Kas ir IDS?

Internetā ir daudz ļaunprātīgas programmatūras. Par laimi, ir pieejami daudzi aizsardzības pasākumi. Daži no tiem, piemēram, pretvīrusu produkti, ir paredzēti darbināšanai katrā ierīcē un ir ideāli piemēroti personām ar nelielu ierīču skaitu. Pretvīrusu programmatūra ir noderīga arī lielu uzņēmumu tīklos. Tomēr viena no problēmām ir vienkārši to ierīču skaits, kurās pēc tam darbojas pretvīrusu programmatūra, kas ziņo tikai par ierīci. Uzņēmuma tīkls patiešām vēlas, lai ziņojumi par pretvīrusu incidentiem tiktu centralizēti. Mājas lietotāju priekšrocība ir uzņēmuma tīklu vājums.

Pārsniedzot antivīrusu

Lai lietas virzītos tālāk, ir nepieciešama cita pieeja. Šo pieeju sauc par IDS vai ielaušanās noteikšanas sistēmu. Ir daudz dažādu IDS variantu, no kuriem daudzi var papildināt viens otru. Piemēram, IDS var uzdot uzraudzīt ierīces vai tīkla trafiku. Ierīces uzraudzības IDS sauc par HIDS vai uz resursdatora balstītu ielaušanās noteikšanas sistēmu. Tīkla uzraudzības IDS ir pazīstams kā NIDS vai tīkla ielaušanās noteikšanas sistēma. HIDS ir līdzīgs pretvīrusu komplektam, kas uzrauga ierīci un ziņo centralizētai sistēmai.

NIDS parasti tiek novietots tīkla intensīvas satiksmes zonā. Bieži vien tas notiek vai nu pamattīklā/mugurkaula maršrutētājā, vai arī pie tīkla robežas un tā savienojuma ar internetu. NIDS var konfigurēt tā, lai tas būtu iekļauts vai pieskāriena konfigurācijā. Iekļauts NIDS var aktīvi filtrēt trafiku, pamatojoties uz konstatējumiem kā IPS (pie šī aspekta mēs atgriezīsimies vēlāk), tomēr tas darbojas kā viens kļūmes punkts. Pieskāriena konfigurācija būtībā atspoguļo visu tīkla trafiku uz NIDS. Pēc tam tas var veikt savas uzraudzības funkcijas, nedarbojoties kā viens atteices punkts.

Uzraudzības metodes

IDS parasti izmanto dažādas noteikšanas metodes. Klasiskā pieeja ir tieši tā, ko izmanto pretvīrusu produktos; uz parakstu balstīta noteikšana. Šajā gadījumā IDS salīdzina novēroto programmatūru vai tīkla trafiku ar milzīgu zināmas ļaunprātīgas programmatūras un ļaunprātīgas tīkla trafika parakstu klāstu. Tas ir labi zināms un kopumā diezgan efektīvs veids, kā cīnīties pret zināmiem draudiem. Tomēr uz parakstiem balstīta uzraudzība nav sudraba lode. Parakstu problēma ir tāda, ka vispirms ir jāatklāj ļaunprātīgā programmatūra, lai pēc tam pievienotu tās parakstu salīdzināšanas sarakstam. Tas padara to bezjēdzīgu jaunu uzbrukumu atklāšanā un neaizsargātu pret esošo paņēmienu variācijām.

Galvenā alternatīvā metode, ko IDS izmanto identifikācijai, ir anomāla uzvedība. Uz anomālijām balstītā noteikšanas pamatā ir standarta lietojums, un pēc tam tiek ziņots par neparastām darbībām. Tas var būt spēcīgs instruments. Tas pat var izcelt risku, ko rada potenciāli negodīgi iekšējās informācijas draudi. Galvenā problēma ar to ir tāda, ka tā ir jāpielāgo katras sistēmas pamata uzvedībai, kas nozīmē, ka tā ir jāapmāca. Tas nozīmē, ka, ja sistēma jau ir apdraudēta, kamēr IDS tiek apmācīts, tā neuzskatīs ļaunprātīgu darbību kā neparastu.

Jaunattīstības joma ir mākslīgo neironu tīklu izmantošana, lai veiktu anomāliju noteikšanas procesu. Šis lauks ir daudzsološs, taču tas joprojām ir diezgan jauns un, iespējams, saskaras ar līdzīgām problēmām kā klasiskākajām anomāliju noteikšanas versijām.

Centralizācija: lāsts vai svētība?

Viena no galvenajām IDS iezīmēm ir centralizācija. Tas ļauj tīkla drošības komandai apkopot tiešsaistes tīkla un ierīces statusa atjauninājumus. Tas ietver daudz informācijas, no kurām lielākā daļa ir “viss ir kārtībā”. Lai samazinātu viltus negatīvu, ti, nepamanītu ļaunprātīgu darbību iespējamību, lielākā daļa IDS sistēmu ir konfigurētas tā, lai tās būtu ļoti “raustītas”. Tiek ziņots pat par mazāko mājienu, ka kaut kas nav kārtībā. Bieži vien šis ziņojums ir jāizvērtē cilvēkam. Ja ir daudz viltus pozitīvu rezultātu, atbildīgā komanda var ātri tikt satriekta un saskarties ar izdegšanu. Lai no tā izvairītos, var tikt ieviesti filtri, lai samazinātu IDS jutīgumu, taču tas palielina viltus negatīvu rezultātu risku. Turklāt

Sistēmas centralizācija bieži ietver arī sarežģītas SIEM sistēmas pievienošanu. SIEM apzīmē drošības informācijas un notikumu pārvaldības sistēmu. Tas parasti ietver virkni savākšanas aģentu visā tīklā, apkopojot ziņojumus no tuvumā esošajām ierīcēm. Šie savākšanas aģenti pēc tam nodod ziņojumus atpakaļ centrālajai pārvaldības sistēmai. SIEM ieviešana palielina tīkla draudu virsmu. Drošības sistēmas bieži ir diezgan labi aizsargātas, taču tas negarantē, un tās pašas var būt neaizsargātas pret ļaunprātīgu programmatūru, kas pēc tam neļauj par tām ziņot. Tomēr tas vienmēr ir risks jebkurai drošības sistēmai.

Atbilžu automatizācija, izmantojot IPS

IDS būtībā ir brīdinājuma sistēma. Tas meklē ļaunprātīgu darbību un pēc tam izsūta brīdinājumus uzraudzības komandai. Tas nozīmē, ka visu pārrauga cilvēks, taču pastāv aizkavēšanās risks, īpaši aktivitāšu uzliesmojuma gadījumā. Piemēram. Iedomājieties, ja tīklā izdodas iekļūt izspiedējvīrusu tārpam. Var paiet zināms laiks, līdz pārbaudītāji identificēs IDS brīdinājumu kā likumīgu, līdz kuram brīdim tārps varētu būt izplatījies tālāk.

IDS, kas automatizē augstas noteiktības brīdinājumu darbības procesu, tiek saukts par IPS vai IDPS ar “P” apzīmē “aizsardzība”. IPS veic automatizētas darbības, lai mēģinātu samazināt risku. Protams, ar augsto viltus pozitīvo IDS līmeni jūs nevēlaties, lai IPS iedarbotos uz katru brīdinājumu, tikai uz tiem, kuriem tiek uzskatīts, ka ir liela noteiktība.

HIDS sistēmā IPS darbojas kā pretvīrusu programmatūras karantīnas funkcija. Tas automātiski bloķē aizdomīgo ļaunprātīgo programmatūru un brīdina drošības komandu, lai tā analizētu incidentu. NIDS sistēmā IPS ir jābūt iekļautai. Tas nozīmē, ka visai satiksmei ir jāvada caur IPS, padarot to par vienu atteices punktu. Tomēr tas var aktīvi noņemt vai atmest aizdomīgu tīkla trafiku un brīdināt drošības komandu, lai tā pārskatītu incidentu.

Galvenā IPS priekšrocība salīdzinājumā ar tīru IDS ir tā, ka tā var automātiski reaģēt uz daudziem apdraudējumiem daudz ātrāk, nekā to varētu panākt, tikai pārbaudot cilvēkus. Tas ļauj novērst tādas lietas kā datu izfiltrēšanas notikumi, kad tie notiek, nevis tikai identificēt, ka tas ir noticis pēc fakta.

Ierobežojumi

IDS ir vairāki ierobežojumi. Uz parakstiem balstītā noteikšanas funkcionalitāte ir atkarīga no atjauninātiem parakstiem, padarot to mazāk efektīvu potenciāli bīstamākas jaunas ļaunprātīgas programmatūras uztveršanā. Viltus pozitīvais rādītājs parasti ir patiešām augsts, un starp likumīgām problēmām var būt ilgs laika periods. Tas var novest pie tā, ka drošības komanda kļūst desensibilizēta un apšaubāma par trauksmes signāliem. Šāda attieksme palielina risku, ka viņi nepareizi klasificē retu patiesi pozitīvu kā viltus pozit��vu.

Tīkla trafika analīzes rīki parasti izmanto standarta bibliotēkas, lai analizētu tīkla trafiku. Ja trafika ir ļaunprātīga un izmanto kļūdu bibliotēkā, iespējams, ir iespējams inficēt pašu IDS sistēmu. Iekļautie NIDS darbojas kā atsevišķi atteices punkti. Viņiem ļoti ātri jāanalizē liels datplūsmas apjoms, un, ja viņi nevar sekot līdzi, viņiem tas ir vai nu jāatmet, radot veiktspējas/stabilitātes problēmas, vai arī jāļauj tai cauri, iespējams, trūkst ļaunprātīgas darbības.

Lai apmācītu uz anomālijām balstītu sistēmu, vispirms tīklam ir jābūt drošam. Ja tīklā jau sazinās ļaunprātīga programmatūra, tā kā parasti tiks iekļauta bāzes līnijā un ignorēta. Turklāt pamatlīniju var lēnām paplašināt, ja ļaunprātīgs aktieris vienkārši velta laiku, pārkāpjot robežas, pagarinot tās, nevis pārkāpjot tās. Visbeidzot, IDS viens pats nevar analizēt šifrēto trafiku. Lai to varētu izdarīt, uzņēmumam ir nepieciešams datplūsma Man in the Middle (MitM) ar korporatīvās saknes sertifikātu. Tas agrāk ir radījis savus riskus. Tā kā mūsdienu tīkla trafika procentuālā daļa paliek nešifrēta, tas var nedaudz ierobežot NIDS lietderību. Ir vērts atzīmēt, ka pat bez trafika atšifrēšanas,

Secinājums

IDS ir ielaušanās noteikšanas sistēma. Būtībā tā ir palielināta pretvīrusu produkta versija, kas paredzēta lietošanai uzņēmumu tīklos un nodrošina centralizētu ziņošanu, izmantojot SIEM. Tas var darboties gan atsevišķās ierīcēs, gan pārraudzīt vispārējo tīkla trafiku variantos, kas attiecīgi pazīstami kā HIDS un NIDS. IDS cieš no ļoti augstiem viltus pozitīvu rezultātu rādītājiem, cenšoties izvairīties no viltus negatīviem. Parasti ziņojumus izskata cilvēku drošības komanda. Dažas darbības, ja noteikšanas ticamība ir augsta, var tikt automatizētas un pēc tam atzīmētas pārskatīšanai. Šāda sistēma ir pazīstama kā IPS vai IDPS.