Što je IDS?

Internetom postoji mnogo zlonamjernog softvera. Srećom, dostupne su mnoge mjere zaštite. Neki od njih, kao što su antivirusni proizvodi, dizajnirani su za rad po uređaju i idealni su za pojedince s malim brojem uređaja. Antivirusni softver također je koristan u velikim poslovnim mrežama. Međutim, jedan od problema je jednostavno broj uređaja na kojima je pokrenut antivirusni softver koji izvještava samo na stroju. Mreža poduzeća stvarno želi imati centralizirana izvješća o antivirusnim incidentima. Ono što je prednost za kućne korisnike je slabost za poslovne mreže.

Idemo dalje od antivirusa

Da bi stvari krenule dalje, potreban je drugačiji pristup. Ovaj pristup se naziva IDS ili Intrusion Detection System. Postoji mnogo različitih varijanti IDS-a, od kojih se mnoge mogu nadopunjavati. Na primjer, IDS-u se može dati zadatak da nadzire uređaj ili mrežni promet. IDS za nadgledanje uređaja naziva se HIDS ili Sustav za otkrivanje upada temeljen na hostu. IDS za nadzor mreže poznat je kao NIDS ili sustav za otkrivanje upada u mrežu. HIDS je sličan antivirusnom paketu, nadzire uređaj i izvještava centralizirani sustav.

NIDS se općenito postavlja u područje mreže s velikim prometom. Često će to biti ili na jezgrenoj mreži/glavnom usmjerivaču ili na granici mreže i njezine veze s Internetom. NIDS se može konfigurirati tako da bude u liniji ili u konfiguraciji slavine. Inline NIDS može aktivno filtrirati promet na temelju detekcija kao IPS (faset na koji ćemo se vratiti kasnije), međutim, on djeluje kao jedinstvena točka kvara. Priključna konfiguracija u osnovi zrcali sav mrežni promet na NIDS. Tada može obavljati svoje nadzorne funkcije bez da djeluje kao jedinstvena točka kvara.

Metode praćenja

IDS obično koristi niz metoda otkrivanja. Klasičan pristup je upravo ono što se koristi u antivirusnim proizvodima; detekcija na temelju potpisa. Pri tome IDS uspoređuje opaženi softver ili mrežni promet s ogromnim nizom potpisa poznatog zlonamjernog softvera i zlonamjernog mrežnog prometa. Ovo je dobro poznat i općenito prilično učinkovit način suprotstavljanja poznatim prijetnjama. Međutim, nadzor temeljen na potpisima nije srebrni metak. Problem s potpisima je taj što prvo morate otkriti zlonamjerni softver da biste zatim dodali njegov potpis na popis za usporedbu. To ga čini beskorisnim u otkrivanju novih napada i ranjivim na varijacije postojećih tehnika.

Glavna alternativna metoda koju IDS koristi za identifikaciju je nenormalno ponašanje. Otkrivanje na temelju anomalija uzima osnovnu vrijednost standardne upotrebe i zatim izvješćuje o neuobičajenim aktivnostima. Ovo može biti moćan alat. Može čak istaknuti rizik od potencijalne lažne prijetnje iznutra. Glavni problem s ovim je da se mora prilagoditi osnovnom ponašanju svakog sustava, što znači da se mora uvježbati. To znači da ako je sustav već ugrožen dok se IDS obučava, zlonamjernu aktivnost neće smatrati neobičnom.

Područje u razvoju je korištenje umjetnih neuronskih mreža za izvođenje procesa otkrivanja anomalija. Ovo polje obećava, ali je još uvijek prilično novo i vjerojatno se suočava sa sličnim izazovima kao i klasičnije verzije otkrivanja anomalija.

Centralizacija: prokletstvo ili blagoslov?

Jedna od ključnih značajki IDS-a je centralizacija. Timu za mrežnu sigurnost omogućuje prikupljanje ažuriranja stanja mreže i uređaja uživo. To uključuje puno informacija, od kojih je većina "sve je u redu". Kako bi se smanjile mogućnosti lažno negativnih rezultata, tj. propuštenih zlonamjernih aktivnosti, većina IDS sustava konfigurirana je tako da budu vrlo "trzavi". Prijavljuje se čak i najmanja naznaka da nešto nije u redu. Često to izvješće mora trijažirati čovjek. Ako postoji mnogo lažno pozitivnih rezultata, odgovorni tim može biti brzo preopterećen i suočen s iscrpljenošću. Kako bi se to izbjeglo, mogu se uvesti filtri za smanjenje osjetljivosti IDS-a, ali to povećava rizik od lažno negativnih rezultata. Dodatno,

Centralizacija sustava također često uključuje dodavanje složenog SIEM sustava. SIEM je kratica za Security Information and Event Management system. To obično uključuje niz agenata za prikupljanje po mreži koji prikupljaju izvješća s obližnjih uređaja. Ti agenti za prikupljanje zatim vraćaju izvješća središnjem upravljačkom sustavu. Uvođenje SIEM-a povećava površinu mrežnih prijetnji. Sigurnosni sustavi često su prilično dobro osigurani, ali to nije jamstvo, a i sami mogu biti osjetljivi na infekciju zlonamjernim softverom koji zatim sprječava prijavljivanje. To je, međutim, uvijek rizik za svaki sigurnosni sustav.

Automatiziranje odgovora s IPS-om

IDS je u osnovi sustav upozorenja. Traži zlonamjernu aktivnost i zatim šalje upozorenja nadzornom timu. To znači da sve pregledava čovjek, ali postoji rizik od kašnjenja, posebno u slučaju izbijanja aktivnosti. Na primjer. Zamislite da ransomware crv uspije ući u mrežu. Može potrajati neko vrijeme dok ljudski pregledatelji identificiraju IDS upozorenje kao legitimno do kada se crv možda već proširio dalje.

IDS koji automatizira proces djelovanja na upozorenja visoke sigurnosti naziva se IPS ili IDPS s "P" što znači "Zaštita". IPS poduzima automatizirane radnje kako bi pokušao minimizirati rizik. Naravno, s visokom stopom lažno pozitivnih IDS-a ne želite da IPS djeluje na svako upozorenje, samo na ono za koje se smatra da ima visoku sigurnost.

Na HIDS-u, IPS djeluje kao funkcija karantene antivirusnog softvera. Automatski zaključava sumnjivi zlonamjerni softver i upozorava sigurnosni tim da analizira incident. Na NIDS-u, IPS mora biti ugrađen. To znači da se sav promet mora odvijati kroz IPS, što ga čini jednom točkom kvara. Međutim, obrnuto, može aktivno ukloniti ili ispustiti sumnjivi mrežni promet i upozoriti sigurnosni tim da pregleda incident.

Ključna prednost IPS-a nad čistim IDS-om je da može automatski odgovoriti na mnoge prijetnje mnogo brže nego što bi se to moglo postići samo ljudskim pregledom. To mu omogućuje da spriječi stvari kao što su događaji eksfiltracije podataka dok se događaju, umjesto da samo identificira da se to dogodilo nakon činjenice.

Ograničenja

IDS ima nekoliko ograničenja. Funkcionalnost otkrivanja temeljena na potpisima oslanja se na ažurne potpise, što je čini manje učinkovitom u hvatanju potencijalno opasnijeg novog zlonamjernog softvera. Stopa lažno pozitivnih odgovora općenito je jako visoka i mogu postojati veliki vremenski razmaci između legitimnih problema. To može dovesti do toga da sigurnosni tim postane desenzibiliziran i blaziran o alarmima. Ovakav stav povećava rizik da pogrešno kategoriziraju rijedak pravi pozitivan rezultat kao lažno pozitivan.

Alati za analizu mrežnog prometa obično koriste standardne biblioteke za analizu mrežnog prometa. Ako je promet zlonamjeran i iskorištava grešku u knjižnici, moguće je zaraziti sam IDS sustav. Inline NIDS djeluju kao pojedinačne točke kvara. Moraju analizirati veliku količinu prometa vrlo brzo i ako ne mogu držati korak, moraju ga ili odbaciti, uzrokujući probleme s performansama/stabilnošću, ili ga dopustiti, potencijalno propuštajući zlonamjernu aktivnost.

Uvježbavanje sustava temeljenog na anomalijama zahtijeva da mreža prije svega bude sigurna. Ako već postoji zlonamjerni softver koji komunicira na mreži, to će biti normalno uključeno u osnovnu liniju i zanemareno. Osim toga, osnovnu liniju može polagano proširiti zlonamjerni akter koji jednostavno uzima svoje vrijeme u pomicanju granica, rastežući ih umjesto da ih razbija. Konačno, IDS ne može sam analizirati šifrirani promet. Da bi to moglo učiniti, poduzeće bi moralo upravljati prometom s korporativnim korijenskim certifikatom (MitM). To je u prošlosti predstavljalo svoje rizike. Uz postotak modernog mrežnog prometa koji ostaje nekriptiran, to može donekle ograničiti korisnost NIDS-a. Vrijedno je napomenuti da čak i bez dešifriranja prometa,

Zaključak

IDS je sustav za otkrivanje upada. To je u osnovi proširena verzija antivirusnog proizvoda dizajniranog za korištenje u poslovnim mrežama i sadrži centralizirano izvješćivanje putem SIEM-a. Može raditi i na pojedinačnim uređajima i nadzirati opći mrežni promet u varijantama poznatim kao HIDS odnosno NIDS. IDS pati od vrlo visokih stopa lažno pozitivnih rezultata u nastojanju da se izbjegnu lažno negativni rezultati. Tipično, izvješća trijažira tim za ljudsku sigurnost. Neke radnje, kada je pouzdanost otkrivanja visoka, mogu biti automatizirane i zatim označene za pregled. Takav sustav je poznat kao IPS ili IDPS.


Kako klonirati tvrdi disk

Kako klonirati tvrdi disk

U modernom digitalnom dobu, gdje su podaci dragocjena imovina, kloniranje tvrdog diska u sustavu Windows za mnoge može biti ključan proces. Ovaj sveobuhvatni vodič

Kako popraviti upravljački program WUDFRd koji se nije učitao u sustavu Windows 10?

Kako popraviti upravljački program WUDFRd koji se nije učitao u sustavu Windows 10?

Jeste li suočeni s porukom o pogrešci tijekom pokretanja računala koja kaže da se upravljački program WUDFRd nije uspio učitati na vašem računalu?

Kako popraviti šifru pogreške NVIDIA GeForce Experience 0x0003

Kako popraviti šifru pogreške NVIDIA GeForce Experience 0x0003

Imate li NVIDIA GeForce iskustvo s kodom pogreške 0x0003 na radnoj površini? Ako da, pročitajte blog kako biste saznali kako brzo i jednostavno popraviti ovu pogrešku.

Što je SMPS?

Što je SMPS?

Naučite što je SMPS i značenje različitih ocjena učinkovitosti prije nego što odaberete SMPS za svoje računalo.

Zašto se moj Chromebook ne uključuje

Zašto se moj Chromebook ne uključuje

Pronađite odgovore na pitanje Zašto se moj Chromebook ne uključuje? U ovom korisnom vodiču za korisnike Chromebooka.

Kako Googleu prijaviti phishing prijevare

Kako Googleu prijaviti phishing prijevare

Pomoću ovog vodiča saznajte kako Googleu prijaviti prevaranta kako biste ga spriječili da vara druge.

Roomba staje, zapinje i okreće se – popravi

Roomba staje, zapinje i okreće se – popravi

Riješite problem u kojem vaš Roomba robot usisavač stane, zaglavi se i stalno se okreće.

Kako promijeniti grafičke postavke na Steam Decku

Kako promijeniti grafičke postavke na Steam Decku

Steam Deck nudi robusno i svestrano iskustvo igranja na dohvat ruke. Međutim, kako biste optimizirali svoje igranje i osigurali najbolje moguće

Što je sigurnost temeljena na izolaciji?

Što je sigurnost temeljena na izolaciji?

Namjeravali smo se zadubiti u temu koja postaje sve važnija u svijetu kibernetičke sigurnosti: sigurnost temeljena na izolaciji. Ovaj pristup prema

Kako koristiti Auto Clicker za Chromebook

Kako koristiti Auto Clicker za Chromebook

Danas smo namjeravali istražiti alat koji može automatizirati ponavljajuće zadatke klikanja na vašem Chromebooku: Auto Clicker. Ovaj vam alat može uštedjeti vrijeme i