Que é un IDS?

Hai moito malware flotando por aí en Internet. Afortunadamente, hai moitas medidas de protección dispoñibles. Algúns deles, como os produtos antivirus, están deseñados para executarse en cada dispositivo e son ideais para persoas cun pequeno número de dispositivos. O software antivirus tamén é útil en redes de grandes empresas. Un dos problemas que hai, con todo, é simplemente o número de dispositivos que logo teñen un software antivirus en execución que só informa na máquina. Unha rede empresarial realmente quere ter informes de incidentes antivirus para centralizar. O que é unha vantaxe para os usuarios domésticos é unha debilidade para as redes empresariais.

Indo máis aló do antivirus

Para levar as cousas máis aló é necesario un enfoque diferente. Este enfoque denomínase IDS ou sistema de detección de intrusos. Hai moitas variacións diferentes no IDS, moitas das cales poden complementarse entre si. Por exemplo, pódese encargar a un IDS de supervisar o tráfico dun dispositivo ou da rede. Un IDS de monitorización de dispositivos denomínase HIDS ou sistema de detección de intrusos baseado en host. Un IDS de monitorización de rede coñécese como NIDS ou Sistema de detección de intrusións na rede. Un HIDS é semellante a unha suite de antivirus, monitorizando un dispositivo e informando a un sistema centralizado.

Un NIDS xeralmente sitúase nunha zona de alto tráfico da rede. Moitas veces, isto será nun enrutador de rede principal/backbone ou no límite da rede e a súa conexión a Internet. Un NIDS pódese configurar para que estea en liña ou nunha configuración de toque. Un NIDS en liña pode filtrar activamente o tráfico en función das deteccións como IPS (unha faceta á que volveremos máis tarde), non obstante, actúa como un único punto de falla. Unha configuración de toque reflicte basicamente todo o tráfico de rede ao NIDS. Despois pode realizar as súas funcións de vixilancia sen actuar como un único punto de fallo.

Métodos de vixilancia

Un IDS normalmente usa unha serie de métodos de detección. O enfoque clásico é exactamente o que se usa nos produtos antivirus; detección baseada en sinaturas. Neste, o IDS compara o software ou o tráfico de rede observado cunha gran variedade de sinaturas de malware coñecido e tráfico de rede malicioso. Esta é unha forma moi coñecida e en xeral bastante eficaz de contrarrestar as ameazas coñecidas. Non obstante, o seguimento baseado en sinaturas non é unha solución. O problema coas sinaturas é que primeiro cómpre detectar o malware para despois engadir a súa sinatura á lista de comparación. Isto fai que sexa inútil para detectar novos ataques e sexa vulnerable ás variacións das técnicas existentes.

O principal método alternativo que utiliza un IDS para a identificación é o comportamento anómalo. A detección baseada en anomalías toma unha liña de referencia do uso estándar e, a continuación, informa da actividade inusual. Esta pode ser unha ferramenta poderosa. Incluso pode resaltar un risco dunha potencial ameaza confidencial. O principal problema con isto é que debe axustarse ao comportamento de referencia de cada sistema, o que significa que debe adestrarse. Isto significa que se o sistema xa está comprometido mentres se adestra o IDS, non verá a actividade maliciosa como inusual.

Un campo en desenvolvemento é o uso de redes neuronais artificiais para realizar o proceso de detección baseado en anomalías. Este campo é prometedor pero aínda é bastante novo e é probable que afronte desafíos similares ás versións máis clásicas da detección baseada en anomalías.

Centralización: unha maldición ou unha bendición?

Unha das características fundamentais dun IDS é a centralización. Permite que un equipo de seguranza da rede recompile actualizacións de estado da rede e do dispositivo en directo. Isto inclúe moita información, a maioría da cal é "todo está ben". Para minimizar as posibilidades de falsos negativos, é dicir, perdida de actividade maliciosa, a maioría dos sistemas IDS están configurados para ser moi "convulsivos". Incluso o máis mínimo indicio de que algo está desactivado. Moitas veces, este informe ten que ser probado por un humano. Se hai moitos falsos positivos, o equipo responsable pode verse rapidamente desbordado e enfrontarse ao esgotamento. Para evitar isto, pódense introducir filtros para reducir a sensibilidade do IDS, pero isto aumenta o risco de falsos negativos. Ademais,

A centralización do sistema tamén implica a miúdo engadir un sistema SIEM complexo. SIEM significa Security Information and Event Management System. Normalmente implica unha serie de axentes de recollida arredor da rede que recollen informes dos dispositivos próximos. A continuación, estes axentes de recollida reenvían os informes ao sistema de xestión central. A introdución dun SIEM aumenta a superficie de ameazas da rede. Os sistemas de seguridade adoitan estar bastante ben protexidos, pero isto non é unha garantía e poden ser eles mesmos vulnerables á infección por software malicioso que evita que se informe. Non obstante, isto é sempre un risco para calquera sistema de seguridade.

Automatización de respostas cun IPS

Un IDS é basicamente un sistema de aviso. Busca actividade maliciosa e despois envía alertas ao equipo de seguimento. Isto significa que todo é revisado por un humano, pero isto corre o risco de atrasos, especialmente no caso dunha explosión de actividade. Por exemplo. Imaxina se un gusano ransomware consegue entrar na rede. Os revisores humanos poden tardar algún tempo en identificar unha alerta de IDS como lexítima, momento no que o verme podería estenderse aínda máis.

Un IDS que automatiza o proceso de actuación en alertas de alta certeza chámase IPS ou IDPS coa "P" que significa "Protección". Un IPS toma medidas automatizadas para tratar de minimizar o risco. Por suposto, coa alta taxa de falsos positivos dun IDS non queres que un IPS actúe en todas as alertas, só nas que se considera que teñen unha alta certeza.

Nun HIDS, un IPS actúa como unha función de corentena de software antivirus. Bloquea automaticamente o malware sospeitoso e avisa ao equipo de seguridade para que analice o incidente. Nun NIDS, un IPS debe estar en liña. Isto significa que todo o tráfico debe atravesar o IPS, polo que é un único punto de falla. Pola contra, con todo, pode eliminar ou eliminar activamente o tráfico de rede sospeitoso e alertar ao equipo de seguridade para que revise o incidente.

A vantaxe fundamental dun IPS fronte a un IDS puro é que pode responder automaticamente a moitas ameazas moito máis rápido do que se podería conseguir só cunha revisión humana. Isto permítelle evitar cousas como eventos de exfiltración de datos a medida que están a suceder en lugar de só identificar que ocorreu despois do feito.

Limitacións

Un IDS ten varias limitacións. A función de detección baseada en sinaturas depende de sinaturas actualizadas, o que fai que sexa menos eficaz para detectar novos programas maliciosos potencialmente máis perigosos. A taxa de falsos positivos é xeralmente moi alta e pode haber grandes períodos de tempo entre problemas lexítimos. Isto pode levar a que o equipo de seguridade se insensibilice e falte das alarmas. Esta actitude aumenta o risco de que clasifiquen erróneamente un positivo verdadeiro raro como un falso positivo.

As ferramentas de análise de tráfico de rede normalmente usan bibliotecas estándar para analizar o tráfico de rede. Se o tráfico é malicioso e explota un fallo na biblioteca, pode ser posible infectar o propio sistema IDS. Os NIDS en liña actúan como puntos únicos de falla. Necesitan analizar un gran volume de tráfico moi rapidamente e, se non poden seguir o ritmo, deben abandonalo, causando problemas de rendemento/estabilidade, ou deixalo pasar, podendo perder actividade maliciosa.

Adestrar un sistema baseado en anomalías require que a rede estea segura en primeiro lugar. Se xa hai malware comunicándose na rede, incluirase como normal na liña base e ignorarase. Ademais, un actor malicioso pode ampliar lentamente a liña de base simplemente tomando o seu tempo en empuxar os límites, estirándoos en lugar de rompelos. Finalmente, un IDS non pode analizar por si só o tráfico cifrado. Para poder facelo, a empresa necesitaría Man in the Middle (MitM) o tráfico cun certificado raíz corporativo. Isto introduciu no pasado os seus propios riscos. Coa porcentaxe de tráfico de rede moderna que permanece sen cifrar, isto pode limitar un pouco a utilidade dun NIDS. Paga a pena notar que aínda sen descifrar o tráfico,

Conclusión

Un IDS é un sistema de detección de intrusos. É basicamente unha versión ampliada dun produto antivirus deseñado para o seu uso en redes empresariais e que inclúe informes centralizados a través dun SIEM. Pode funcionar tanto en dispositivos individuais como supervisar o tráfico xeral da rede en variantes coñecidas como HIDS e NIDS respectivamente. Un IDS sofre taxas de falsos positivos moi altas nun esforzo por evitar falsos negativos. Normalmente, os informes son clasificados por un equipo de seguridade humana. Algunhas accións, cando a confianza da detección é alta, poden ser automatizadas e marcadas para a súa revisión. Este sistema coñécese como IPS ou IDPS.