Što je IDS?

Internetom postoji mnogo zlonamjernog softvera. Srećom, dostupne su mnoge mjere zaštite. Neki od njih, kao što su antivirusni proizvodi, dizajnirani su za rad po uređaju i idealni su za pojedince s malim brojem uređaja. Antivirusni softver također je koristan u velikim poslovnim mrežama. Međutim, jedan od problema je jednostavno broj uređaja na kojima je pokrenut antivirusni softver koji izvještava samo na stroju. Mreža poduzeća stvarno želi imati centralizirana izvješća o antivirusnim incidentima. Ono što je prednost za kućne korisnike je slabost za poslovne mreže.

Idemo dalje od antivirusa

Da bi stvari krenule dalje, potreban je drugačiji pristup. Ovaj pristup se naziva IDS ili Intrusion Detection System. Postoji mnogo različitih varijanti IDS-a, od kojih se mnoge mogu nadopunjavati. Na primjer, IDS-u se može dati zadatak da nadzire uređaj ili mrežni promet. IDS za nadgledanje uređaja naziva se HIDS ili Sustav za otkrivanje upada temeljen na hostu. IDS za nadzor mreže poznat je kao NIDS ili sustav za otkrivanje upada u mrežu. HIDS je sličan antivirusnom paketu, nadzire uređaj i izvještava centralizirani sustav.

NIDS se općenito postavlja u područje mreže s velikim prometom. Često će to biti ili na jezgrenoj mreži/glavnom usmjerivaču ili na granici mreže i njezine veze s Internetom. NIDS se može konfigurirati tako da bude u liniji ili u konfiguraciji slavine. Inline NIDS može aktivno filtrirati promet na temelju detekcija kao IPS (faset na koji ćemo se vratiti kasnije), međutim, on djeluje kao jedinstvena točka kvara. Priključna konfiguracija u osnovi zrcali sav mrežni promet na NIDS. Tada može obavljati svoje nadzorne funkcije bez da djeluje kao jedinstvena točka kvara.

Metode praćenja

IDS obično koristi niz metoda otkrivanja. Klasičan pristup je upravo ono što se koristi u antivirusnim proizvodima; detekcija na temelju potpisa. Pri tome IDS uspoređuje opaženi softver ili mrežni promet s ogromnim nizom potpisa poznatog zlonamjernog softvera i zlonamjernog mrežnog prometa. Ovo je dobro poznat i općenito prilično učinkovit način suprotstavljanja poznatim prijetnjama. Međutim, nadzor temeljen na potpisima nije srebrni metak. Problem s potpisima je taj što prvo morate otkriti zlonamjerni softver da biste zatim dodali njegov potpis na popis za usporedbu. To ga čini beskorisnim u otkrivanju novih napada i ranjivim na varijacije postojećih tehnika.

Glavna alternativna metoda koju IDS koristi za identifikaciju je nenormalno ponašanje. Otkrivanje na temelju anomalija uzima osnovnu vrijednost standardne upotrebe i zatim izvješćuje o neuobičajenim aktivnostima. Ovo može biti moćan alat. Može čak istaknuti rizik od potencijalne lažne prijetnje iznutra. Glavni problem s ovim je da se mora prilagoditi osnovnom ponašanju svakog sustava, što znači da se mora uvježbati. To znači da ako je sustav već ugrožen dok se IDS obučava, zlonamjernu aktivnost neće smatrati neobičnom.

Područje u razvoju je korištenje umjetnih neuronskih mreža za izvođenje procesa otkrivanja anomalija. Ovo polje obećava, ali je još uvijek prilično novo i vjerojatno se suočava sa sličnim izazovima kao i klasičnije verzije otkrivanja anomalija.

Centralizacija: prokletstvo ili blagoslov?

Jedna od ključnih značajki IDS-a je centralizacija. Timu za mrežnu sigurnost omogućuje prikupljanje ažuriranja stanja mreže i uređaja uživo. To uključuje puno informacija, od kojih je većina "sve je u redu". Kako bi se smanjile mogućnosti lažno negativnih rezultata, tj. propuštenih zlonamjernih aktivnosti, većina IDS sustava konfigurirana je tako da budu vrlo "trzavi". Prijavljuje se čak i najmanja naznaka da nešto nije u redu. Često to izvješće mora trijažirati čovjek. Ako postoji mnogo lažno pozitivnih rezultata, odgovorni tim može biti brzo preopterećen i suočen s iscrpljenošću. Kako bi se to izbjeglo, mogu se uvesti filtri za smanjenje osjetljivosti IDS-a, ali to povećava rizik od lažno negativnih rezultata. Dodatno,

Centralizacija sustava također često uključuje dodavanje složenog SIEM sustava. SIEM je kratica za Security Information and Event Management system. To obično uključuje niz agenata za prikupljanje po mreži koji prikupljaju izvješća s obližnjih uređaja. Ti agenti za prikupljanje zatim vraćaju izvješća središnjem upravljačkom sustavu. Uvođenje SIEM-a povećava površinu mrežnih prijetnji. Sigurnosni sustavi često su prilično dobro osigurani, ali to nije jamstvo, a i sami mogu biti osjetljivi na infekciju zlonamjernim softverom koji zatim sprječava prijavljivanje. To je, međutim, uvijek rizik za svaki sigurnosni sustav.

Automatiziranje odgovora s IPS-om

IDS je u osnovi sustav upozorenja. Traži zlonamjernu aktivnost i zatim šalje upozorenja nadzornom timu. To znači da sve pregledava čovjek, ali postoji rizik od kašnjenja, posebno u slučaju izbijanja aktivnosti. Na primjer. Zamislite da ransomware crv uspije ući u mrežu. Može potrajati neko vrijeme dok ljudski pregledatelji identificiraju IDS upozorenje kao legitimno do kada se crv možda već proširio dalje.

IDS koji automatizira proces djelovanja na upozorenja visoke sigurnosti naziva se IPS ili IDPS s "P" što znači "Zaštita". IPS poduzima automatizirane radnje kako bi pokušao minimizirati rizik. Naravno, s visokom stopom lažno pozitivnih IDS-a ne želite da IPS djeluje na svako upozorenje, samo na ono za koje se smatra da ima visoku sigurnost.

Na HIDS-u, IPS djeluje kao funkcija karantene antivirusnog softvera. Automatski zaključava sumnjivi zlonamjerni softver i upozorava sigurnosni tim da analizira incident. Na NIDS-u, IPS mora biti ugrađen. To znači da se sav promet mora odvijati kroz IPS, što ga čini jednom točkom kvara. Međutim, obrnuto, može aktivno ukloniti ili ispustiti sumnjivi mrežni promet i upozoriti sigurnosni tim da pregleda incident.

Ključna prednost IPS-a nad čistim IDS-om je da može automatski odgovoriti na mnoge prijetnje mnogo brže nego što bi se to moglo postići samo ljudskim pregledom. To mu omogućuje da spriječi stvari kao što su događaji eksfiltracije podataka dok se događaju, umjesto da samo identificira da se to dogodilo nakon činjenice.

Ograničenja

IDS ima nekoliko ograničenja. Funkcionalnost otkrivanja temeljena na potpisima oslanja se na ažurne potpise, što je čini manje učinkovitom u hvatanju potencijalno opasnijeg novog zlonamjernog softvera. Stopa lažno pozitivnih odgovora općenito je jako visoka i mogu postojati veliki vremenski razmaci između legitimnih problema. To može dovesti do toga da sigurnosni tim postane desenzibiliziran i blaziran o alarmima. Ovakav stav povećava rizik da pogrešno kategoriziraju rijedak pravi pozitivan rezultat kao lažno pozitivan.

Alati za analizu mrežnog prometa obično koriste standardne biblioteke za analizu mrežnog prometa. Ako je promet zlonamjeran i iskorištava grešku u knjižnici, moguće je zaraziti sam IDS sustav. Inline NIDS djeluju kao pojedinačne točke kvara. Moraju analizirati veliku količinu prometa vrlo brzo i ako ne mogu držati korak, moraju ga ili odbaciti, uzrokujući probleme s performansama/stabilnošću, ili ga dopustiti, potencijalno propuštajući zlonamjernu aktivnost.

Uvježbavanje sustava temeljenog na anomalijama zahtijeva da mreža prije svega bude sigurna. Ako već postoji zlonamjerni softver koji komunicira na mreži, to će biti normalno uključeno u osnovnu liniju i zanemareno. Osim toga, osnovnu liniju može polagano proširiti zlonamjerni akter koji jednostavno uzima svoje vrijeme u pomicanju granica, rastežući ih umjesto da ih razbija. Konačno, IDS ne može sam analizirati šifrirani promet. Da bi to moglo učiniti, poduzeće bi moralo upravljati prometom s korporativnim korijenskim certifikatom (MitM). To je u prošlosti predstavljalo svoje rizike. Uz postotak modernog mrežnog prometa koji ostaje nekriptiran, to može donekle ograničiti korisnost NIDS-a. Vrijedno je napomenuti da čak i bez dešifriranja prometa,

Zaključak

IDS je sustav za otkrivanje upada. To je u osnovi proširena verzija antivirusnog proizvoda dizajniranog za korištenje u poslovnim mrežama i sadrži centralizirano izvješćivanje putem SIEM-a. Može raditi i na pojedinačnim uređajima i nadzirati opći mrežni promet u varijantama poznatim kao HIDS odnosno NIDS. IDS pati od vrlo visokih stopa lažno pozitivnih rezultata u nastojanju da se izbjegnu lažno negativni rezultati. Tipično, izvješća trijažira tim za ljudsku sigurnost. Neke radnje, kada je pouzdanost otkrivanja visoka, mogu biti automatizirane i zatim označene za pregled. Takav sustav je poznat kao IPS ili IDPS.