Hvað er IDS?

Það er fullt af spilliforritum sem fljóta um þarna úti á netinu. Sem betur fer eru margar verndarráðstafanir í boði. Sum þeirra, eins og vírusvarnarvörur, eru hannaðar til að keyra á hverju tæki og eru tilvalin fyrir einstaklinga með fáan fjölda tækja. Vírusvarnarhugbúnaður er einnig gagnlegur í stórum fyrirtækjanetum. Eitt af vandamálunum þar er hins vegar einfaldlega fjöldi tækja sem eru þá með vírusvarnarhugbúnað í gangi sem tilkynnir aðeins á vélinni. Fyrirtækjanet vill virkilega að tilkynningar um vírusvarnaratvik séu miðlægar. Það sem er kostur fyrir heimanotendur er veikleiki fyrir fyrirtækjanet.

Að fara lengra en vírusvörn

Til að taka hlutina lengra þarf aðra nálgun. Þessi aðferð er kölluð IDS eða Intrusion Detection System. Það eru mörg mismunandi afbrigði af IDS, sem mörg hver geta bætt hvert annað upp. Til dæmis getur IDS verið falið að fylgjast með tæki eða netumferð. Tæki sem fylgist með IDS er vísað til sem HIDS eða Host(-based) Intrusion Detection System. Netvöktunar IDS er þekkt sem NIDS eða Network Intrusion Detection System. HIDS er svipað og vírusvarnarsvíta, sem fylgist með tæki og tilkynnir aftur til miðstýrðs kerfis.

NIDS er almennt sett á svæði með mikilli umferð á netinu. Oft er þetta annað hvort á kjarnaneti/grunnbeini eða á mörkum netsins og tengingu þess við internetið. Hægt er að stilla NIDS þannig að hún sé innbyggð eða í kranastillingu. Innbyggð NIDS getur virkan síað umferð byggt á uppgötvunum sem IPS (hlið sem við munum koma aftur að síðar), hins vegar virkar það sem einn bilunarpunktur. Tappastilling endurspeglar í grundvallaratriðum alla netumferð til NIDS. Það getur síðan framkvæmt eftirlitsaðgerðir sínar án þess að virka sem einn bilunarpunktur.

Eftirlitsaðferðir

IDS notar venjulega ýmsar uppgötvunaraðferðir. Klassíska nálgunin er nákvæmlega það sem er notað í vírusvarnarvörum; uppgötvun sem byggir á undirskriftum. Í þessu ber IDS saman hugbúnaðinn eða netumferð sem sést við mikið úrval af undirskriftum þekktra spilliforrita og skaðlegra netumferðar. Þetta er vel þekkt og almennt nokkuð áhrifarík leið til að vinna gegn þekktum ógnum. Vöktun sem byggir á undirskriftum er hins vegar ekki silfurkúla. Vandamálið með undirskriftir er að þú þarft fyrst að greina spilliforritið til að bæta síðan undirskriftinni við samanburðarlistann. Þetta gerir það gagnslaust við að greina nýjar árásir og viðkvæmt fyrir breytingum á núverandi tækni.

Helsta valaðferðin sem IDS notar til að bera kennsl á er afbrigðileg hegðun. Greining sem byggir á frávikum tekur grunnlínu af staðlaðri notkun og tilkynnir síðan um óvenjulega virkni. Þetta getur verið öflugt tæki. Það getur jafnvel varpa ljósi á áhættu af mögulegri fantur innherjaógn. Aðalatriðið við þetta er að það þarf að stilla það að grunnhegðun hvers kerfis sem þýðir að það verður að vera þjálfað. Þetta þýðir að ef kerfið er þegar í hættu á meðan IDS er þjálfað, mun það ekki líta á illgjarn virkni sem óvenjuleg.

Þróunarsvið er notkun gervi tauganeta til að framkvæma greiningarferlið sem byggir á frávikum. Þetta svið lofar góðu en er enn frekar nýtt og stendur líklega frammi fyrir svipuðum áskorunum og klassískari útgáfur af fráviksuppgötvunum.

Miðstýring: Bölvun eða blessun?

Eitt af lykileinkennum IDS er miðstýring. Það gerir netöryggisteymi kleift að safna uppfærslum á netkerfi og tækjastöðu í beinni. Þetta felur í sér mikið af upplýsingum, sem flestar eru „allt er í lagi“. Til að lágmarka líkurnar á fölskum neikvæðum, þ.e. illgjarnri virkni sem gleymist, eru flest IDS kerfi stillt til að vera mjög „twitchy“. Jafnvel minnstu vísbending um að eitthvað sé óvirkt er tilkynnt. Oft verður þessi skýrsla síðan að vera prófuð af manni. Ef það eru margar rangar jákvæðar, getur ábyrgt teymi orðið fljótt gagntekið og orðið fyrir kulnun. Til að forðast þetta má setja síur til að draga úr næmni IDS, en það eykur hættuna á fölskum neikvæðum. Að auki,

Miðstýring kerfisins felur einnig oft í sér að bæta við flóknu SIEM kerfi. SIEM stendur fyrir öryggisupplýsinga- og viðburðastjórnunarkerfi. Það felur venjulega í sér fjölda innheimtuaðila um netið sem safnar skýrslum frá nálægum tækjum. Þessir innheimtuaðilar senda síðan skýrslurnar aftur í miðlæga stjórnunarkerfið. Innleiðing SIEM eykur ógnaryfirborð netkerfisins. Öryggiskerfi eru oft nokkuð vel tryggð, en það er ekki trygging og þau geta sjálf verið viðkvæm fyrir sýkingu af spilliforritum sem síðan kemur í veg fyrir að tilkynnt sé um sjálfan sig. Þetta er hins vegar alltaf áhætta fyrir hvaða öryggiskerfi sem er.

Sjálfvirk svörun með IPS

IDS er í grundvallaratriðum viðvörunarkerfi. Það leitar að illgjarnri virkni og sendir síðan viðvörun til eftirlitsteymis. Þetta þýðir að allt er yfirfarið af manni en þetta er í hættu á töfum, sérstaklega ef um er að ræða virkni. Til dæmis. Ímyndaðu þér ef lausnarhugbúnaðarormur nær að komast inn á netið. Það gæti tekið nokkurn tíma fyrir mannlega gagnrýnendur að bera kennsl á IDS viðvörun sem lögmæta en þá gæti ormurinn verið búinn að dreifa sér frekar.

IDS sem gerir sjálfvirkan ferlið við að bregðast við viðvörunum með mikilli vissu er kallað IPS eða IDPS þar sem „P“ stendur fyrir „Protection“. IPS grípur til sjálfvirkra aðgerða til að reyna að lágmarka áhættuna. Auðvitað, með háu fölsku jákvæðu hlutfalli IDS, vilt þú ekki að IPS bregðist við hverri viðvörun, aðeins þeim sem eru taldar hafa mikla vissu.

Á HIDS virkar IPS eins og vírusvarnarforrit í sóttkví. Það læsir sjálfkrafa meintum spilliforritum og gerir öryggisteyminu viðvart um að greina atvikið. Á NIDS verður IPS að vera innbyggður. Þetta þýðir að öll umferð þarf að keyra í gegnum IPS, sem gerir það að einum bilunarpunkti. Hins vegar getur það virkan fjarlægt eða sleppt grunsamlegri netumferð og gert öryggisteyminu viðvart um að fara yfir atvikið.

Helsti kosturinn við IPS umfram hreinan IDS er að hann getur sjálfkrafa brugðist við mörgum ógnum miklu hraðar en hægt væri að ná með aðeins mannlegri endurskoðun. Þetta gerir það kleift að koma í veg fyrir hluti eins og gagnasíunaratburði þegar þeir gerast frekar en að bera kennsl á að það hafi gerst í kjölfarið.

Takmarkanir

IDS hefur nokkrar takmarkanir. Uppgötvunaraðgerðin sem byggir á undirskriftum er háð uppfærðum undirskriftum, sem gerir það minna árangursríkt við að ná hugsanlega hættulegri skáldsögu spilliforritum. Hið falska jákvæða hlutfall er almennt mjög hátt og það getur liðið langur tími á milli lögmætra mála. Þetta getur leitt til þess að öryggisteymið verði næmt og blasað við viðvörun. Þetta viðhorf eykur hættuna á að þeir ranglega flokka sjaldgæft satt jákvætt sem rangt jákvætt.

Netumferðargreiningartæki nota venjulega venjuleg bókasöfn til að greina netumferðina. Ef umferðin er illgjarn og nýtir galla í bókasafninu gæti verið hægt að smita IDS kerfið sjálft. Innbyggð NIDS virkar sem stakir bilunarpunktar. Þeir þurfa að greina mikið magn af umferð mjög fljótt og ef þeir geta ekki fylgst með verða þeir annað hvort að sleppa því, sem veldur afköstum/stöðugleikavandamálum, eða hleypa henni í gegn, hugsanlega vantar skaðsemi.

Þjálfun á kerfi sem byggir á frávikum krefst þess að netið sé öruggt í fyrsta lagi. Ef það er þegar spilliforrit í samskiptum á netinu verður þetta innifalið eins og venjulega í grunnlínunni og hunsað. Auk þess er hægt að stækka grunnlínuna hægt og rólega með því að illgjarn leikari tekur sér einfaldlega tíma í að ýta á mörkin, teygja þau frekar en að brjóta þau. Að lokum, IDS getur ekki á eigin spýtur greint dulkóðaða umferð. Til að geta gert þetta þyrfti fyrirtækið að Man in the Middle (MitM) umferðina með rótarvottorð fyrirtækisins. Þetta hefur áður leitt til eigin áhættu. Með hlutfalli nútíma netumferðar sem er enn ódulkóðuð getur þetta takmarkað nokkuð gagnsemi NIDS. Það er athyglisvert að jafnvel án þess að afkóða umferðina,

Niðurstaða

IDS er innbrotsgreiningarkerfi. Það er í grundvallaratriðum stækkuð útgáfa af vírusvarnarvöru sem er hönnuð til notkunar í fyrirtækjanetum og býður upp á miðlæga skýrslugerð í gegnum SIEM. Það getur starfað bæði á einstökum tækjum og fylgst með almennri netumferð í afbrigðum sem kallast HIDS og NIDS í sömu röð. IDS þjáist af mjög háum fölskum jákvæðum hlutföllum í viðleitni til að forðast falskar neikvæðar. Venjulega eru skýrslur teknar fyrir af öryggisteymi manna. Sumar aðgerðir, þegar greiningaröryggi er mikið, gætu verið sjálfvirkar og síðan merktar til skoðunar. Slíkt kerfi er þekkt sem IPS eða IDPS.