Hva er en IDS?

Det er mye skadelig programvare som flyter rundt der ute på Internett. Heldigvis er det mange beskyttelsestiltak tilgjengelig. Noen av dem, for eksempel antivirusprodukter, er designet for å kjøres per enhet og er ideelle for personer med et lite antall enheter. Antivirusprogramvare er også nyttig i store bedriftsnettverk. Et av problemene der er imidlertid ganske enkelt antallet enheter som da kjører antivirusprogramvare som bare rapporterer på maskinen. Et bedriftsnettverk ønsker virkelig at rapporter om antivirushendelser skal sentraliseres. Det som er en fordel for hjemmebrukere er en svakhet for bedriftsnettverk.

Går lenger enn antivirus

For å ta ting videre er det nødvendig med en annen tilnærming. Denne tilnærmingen blir referert til som et IDS- eller inntrengningsdeteksjonssystem. Det finnes mange forskjellige varianter av IDS, hvorav mange kan utfylle hverandre. For eksempel kan en IDS få i oppgave å overvåke en enhet eller nettverkstrafikk. En enhet som overvåker IDS blir referert til som HIDS eller Host(-basert) Intrusion Detection System. En nettverksovervåkings-IDS er kjent som et NIDS eller Network Intrusion Detection System. En HIDS ligner på en antiviruspakke, som overvåker en enhet og rapporterer tilbake til et sentralisert system.

En NIDS er vanligvis plassert i et høyt trafikkert område av nettverket. Ofte vil dette være enten på et kjernenettverk/ryggradsruter eller ved grensen til nettverket og dets tilkobling til Internett. En NIDS kan konfigureres til å være inline eller i en trykkkonfigurasjon. En innebygd NIDS kan aktivt filtrere trafikk basert på deteksjoner som en IPS (en fasett vi kommer tilbake til senere), men den fungerer som et enkelt feilpunkt. En trykkkonfigurasjon speiler i utgangspunktet all nettverkstrafikk til NIDS. Den kan deretter utføre sine overvåkingsfunksjoner uten å fungere som et enkelt feilpunkt.

Overvåkingsmetoder

En IDS bruker vanligvis en rekke deteksjonsmetoder. Den klassiske tilnærmingen er akkurat det som brukes i antivirusprodukter; signaturbasert deteksjon. I dette sammenligner IDS den observerte programvaren eller nettverkstrafikken med et stort utvalg av signaturer av kjent skadelig programvare og ondsinnet nettverkstrafikk. Dette er en velkjent og generelt ganske effektiv måte å motvirke kjente trusler på. Signaturbasert overvåking er imidlertid ikke en sølvkule. Problemet med signaturer er at du først må oppdage skadelig programvare for deretter å legge til signaturen til sammenligningslisten. Dette gjør den ubrukelig til å oppdage nye angrep og sårbar for variasjoner av eksisterende teknikker.

Den viktigste alternative metoden en IDS bruker for identifikasjon er unormal oppførsel. Anomalibasert gjenkjenning tar en basislinje for standardbruk og rapporterer deretter om uvanlig aktivitet. Dette kan være et kraftig verktøy. Det kan til og med fremheve en risiko fra en potensiell falsk innsidetrussel. Hovedproblemet med dette er at det må innstilles til grunnlinjeoppførselen til hvert system, noe som betyr at det må trenes. Dette betyr at hvis systemet allerede er kompromittert mens IDS trenes, vil det ikke se den ondsinnede aktiviteten som uvanlig.

Et felt i utvikling er bruken av kunstige nevrale nettverk for å utføre den anomalibaserte deteksjonsprosessen. Dette feltet viser lovende, men er fortsatt ganske nytt og står sannsynligvis overfor lignende utfordringer som de mer klassiske versjonene av anomalibasert deteksjon.

Sentralisering: En forbannelse eller en velsignelse?

En av hovedtrekkene til en IDS er sentralisering. Den lar et nettverkssikkerhetsteam samle inn live oppdateringer for nettverk og enhetsstatus. Dette inkluderer mye informasjon, hvorav det meste er "alt er bra". For å minimere sjansene for falske negativer, dvs. tapt ondsinnet aktivitet, er de fleste IDS-systemer konfigurert til å være veldig "twitchy". Selv den minste antydning til at noe er av er rapportert. Ofte må denne rapporten triageres av et menneske. Hvis det er mange falske positiver, kan det ansvarlige teamet raskt bli overveldet og møte utbrenthet. For å unngå dette kan filtre introduseres for å redusere følsomheten til IDS, men dette øker risikoen for falske negativer. I tillegg,

Sentralisering av systemet innebærer også ofte å legge til et komplekst SIEM-system. SIEM står for Security Information and Event Management system. Det involverer vanligvis en rekke innsamlingsagenter rundt på nettverket som samler inn rapporter fra enheter i nærheten. Disse innsamlingsagentene sender deretter rapportene tilbake til det sentrale styringssystemet. Innføringen av en SIEM øker nettverkstrusseloverflaten. Sikkerhetssystemer er ofte ganske godt sikret, men dette er ingen garanti, og de kan selv være sårbare for infeksjon av skadelig programvare som så hindrer seg selv i å bli rapportert. Dette er imidlertid alltid en risiko for ethvert sikkerhetssystem.

Automatisering av svar med en IPS

En IDS er i utgangspunktet et varslingssystem. Den ser etter ondsinnet aktivitet og sender deretter varsler til overvåkingsteamet. Dette betyr at alt blir sett over av et menneske, men dette medfører risiko for forsinkelser, spesielt i tilfelle av en aktivitetsutbrudd. For eksempel. Tenk om en løsepenge-orm klarer å komme seg inn i nettverket. Det kan ta litt tid før de menneskelige anmelderne identifiserer et IDS-varsel som legitimt, og da kan ormen godt ha spredt seg videre.

En IDS som automatiserer prosessen med å handle på varsler med høy sikkerhet, kalles en IPS eller en IDPS med "P" som står for "Protection". En IPS iverksetter automatiske tiltak for å prøve å minimere risikoen. Selvfølgelig, med den høye falske-positive raten til en IDS, vil du ikke at en IPS skal handle på hvert varsel, bare på de som anses å ha høy sikkerhet.

På en HIDS fungerer en IPS som en karantenefunksjon for antivirusprogramvare. Den låser automatisk ned mistenkt skadelig programvare og varsler sikkerhetsteamet om å analysere hendelsen. På en NIDS må en IPS være inline. Dette betyr at all trafikk må kjøres gjennom IPS, noe som gjør det til et enkelt feilpunkt. Omvendt kan den imidlertid aktivt fjerne eller droppe mistenkelig nettverkstrafikk og varsle sikkerhetsteamet om å vurdere hendelsen.

Hovedfordelen med en IPS fremfor en ren IDS er at den automatisk kan reagere på mange trusler mye raskere enn det som kan oppnås med kun menneskelig vurdering. Dette lar den forhindre ting som dataeksfiltreringshendelser mens de skjer, i stedet for bare å identifisere at det har skjedd i ettertid.

Begrensninger

En IDS har flere begrensninger. Den signaturbaserte gjenkjenningsfunksjonaliteten er avhengig av oppdaterte signaturer, noe som gjør den mindre effektiv til å fange opp potensielt farligere ny skadelig programvare. Den falske positive raten er generelt veldig høy, og det kan gå lange perioder mellom legitime problemer. Dette kan føre til at sikkerhetsteamet blir desensibilisert og blasert om alarmer. Denne holdningen øker risikoen for at de feilkategoriserer en sjelden sann positiv som en falsk positiv.

Verktøy for analyse av nettverkstrafikk bruker vanligvis standardbiblioteker for å analysere nettverkstrafikken. Hvis trafikken er ondsinnet og utnytter en feil i biblioteket, kan det være mulig å infisere selve IDS-systemet. Inline NIDS fungerer som enkeltpunkter for feil. De må analysere et stort volum trafikk veldig raskt, og hvis de ikke kan følge med, må de enten droppe det, forårsake ytelses-/stabilitetsproblemer, eller la det gå gjennom, potensielt manglende ondsinnet aktivitet.

Trening av et anomalibasert system krever at nettverket er trygt i utgangspunktet. Hvis det allerede er skadelig programvare som kommuniserer på nettverket, vil dette inkluderes som normalt i grunnlinjen og ignoreres. I tillegg kan grunnlinjen sakte utvides ved at en ondsinnet aktør ganske enkelt tar seg god tid til å presse grensene, strekke dem i stedet for å bryte dem. Til slutt, en IDS kan ikke alene analysere kryptert trafikk. For å kunne gjøre dette, må bedriften Man in the Middle (MitM) trafikken med et bedriftsrotsertifikat. Dette har tidligere introdusert sine egne risikoer. Med prosentandelen av moderne nettverkstrafikk som forblir ukryptert, kan dette begrense nytten av en NIDS noe. Det er verdt å merke seg at selv uten å dekryptere trafikken,

Konklusjon

En IDS er et inntrengningsdeteksjonssystem. Det er i utgangspunktet en oppskalert versjon av et antivirusprodukt designet for bruk i bedriftsnettverk og med sentralisert rapportering gjennom en SIEM. Den kan operere både på individuelle enheter og overvåke generell nettverkstrafikk i varianter kjent som henholdsvis HIDS og NIDS. En IDS lider av svært høye falske positiver i et forsøk på å unngå falske negative. Vanligvis triageres rapporter av et menneskelig sikkerhetsteam. Noen handlinger, når gjenkjenningssikkerheten er høy, kan bli automatisert og deretter flagget for gjennomgang. Et slikt system er kjent som en IPS eller IDPS.