärskendusi. See sisaldab palju teavet, millest enamik on "kõik on korras". Valenegatiivsete, st vahelejäänud pahatahtliku tegevuse tõenäosuse minimeerimiseks on enamik IDS-süsteeme konfigureeritud väga "tõmblevaks". Teatatakse isegi vähimast vihjest, et midagi on valesti. Sageli peab seda aruannet seejärel uurima inimene. Kui valepositiivseid tulemusi on palju, võib vastutav meeskond kiiresti üle koormata ja silmitsi seista läbipõlemisega. Selle vältimiseks võib IDS-i tundlikkuse vähendamiseks kasutusele võtta filtreid, kuid see suurendab valenegatiivsete tulemuste ohtu. Lisaks
Süsteemi tsentraliseerimine hõlmab sageli ka keeruka SIEM-süsteemi lisamist. SIEM tähistab turvateabe ja sündmuste haldussüsteemi. Tavaliselt hõlmab see võrku ümbritsevaid kogumisagente, mis koguvad läheduses asuvatest seadmetest aruandeid. Need kogumisagendid edastavad seejärel aruanded keskhaldussüsteemi. SIEM-i kasutuselevõtt suurendab võrgu ohu pinda. Turvasüsteemid on sageli üsna hästi kaitstud, kuid see ei ole garantii ja nad võivad ise olla haavatavad ründevara poolt, mis takistab endast teavitamist. See on aga alati risk mis tahes turvasüsteemi jaoks.
Vastuste automatiseerimine IPS-iga
IDS on põhimõtteliselt hoiatussüsteem. See otsib pahatahtlikku tegevust ja saadab seejärel jälgimismeeskonnale hoiatused. See tähendab, et inimene vaatab kõik üle, kuid sellega kaasneb viivituste oht, eriti aktiivsuspuhangu korral. Näiteks. Kujutage ette, kui lunavaraussil õnnestub võrku sattuda. Inimestest ülevaatajatel võib kuluda veidi aega, et tuvastada IDS-hoiatus õiguspärasena, mis ajaks võib uss end veelgi edasi levida.
IDS-i, mis automatiseerib suure kindlusega hoiatustele reageerimise protsessi, nimetatakse IPS-iks või IDPS-iks, kus P tähistab kaitset. IPS võtab riski minimeerimiseks automaatseid meetmeid. Loomulikult ei soovi te IDS-i kõrge valepositiivsete tulemuste korral, et IPS reageeriks igale hoiatusele, vaid ainult neile, mida peetakse suure kindlusega.
HIDS-is toimib IPS nagu viirusetõrjetarkvara karantiinifunktsioon. See lukustab kahtlustatava pahavara automaatselt ja hoiatab turvameeskonda, et see juhtunut analüüsiks. NIDS-i puhul peab IPS olema sees. See tähendab, et kogu liiklus peab jooksma läbi IPS-i, muutes selle üheks tõrkepunktiks. Vastupidiselt võib see aga kahtlase võrguliikluse aktiivselt eemaldada või maha jätta ja hoiatada turvameeskonda, et see juhtum üle vaataks.
IPS-i peamine eelis puhta IDS-i ees seisneb selles, et see suudab paljudele ohtudele automaatselt reageerida palju kiiremini, kui seda oleks võimalik saavutada ainult inimliku ülevaatusega. See võimaldab vältida selliseid asju nagu andmete väljafiltreerimise sündmused nende toimumise ajal, mitte lihtsalt tuvastada, et see juhtus pärast tõsiasja.
Piirangud
IDS-il on mitmeid piiranguid. Allkirjapõhine tuvastamise funktsioon tugineb ajakohastele allkirjadele, mis muudab selle potentsiaalselt ohtlikuma uudse pahavara püüdmisel vähem tõhusaks. Valepositiivsete tulemuste määr on üldiselt tõesti kõrge ja õigustatud probleemide vahel võib olla pikki ajavahemikke. See võib viia selleni, et turvameeskond muutub tundlikkusetuks ja häirekelladest segaseks. Selline suhtumine suurendab riski, et nad liigitavad haruldase tõelise positiivse valepositiivseks valesti.
Võrguliikluse analüüsi tööriistad kasutavad võrguliikluse analüüsimiseks tavaliselt standardseid teeke. Kui liiklus on pahatahtlik ja kasutab ära teegi viga, võib olla võimalik nakatada IDS-süsteemi ennast. Inline NIDS toimib üksikute tõrkepunktidena. Nad peavad analüüsima suurt liiklust väga kiiresti ja kui nad ei suuda sammu pidada, peavad nad selle kas loobuma, põhjustades jõudluse/stabiilsuse probleeme, või lubama selle läbi, potentsiaalselt puuduva pahatahtliku tegevuse.
Anomaaliapõhise süsteemi väljaõpe eeldab, et võrk on ennekõike turvaline. Kui võrgus juba suhtleb pahavara, lisatakse see tavapäraselt baasjoonele ja seda ignoreeritakse. Lisaks võib pahatahtlik tegutseja lähtejooni aeglaselt laiendada, kui ta võtab lihtsalt aega piire nihutades, neid pigem venitades kui murdes. Lõpuks ei saa IDS üksi krüptitud liiklust analüüsida. Selleks oleks ettevõttel vaja Man in the Middle (MitM) liiklust ettevõtte juursertifikaadiga. See on minevikus toonud kaasa omad riskid. Kuna tänapäevase võrguliikluse protsent jääb krüpteerimata, võib see NIDS-i kasulikkust mõnevõrra piirata. Väärib märkimist, et isegi ilma liiklust dekrüpteerimata,
Järeldus
IDS on sissetungimise tuvastamise süsteem. Põhimõtteliselt on see viirusetõrjetoote laiendatud versioon, mis on mõeldud kasutamiseks ettevõtete võrkudes ja sisaldab tsentraliseeritud aruandlust SIEM-i kaudu. See võib töötada nii üksikutes seadmetes kui ka jälgida üldist võrguliiklust variantides, mida tuntakse vastavalt HIDS-i ja NIDS-i nime all. IDS kannatab väga kõrge valepositiivsete näitajate all, et vältida valenegatiivseid tulemusi. Tavaliselt analüüsib aruandeid inimturvameeskond. Mõned toimingud, kui tuvastamise usaldus on kõrge, võidakse automatiseerida ja seejärel ülevaatamiseks märgistada. Sellist süsteemi tuntakse IPS või IDPS nime all.
Enne oma arvutile SMPS-i valimist uurige, mis on SMPS ja mida tähendab erinevate tõhususe reiting.
Kavatsesin süveneda teemasse, mis muutub küberturvalisuse maailmas üha olulisemaks: isolatsioonipõhine turvalisus. See lähenemine
Täna kavatsesime süveneda tööriista, mis suudab teie Chromebookis korduvaid klõpsamisi automatiseerida: automaatset klõpsurit. See tööriist võib säästa teie aega ja
Lahendage probleem, kus teie Roomba robottolmuimeja peatub, kinni jääb ja pöörleb pidevalt ümber.
Hankige vastused küsimusele, miks minu Chromebook ei lülitu sisse? Selles kasulikus juhendis Chromebooki kasutajatele.
Steam Deck pakub jõulist ja mitmekülgset mängukogemust otse teie käeulatuses. Kuid selleks, et optimeerida oma mängimist ja tagada parim võimalik
Muutke oma Fitbit Versa 4 kella sihverplaati, et anda oma kellale iga päev tasuta uus välimus. Vaadake, kui kiire ja lihtne see on.
Sellest juhendist leiate teavet selle kohta, kuidas petturist Google'ile teatada, et vältida teiste petmist.
Kas peate GPU arvutist eemaldama? Liituge minuga ja selgitan selles samm-sammulises juhendis, kuidas GPU arvutist eemaldada.
Õlas surfamine on sotsiaalse manipuleerimise rünnak. See hõlmab ründajat, kes kogub teavet teie ekraani vaadates.