Mi az az IDS?

Rengeteg rosszindulatú program lebeg az interneten. Szerencsére számos védelmi intézkedés létezik. Némelyikük, például a víruskereső termékek, úgy lettek kialakítva, hogy eszközönként működjenek, és ideálisak kis számú eszközzel rendelkező egyének számára. A víruskereső szoftver nagyvállalati hálózatokban is hasznos. Az egyik probléma azonban egyszerűen az eszközök száma, amelyeken aztán fut a vírusirtó szoftver, amely csak a gépről számol be. Egy vállalati hálózat valóban azt akarja, hogy a vírusvédelmi incidensekről szóló jelentések központosítva legyenek. Ami az otthoni felhasználók számára előny, az a vállalati hálózatok gyengesége.

Túllép a vírusirtón

A dolgok továbbviteléhez más megközelítésre van szükség. Ezt a megközelítést IDS-nek vagy behatolásérzékelő rendszernek nevezik. Az IDS-nek számos változata létezik, amelyek közül sok kiegészítheti egymást. Például egy IDS megbízhat egy eszköz vagy hálózati forgalom figyelésével. Az IDS-t figyelő eszközt HIDS-nek vagy Host(-alapú) behatolásészlelő rendszernek nevezik. A hálózatfigyelő IDS-t NIDS-nek vagy Network Intrusion Detection System-nek nevezik. A HIDS hasonló egy víruskereső csomaghoz, amely figyeli az eszközt, és jelentést készít egy központi rendszernek.

A NIDS-t általában a hálózat nagy forgalmú területén helyezik el. Ez gyakran egy maghálózaton/gerinc útválasztón, vagy a hálózat és annak internetkapcsolatának határán történik. A NIDS konfigurálható úgy, hogy beépített vagy csapos konfigurációban legyen. A beépített NIDS képes aktívan szűrni a forgalmat az észlelések alapján, mint IPS (erre később még visszatérünk), azonban egyetlen hibapontként működik. A csap konfiguráció alapvetően tükrözi az összes hálózati forgalmat a NIDS felé. Ezután képes ellátni felügyeleti funkcióit anélkül, hogy egyetlen hibapontként működne.

Monitoring módszerek

Az IDS általában számos észlelési módszert használ. A klasszikus megközelítés pontosan az, amit a víruskereső termékekben alkalmaznak; aláírás alapú észlelés. Ebben az IDS összehasonlítja a megfigyelt szoftvert vagy hálózati forgalmat az ismert rosszindulatú programok és a rosszindulatú hálózati forgalom aláírásainak hatalmas tömbjével. Ez egy jól ismert és általában meglehetősen hatékony módja az ismert fenyegetések leküzdésének. Az aláírás-alapú megfigyelés azonban nem egy golyó. Az aláírásokkal az a probléma, hogy először észlelnie kell a rosszindulatú programot, majd hozzáadnia kell az aláírást az összehasonlító listához. Ez használhatatlanná teszi az új támadások észlelésében, és sebezhetővé teszi a meglévő technikák variációival szemben.

Az IDS által az azonosításra használt fő alternatív módszer a rendellenes viselkedés. Az anomália-alapú észlelés a szokásos használat alapértékét veszi fel, majd jelentést készít a szokatlan tevékenységről. Ez egy hatékony eszköz lehet. Még rávilágíthat a potenciális szélhámos bennfentes fenyegetés kockázatára is. A fő probléma ezzel az, hogy minden rendszer alap viselkedéséhez kell hangolni, ami azt jelenti, hogy tanítani kell. Ez azt jelenti, hogy ha a rendszer már az IDS betanítása közben feltört, akkor a rosszindulatú tevékenységet nem fogja szokatlannak tekinteni.

Fejlődő terület a mesterséges neurális hálózatok használata az anomáliákon alapuló észlelési folyamat végrehajtására. Ez a mező ígéretesnek tűnik, de még mindig meglehetősen új, és valószínűleg hasonló kihívásokkal néz szembe, mint az anomália-alapú észlelés klasszikusabb változatai.

Központosítás: átok vagy áldás?

Az IDS egyik legfontosabb jellemzője a központosítás. Lehetővé teszi a hálózatbiztonsági csapat számára, hogy élő hálózati és eszközállapot-frissítéseket gyűjtsön. Ez sok információt tartalmaz, amelyek többsége „minden rendben van”. A hamis negatívok, azaz az elmulasztott rosszindulatú tevékenységek esélyének minimalizálása érdekében a legtöbb IDS rendszer nagyon „rángatós”-ra van beállítva. Még a legcsekélyebb jelét is jelentik annak, hogy valami elromlott. Ezt a jelentést gyakran egy embernek kell megvizsgálnia. Ha sok a hamis pozitív eredmény, a felelős csapat gyorsan túlterhelt lehet, és kiégéssel szembesülhet. Ennek elkerülése érdekében szűrőket lehet bevezetni az IDS érzékenységének csökkentésére, de ez növeli a hamis negatívok kockázatát. Ezenkívül

A rendszer központosítása gyakran egy összetett SIEM rendszer hozzáadásával is jár. A SIEM a biztonsági információs és eseménykezelő rendszer rövidítése. Általában egy sor gyűjtési ügynököt foglal magában a hálózat körül, amelyek jelentéseket gyűjtenek a közeli eszközökről. Ezek a begyűjtési ügynökök ezután visszatáplálják a jelentéseket a központi felügyeleti rendszerbe. A SIEM bevezetése növeli a hálózati fenyegetettséget. A biztonsági rendszerek gyakran meglehetősen jól védettek, de ez nem garancia, és ők maguk is ki vannak téve a rosszindulatú programok általi fertőzésnek, amelyek aztán megakadályozzák a bejelentést. Ez azonban mindig kockázatot jelent bármely biztonsági rendszer számára.

A válaszok automatizálása IPS-sel

Az IDS alapvetően egy figyelmeztető rendszer. Rosszindulatú tevékenységet keres, majd riasztásokat küld a megfigyelőcsapatnak. Ez azt jelenti, hogy az ember mindent átnéz, de ez a késések kockázatával jár, különösen egy felrobbanó tevékenység esetén. Például. Képzelje el, ha egy ransomware féregnek sikerül bejutnia a hálózatba. Eltarthat egy ideig, amíg az emberi ellenőrök jogosnak azonosítják az IDS-riasztást, amikorra a féreg tovább terjedhetett.

Az olyan IDS-t, amely automatizálja a nagy biztonságú riasztások kezelésének folyamatát, IPS-nek vagy IDPS-nek nevezik, ahol a „P” a „védelem” rövidítése. Az IPS automatizált lépéseket tesz a kockázat minimalizálása érdekében. Természetesen az IDS magas hamis pozitív aránya miatt nem akarja, hogy az IPS minden riasztásra reagáljon, csak azokra, amelyekről nagy biztonsággal tekintenek.

A HIDS-eken az IPS úgy működik, mint egy víruskereső szoftver karantén funkciója. Automatikusan zárolja a feltételezett rosszindulatú programokat, és figyelmezteti a biztonsági csapatot az incidens elemzésére. NIDS-en az IPS-nek beépítettnek kell lennie. Ez azt jelenti, hogy az összes forgalomnak az IPS-en keresztül kell futnia, így egyetlen hibapont lesz. Ellenkező esetben azonban aktívan eltávolíthatja vagy leállíthatja a gyanús hálózati forgalmat, és figyelmeztetheti a biztonsági csapatot, hogy vizsgálják felül az incidenst.

Az IPS fő ​​előnye a tiszta IDS-hez képest, hogy automatikusan képes reagálni számos fenyegetésre, sokkal gyorsabban, mint azt csak emberi ellenőrzéssel elérhetnénk. Ez lehetővé teszi, hogy megakadályozza az olyan dolgokat, mint például az adatkiszűrési események, ahelyett, hogy csak utólag azonosítaná, hogy az események megtörténtek.

Korlátozások

Az IDS-nek számos korlátozása van. Az aláírás-alapú észlelési funkció a naprakész aláírásokra támaszkodik, így kevésbé hatékony a potenciálisan veszélyesebb új rosszindulatú programok elfogásában. A hamis pozitív arány általában nagyon magas, és hosszú idő telhet el a jogos problémák között. Ez ahhoz vezethet, hogy a biztonsági csapat érzéketlenné válik, és elbizonytalanodik a riasztásokkal kapcsolatban. Ez az attitűd növeli annak kockázatát, hogy egy ritka igaz pozitívat hamis pozitívnak minősítenek.

A hálózati forgalomelemző eszközök általában szabványos könyvtárakat használnak a hálózati forgalom elemzésére. Ha a forgalom rosszindulatú, és a könyvtár hibáját használja ki, lehetséges, hogy magát az IDS-rendszert is megfertőzheti. A beépített NIDS-ek egyetlen hibapontként működnek. Nagyon gyorsan kell elemezniük a nagy mennyiségű forgalmat, és ha nem tudnak lépést tartani, vagy le kell ejteniük, ami teljesítmény-/stabilitási problémákat okoz, vagy át kell engedniük az esetlegesen hiányzó rosszindulatú tevékenységet.

Az anomáliákon alapuló rendszer betanításához elsősorban a hálózatnak biztonságosnak kell lennie. Ha már rosszindulatú program kommunikál a hálózaton, akkor ez a szokásos módon bekerül az alapvonalba, és figyelmen kívül hagyja. Ráadásul az alapvonalat lassan kibővítheti egy rosszindulatú szereplő, aki egyszerűen feszegeti a határokat, inkább feszegeti, semmint megszegi. Végül egy IDS önmagában nem tud titkosított forgalmat elemezni. Ahhoz, hogy ezt megtehesse, a vállalkozásnak vállalati gyökértanúsítvánnyal kell irányítania a forgalmat (MitM). Ennek a múltban megvoltak a maga kockázatai. Mivel a modern hálózati forgalom hány százaléka marad titkosítva, ez némileg korlátozhatja a NIDS hasznosságát. Érdemes megjegyezni, hogy a forgalom visszafejtése nélkül is

Következtetés

Az IDS egy behatolásérzékelő rendszer. Ez alapvetően egy víruskereső termék felnagyított változata, amelyet vállalati hálózatokban való használatra terveztek, és központosított jelentéseket tesznek lehetővé a SIEM-en keresztül. Működhet az egyes eszközökön és figyelheti az általános hálózati forgalmat a HIDS és NIDS néven ismert változatokban. Az IDS nagyon magas hamis pozitív aránytól szenved, hogy elkerülje a hamis negatívokat. A jelentéseket általában egy humánbiztonsági csapat kezeli. Egyes műveletek, amikor az észlelés megbízhatósága magas, automatizálható, majd megjelölhető ellenőrzésre. Az ilyen rendszert IPS-nek vagy IDPS-nek nevezik.