Mikä on IDS?

Internetissä leijuu paljon haittaohjelmia. Onneksi on olemassa monia suojakeinoja. Jotkut niistä, kuten virustorjuntatuotteet, on suunniteltu toimimaan laitekohtaisesti ja ne sopivat ihanteellisesti henkilöille, joilla on pieni määrä laitteita. Virustorjuntaohjelmisto on hyödyllinen myös suuryritysverkoissa. Yksi ongelmista on kuitenkin yksinkertaisesti niiden laitteiden määrä, joissa on sitten käynnissä virustorjuntaohjelmisto, joka raportoi vain koneesta. Yritysverkko todella haluaa, että virustentorjuntatapahtumien raportit keskitetään. Kotikäyttäjille on etua yritysverkkojen heikkoudesta.

Virustorjuntaa pidemmälle

Asioiden eteenpäin viemiseksi tarvitaan erilainen lähestymistapa. Tätä lähestymistapaa kutsutaan IDS- tai Intrusion Detection System -järjestelmäksi. IDS:stä on monia erilaisia ​​muunnelmia, joista monet voivat täydentää toisiaan. IDS voidaan esimerkiksi antaa tehtäväksi valvoa laitetta tai verkkoliikennettä. IDS-valvontalaitetta kutsutaan HIDS- tai Host(-pohjainen) tunkeutumisen havaitsemisjärjestelmäksi. Verkonvalvonta-IDS tunnetaan nimellä NIDS tai Network Intrusion Detection System. HIDS on samanlainen kuin virustentorjuntaohjelmisto, joka valvoo laitetta ja raportoi keskitetylle järjestelmälle.

NIDS sijoitetaan yleensä verkon vilkkaalle alueelle. Usein tämä tapahtuu joko ydinverkossa/runkoreitittimessä tai verkon ja sen Internet-yhteyden rajalla. NIDS voidaan konfiguroida olemaan linjassa tai hanakokoonpanossa. Sisäänrakennettu NIDS voi aktiivisesti suodattaa liikennettä havaitsemisen perusteella IPS:nä (palaamme myöhemmin), mutta se toimii kuitenkin yhtenä vikakohtana. Napautuskokoonpano periaatteessa peilaa kaiken verkkoliikenteen NIDS:ään. Se voi sitten suorittaa valvontatoimintonsa toimimatta yksittäisenä vikakohtana.

Seurantamenetelmät

IDS käyttää tyypillisesti useita tunnistusmenetelmiä. Klassinen lähestymistapa on juuri se, mitä käytetään virustorjuntatuotteissa; allekirjoitukseen perustuva tunnistus. Tässä IDS vertaa havaittua ohjelmistoa tai verkkoliikennettä valtavaan joukkoon tunnettujen haittaohjelmien ja haitallisen verkkoliikenteen allekirjoituksia. Tämä on hyvin tunnettu ja yleisesti ottaen melko tehokas tapa torjua tunnettuja uhkia. Allekirjoituspohjainen valvonta ei kuitenkaan ole hopealuodi. Allekirjoitusten ongelmana on, että sinun on ensin tunnistettava haittaohjelma, jotta voit lisätä sen allekirjoituksen vertailuluetteloon. Tämä tekee siitä hyödyttömän uusien hyökkäysten havaitsemisessa ja haavoittuvuuden olemassa olevien tekniikoiden muunnelmille.

IDS:n tärkein vaihtoehtoinen tunnistamismenetelmä on poikkeava käyttäytyminen. Poikkeamiin perustuva tunnistus ottaa lähtötilanteen normaalikäytöstä ja raportoi sitten epätavallisesta toiminnasta. Tämä voi olla tehokas työkalu. Se voi jopa korostaa riskiä mahdollisesta petollisesta sisäpiiriuhkasta. Pääongelma tässä on, että se on viritettävä kunkin järjestelmän peruskäyttäytymiseen, mikä tarkoittaa, että se on koulutettava. Tämä tarkoittaa, että jos järjestelmä on jo vaarantunut IDS:n koulutuksen aikana, se ei näe haitallista toimintaa epätavallisena.

Kehittyvä ala on keinotekoisten hermoverkkojen käyttö poikkeamiin perustuvan havaitsemisprosessin suorittamiseen. Tämä kenttä on lupaava, mutta se on vielä melko uusi ja todennäköisesti kohtaa samanlaisia ​​haasteita kuin poikkeamien havaitsemisen klassisemmat versiot.

Keskittäminen: kirous vai siunaus?

Yksi IDS:n tärkeimmistä ominaisuuksista on keskittäminen. Sen avulla verkon suojaustiimi voi kerätä reaaliaikaisia ​​verkko- ja laitetilapäivityksiä. Tämä sisältää paljon tietoa, joista suurin osa on "kaikki on hyvin". Suurin osa IDS-järjestelmistä on konfiguroitu erittäin "nykiväksi" väärien negatiivisten tulosten, eli haitallisen toiminnan väliin jäämisen, mahdollisuuden minimoimiseksi. Pieninkin vihje siitä, että jokin on vialla, ilmoitetaan. Usein tämä raportti on sitten tutkittava ihmisen toimesta. Jos vääriä positiivisia tuloksia on paljon, vastuullinen tiimi voi nopeasti hukkua ja kohdata uupumus. Tämän välttämiseksi voidaan ottaa käyttöön suodattimia vähentämään IDS:n herkkyyttä, mutta tämä lisää väärien negatiivisten tulosten riskiä. Lisäksi,

Järjestelmän keskittämiseen liittyy usein myös monimutkaisen SIEM-järjestelmän lisääminen. SIEM tulee sanoista Security Information and Event Management system. Se sisältää tyypillisesti verkon ympärillä olevia keräysagentteja, jotka keräävät raportteja läheisiltä laitteilta. Nämä keräysagentit syöttävät sitten raportit takaisin keskushallintajärjestelmään. SIEM:n käyttöönotto lisää verkon uhkien pintaa. Suojausjärjestelmät ovat usein varsin hyvin suojattuja, mutta tämä ei ole takuu, ja ne voivat itsekin olla alttiita haittaohjelmille, jotka estävät itseään ilmoittamasta. Tämä on kuitenkin aina riski mille tahansa turvajärjestelmälle.

Vastausten automatisointi IPS:n avulla

IDS on pohjimmiltaan varoitusjärjestelmä. Se etsii haitallista toimintaa ja lähettää sitten hälytyksiä valvontatiimille. Tämä tarkoittaa, että ihminen tarkkailee kaikkea, mutta tähän liittyy viivästysvaara, varsinkin toiminnan puhkeamisen yhteydessä. Esimerkiksi. Kuvittele, jos ransomware-mato onnistuu pääsemään verkkoon. Voi kestää jonkin aikaa, ennen kuin tarkastajat tunnistavat IDS-hälytyksen oikeutetuksi, jolloin mato on voinut levitä pidemmälle.

IDS:ää, joka automatisoi varmuuden vuoksi toimimisen, kutsutaan IPS:ksi tai IDPS:ksi, jossa "P" tarkoittaa "Protection". IPS ryhtyy automaattisesti toimiin minimoidakseen riskin. IDS:n korkealla väärien positiivisten prosenttiosuudella et tietenkään halua IPS:n reagoivan jokaiseen hälytykseen, vain sellaisiin, joiden katsotaan olevan erittäin varmoja.

HIDS:ssä IPS toimii kuin virustorjuntaohjelmiston karanteenitoiminto. Se lukitsee automaattisesti epäillyt haittaohjelmat ja hälyttää turvallisuustiimin analysoimaan tapauksen. NIDS:ssä IPS:n on oltava linjassa. Tämä tarkoittaa, että kaiken liikenteen on kuljettava IPS:n kautta, mikä tekee siitä yhden vikapisteen. Käänteisesti se voi kuitenkin aktiivisesti poistaa tai pudottaa epäilyttävän verkkoliikenteen ja hälyttää turvatiimin tarkistamaan tapauksen.

IPS:n tärkein etu puhtaaseen IDS:ään verrattuna on, että se pystyy automaattisesti vastaamaan moniin uhkiin paljon nopeammin kuin voitaisiin saavuttaa pelkällä ihmisen tarkastelulla. Tämän avulla se voi estää esimerkiksi tietojen suodatustapahtumat niiden tapahtuessa sen sijaan, että se vain tunnistaisi, että se on tapahtunut jälkikäteen.

Rajoitukset

IDS:llä on useita rajoituksia. Allekirjoituspohjainen tunnistustoiminto on riippuvainen ajan tasalla olevista allekirjoituksista, mikä tekee siitä vähemmän tehokasta mahdollisesti vaarallisempien uusien haittaohjelmien havaitsemisessa. Väärien positiivisten tulosten määrä on yleensä todella korkea, ja laillisten ongelmien välillä voi olla pitkiä ajanjaksoja. Tämä voi johtaa siihen, että turvallisuustiimi ei ole herkkä ja hälyttää hälytyksistä. Tämä asenne lisää riskiä, ​​että he luokittelevat harvinaisen tosi positiivisen väärin vääräksi positiiviseksi.

Verkkoliikenteen analysointityökalut käyttävät tyypillisesti vakiokirjastoja verkkoliikenteen analysointiin. Jos liikenne on haitallista ja hyödyntää kirjaston virhettä, voi olla mahdollista saastuttaa itse IDS-järjestelmä. Inline NIDS toimii yksittäisinä vikapisteinä. Heidän on analysoitava suuri määrä liikennettä hyvin nopeasti, ja jos he eivät pysy perässä, heidän on joko pudotettava se, mikä aiheuttaa suorituskyky-/vakausongelmia, tai päästävä se läpi, mahdollisesti puuttuva haitallinen toiminta.

Poikkeamiin perustuvan järjestelmän kouluttaminen edellyttää, että verkko on ennen kaikkea turvallinen. Jos verkossa on jo haittaohjelma kommunikoimassa, se sisällytetään normaalisti perustilaan ja jätetään huomiotta. Lisäksi ilkeä toimija voi hitaasti laajentaa perusviivaa, jos hän vain käyttää aikansa rajojen rikkomiseen, venyttäen niitä mieluummin kuin rikkomalla niitä. Lopuksi IDS ei voi yksin analysoida salattua liikennettä. Voidakseen tehdä tämän yrityksen tarvitsee Man in the Middle (MitM) liikenne yrityksen juurivarmenneella. Tämä on aiemmin tuonut omat riskinsä. Koska nykyaikaisen verkkoliikenteen prosenttiosuus jää salaamattomaksi, tämä voi jonkin verran rajoittaa NIDS:n hyödyllisyyttä. On syytä huomata, että jopa ilman liikenteen salauksen purkamista,

Johtopäätös

IDS on tunkeutumisen havaitsemisjärjestelmä. Se on pohjimmiltaan laajennettu versio virustorjuntatuotteesta, joka on suunniteltu käytettäväksi yritysverkoissa ja jossa on keskitetty raportointi SIEM:n kautta. Se voi toimia sekä yksittäisissä laitteissa että valvoa yleistä verkkoliikennettä muunnelmissa, jotka tunnetaan nimellä HIDS ja NIDS. IDS kärsii erittäin korkeista vääristä positiivisista luvuista pyrkiessään välttämään vääriä negatiivisia. Tyypillisesti ihmisturvatiimi käsittelee raportit. Jotkut toiminnot, joissa havaitsemisvarmuus on korkea, voidaan automatisoida ja merkitä tarkistettaviksi. Tällainen järjestelmä tunnetaan nimellä IPS tai IDPS.