Kas yra IDS?

Internete sklando daugybė kenkėjiškų programų. Laimei, yra daug apsaugos priemonių. Kai kurie iš jų, pvz., antivirusiniai produktai, skirti veikti kiekvienam įrenginiui ir idealiai tinka asmenims, turintiems nedaug įrenginių. Antivirusinė programinė įranga taip pat naudinga didelių įmonių tinkluose. Tačiau viena iš problemų yra tiesiog įrenginių, kuriuose veikia antivirusinė programinė įranga, kuri praneša tik apie įrenginį, skaičius. Įmonės tinklas tikrai nori, kad ataskaitos apie antivirusinius incidentus būtų centralizuotos. Namų naudotojų pranašumas yra įmonių tinklų trūkumas.

Peržengia antivirusinę

Kad viskas vyktų toliau, reikia kitokio požiūrio. Šis metodas vadinamas IDS arba įsibrovimo aptikimo sistema. Yra daug skirtingų IDS variantų, kurių daugelis gali papildyti vienas kitą. Pavyzdžiui, IDS gali būti pavesta stebėti įrenginio arba tinklo srautą. Įrenginys, stebintis IDS, vadinamas HIDS arba pagrindine (pagrįsta) įsibrovimo aptikimo sistema. Tinklo stebėjimo IDS yra žinomas kaip NIDS arba tinklo įsilaužimo aptikimo sistema. HIDS yra panašus į antivirusinį paketą, stebi įrenginį ir teikia ataskaitas centralizuotai sistemai.

NIDS paprastai yra didelio srauto tinklo srityje. Dažnai tai bus pagrindiniame tinkle / pagrindiniame maršrutizatoriuje arba tinklo ir jo prijungimo prie interneto ribose. NIDS gali būti sukonfigūruotas taip, kad jis būtų tiesioginis arba čiaupo konfigūracija. Vidinis NIDS gali aktyviai filtruoti srautą, remdamasis aptikimais, kaip IPS (prie šio aspekto grįšime vėliau), tačiau jis veikia kaip vienas gedimo taškas. Bakstelėjimo konfigūracija iš esmės atspindi visą tinklo srautą į NIDS. Tada jis gali atlikti savo stebėjimo funkcijas, neveikdamas kaip vienas gedimo taškas.

Stebėjimo metodai

IDS paprastai naudoja įvairius aptikimo metodus. Klasikinis požiūris yra būtent tai, kas naudojama antivirusiniuose produktuose; parašu pagrįstas aptikimas. Šiuo atveju IDS palygina stebimą programinę įrangą arba tinklo srautą su didžiuliu žinomų kenkėjiškų programų ir kenkėjiško tinklo srauto parašų masyvu. Tai gerai žinomas ir paprastai gana veiksmingas būdas kovoti su žinomomis grėsmėmis. Tačiau parašu pagrįstas stebėjimas nėra sidabrinė kulka. Parašų problema yra ta, kad pirmiausia turite aptikti kenkėjišką programą, kad vėliau pridėtumėte jos parašą į palyginimo sąrašą. Dėl to jis nenaudingas aptinkant naujas atakas ir pažeidžiamas esamų metodų variacijų.

Pagrindinis alternatyvus IDS identifikavimo metodas yra anomali elgsena. Anomalijomis pagrįstas aptikimas imamas standartinio naudojimo pradiniu tašku ir tada praneša apie neįprastą veiklą. Tai gali būti galingas įrankis. Tai netgi gali pabrėžti riziką, kylančią dėl galimos nesąžiningos viešai neatskleistos grėsmės. Pagrindinė problema yra ta, kad ji turi būti suderinta su kiekvienos sistemos pradiniu elgesiu, o tai reiškia, kad ji turi būti apmokyta. Tai reiškia, kad jei sistema jau buvo pažeista, kol IDS mokomas, kenkėjiška veikla nebus neįprasta.

Besivystanti sritis yra dirbtinių neuroninių tinklų naudojimas anomalijų aptikimo procesui atlikti. Šis laukas yra daug žadantis, bet vis dar gana naujas ir greičiausiai susiduria su panašiais iššūkiais kaip klasikinės anomalijomis pagrįsto aptikimo versijos.

Centralizavimas: prakeiksmas ar palaima?

Viena iš pagrindinių IDS savybių yra centralizavimas. Tai leidžia tinklo saugos komandai rinkti tiesioginius tinklo ir įrenginio būsenos naujinius. Tai apima daug informacijos, kurios dauguma yra „viskas gerai“. Siekiant sumažinti klaidingų negatyvų, ty praleistos kenkėjiškos veiklos, tikimybę, dauguma IDS sistemų yra sukonfigūruotos taip, kad jos būtų labai „trūkčiojančios“. Pranešama net apie menkiausią užuominą, kad kažkas neveikia. Dažnai šią ataskaitą tada turi patikrinti žmogus. Jei yra daug klaidingų teigiamų rezultatų, atsakinga komanda gali būti greitai priblokšta ir susidurs su perdegimu. Siekiant to išvengti, gali būti įvesti filtrai, mažinantys IDS jautrumą, tačiau tai padidina klaidingų neigiamų rezultatų riziką. Be to,

Sistemos centralizavimas taip pat dažnai apima sudėtingos SIEM sistemos pridėjimą. SIEM reiškia saugumo informacijos ir įvykių valdymo sistemą. Paprastai tai apima daugybę surinkimo agentų visame tinkle, renkančių ataskaitas iš netoliese esančių įrenginių. Tada šie surinkimo agentai grąžina ataskaitas į centrinę valdymo sistemą. SIEM įdiegimas padidina tinklo grėsmės paviršių. Apsaugos sistemos dažnai yra pakankamai gerai apsaugotos, tačiau tai negarantuoja, be to, jos pačios gali būti pažeidžiamos kenkėjiškų programų, kurios neleidžia apie save pranešti. Tačiau tai visada yra rizika bet kuriai apsaugos sistemai.

Automatizuoti atsakymus naudojant IPS

IDS iš esmės yra įspėjimo sistema. Ji ieško kenkėjiškos veiklos ir siunčia įspėjimus stebėjimo komandai. Tai reiškia, kad viską apžiūri žmogus, tačiau dėl to kyla vėlavimo rizika, ypač aktyvumo pliūpsnio atveju. Pavyzdžiui. Įsivaizduokite, jei išpirkos reikalaujančiam kirminui pavyksta patekti į tinklą. Gali praeiti šiek tiek laiko, kol tikrintojai nustatys IDS perspėjimą kaip teisėtą, o iki to kirminas galėjo išplisti toliau.

IDS, automatizuojantis didelio tikrumo įspėjimų veikimo procesą, vadinamas IPS arba IDPS, o raidė „P“ reiškia „apsauga“. IPS imasi automatinių veiksmų, kad sumažintų riziką. Žinoma, dėl didelio klaidingų teigiamų IDS rodiklių nenorite, kad IPS veiktų kiekvieną perspėjimą, tik tuos, kurie laikomi labai patikimais.

HIDS sistemoje IPS veikia kaip antivirusinės programinės įrangos karantino funkcija. Jis automatiškai užrakina įtariamą kenkėjišką programą ir įspėja saugos komandą, kad ji analizuotų incidentą. NIDS sistemoje IPS turi būti įterptas. Tai reiškia, kad visas srautas turi vykti per IPS, todėl tai yra vienas gedimo taškas. Tačiau, priešingai, jis gali aktyviai pašalinti arba nutraukti įtartiną tinklo srautą ir įspėti saugos komandą, kad ji peržiūrėtų incidentą.

Pagrindinis IPS pranašumas, palyginti su gryna IDS, yra tas, kad jis gali automatiškai reaguoti į daugelį grėsmių daug greičiau, nei būtų galima pasiekti atlikus tik žmogaus peržiūrą. Tai leidžia užkirsti kelią tokiems dalykams kaip duomenų išfiltravimo įvykiai, o ne tik nustatyti, kad tai įvyko vėliau.

Apribojimai

IDS turi keletą apribojimų. Parašais pagrįsta aptikimo funkcija priklauso nuo naujausių parašų, todėl ji yra mažiau efektyvi užfiksuojant potencialiai pavojingesnes naujas kenkėjiškas programas. Klaidingai teigiamų rezultatų rodiklis paprastai yra tikrai didelis ir gali praeiti daug laiko tarpų tarp pagrįstų problemų. Dėl to apsaugos komanda gali tapti nejautri ir blaškytis dėl signalizacijos. Toks požiūris padidina riziką, kad jie neteisingai priskiria retą tikrą teigiamą dalyką kaip klaidingą teigiamą.

Tinklo srauto analizės įrankiai paprastai naudoja standartines bibliotekas tinklo srautui analizuoti. Jei srautas yra kenkėjiškas ir išnaudoja bibliotekos trūkumą, gali būti įmanoma užkrėsti pačią IDS sistemą. Inline NIDS veikia kaip atskiri gedimo taškai. Jie turi labai greitai išanalizuoti didelį srautą ir, jei jie negali neatsilikti, turi jį atsisakyti, sukeldami našumo / stabilumo problemų, arba leisti jį peržengti, galbūt praleisdami kenkėjišką veiklą.

Mokant anomalijomis pagrįstą sistemą, tinklas pirmiausia turi būti saugus. Jei tinkle jau yra kenkėjiškų programų, ji kaip įprasta bus įtraukta į bazinę liniją ir nepaisoma. Be to, pradinę liniją gali lėtai išplėsti piktybinis veikėjas, tiesiog neskubėdamas peržengti ribų, jas ištempdamas, o ne laužydamas. Galiausiai, IDS negali savarankiškai analizuoti šifruoto srauto. Kad galėtų tai padaryti, įmonė turėtų nukreipti srautą į vidurį (MitM) su įmonės šakniniu sertifikatu. Tai praeityje sukėlė savo pavojų. Kadangi šiuolaikinio tinklo srauto procentas lieka nešifruotas, tai gali šiek tiek apriboti NIDS naudingumą. Verta paminėti, kad net neiššifravus srauto,

Išvada

IDS yra įsibrovimo aptikimo sistema. Iš esmės tai yra padidinta antivirusinio produkto versija, skirta naudoti įmonių tinkluose ir apimanti centralizuotą ataskaitų teikimą per SIEM. Jis gali veikti tiek atskiruose įrenginiuose, tiek stebėti bendrą tinklo srautą, atitinkamai žinomas kaip HIDS ir NIDS. IDS kenčia nuo labai didelių klaidingų teigiamų rezultatų, kad būtų išvengta klaidingų neigiamų rezultatų. Paprastai ataskaitas tikrina žmonių saugos komanda. Kai kurie veiksmai, kai aptikimo patikimumas yra didelis, gali būti automatizuoti ir pažymėti peržiūrėti. Tokia sistema žinoma kaip IPS arba IDPS.