Kaj je IDS?

Po internetu plava veliko zlonamerne programske opreme. Na srečo je na voljo veliko zaščitnih ukrepov. Nekateri od njih, kot so protivirusni izdelki, so zasnovani tako, da se izvajajo za vsako napravo in so idealni za posameznike z majhnim številom naprav. Protivirusna programska oprema je uporabna tudi v omrežjih velikih podjetij. Ena od težav pa je preprosto število naprav, ki imajo nameščeno protivirusno programsko opremo, ki poroča samo o napravi. Omrežje podjetja resnično želi imeti centralizirana poročila o protivirusnih incidentih. Kar je prednost za domače uporabnike, je slabost za podjetniška omrežja.

Več kot protivirusni program

Za napredek je potreben drugačen pristop. Ta pristop se imenuje IDS ali sistem za zaznavanje vdorov. Obstaja veliko različnih različic IDS, od katerih se mnoge lahko med seboj dopolnjujejo. Na primer, IDS je lahko zadolžen za nadzor naprave ali omrežnega prometa. IDS za nadzor naprave se imenuje HIDS ali sistem za zaznavanje vdorov na osnovi gostitelja. IDS za nadzor omrežja je znan kot NIDS ali sistem za zaznavanje vdorov v omrežje. HIDS je podoben protivirusnemu paketu, ki nadzoruje napravo in poroča osrednjemu sistemu.

NIDS je običajno nameščen v območju omrežja z velikim prometom. Pogosto bo to v jedrnem omrežju/hrbteničnem usmerjevalniku ali na meji omrežja in njegove povezave z internetom. NIDS je mogoče konfigurirati tako, da je inline ali v konfiguraciji pipe. Vgrajeni NIDS lahko aktivno filtrira promet na podlagi zaznav kot IPS (faset, na katerega se bomo vrnili kasneje), vendar deluje kot ena sama točka napake. Konfiguracija pipe v bistvu zrcali ves omrežni promet v NIDS. Nato lahko opravlja svoje nadzorne funkcije, ne da bi deloval kot ena sama točka okvare.

Metode spremljanja

IDS običajno uporablja vrsto metod odkrivanja. Klasičen pristop je točno tisto, kar se uporablja v protivirusnih izdelkih; odkrivanje na podlagi podpisa. Pri tem IDS primerja opazovano programsko opremo ali omrežni promet z ogromnim nizom podpisov znane zlonamerne programske opreme in zlonamernega omrežnega prometa. To je dobro znan in na splošno dokaj učinkovit način boja proti znanim grožnjam. Vendar spremljanje na podlagi podpisov ni rešitev. Težava s podpisi je, da morate najprej zaznati zlonamerno programsko opremo, da nato dodate njen podpis na primerjalni seznam. Zaradi tega je neuporaben pri odkrivanju novih napadov in ranljiv za različice obstoječih tehnik.

Glavna alternativna metoda, ki jo IDS uporablja za identifikacijo, je nenormalno vedenje. Zaznavanje anomalij vzame izhodišče standardne uporabe in nato poroča o neobičajni dejavnosti. To je lahko močno orodje. Lahko celo izpostavi tveganje zaradi morebitne lažne notranje grožnje. Glavna težava pri tem je, da ga je treba prilagoditi osnovnemu vedenju vsakega sistema, kar pomeni, da ga je treba usposobiti. To pomeni, da če je sistem že ogrožen, medtem ko se IDS usposablja, zlonamerna dejavnost ne bo videti kot nenavadna.

Področje v razvoju je uporaba umetnih nevronskih mrež za izvajanje postopka odkrivanja anomalij. To področje obeta, vendar je še dokaj novo in se verjetno sooča s podobnimi izzivi kot bolj klasične različice odkrivanja anomalij.

Centralizacija: prekletstvo ali blagoslov?

Ena ključnih lastnosti IDS je centralizacija. Ekipi za varnost omrežja omogoča zbiranje posodobitev stanja omrežja in naprave v živo. To vključuje veliko informacij, od katerih je večina "vse je v redu". Da bi čim bolj zmanjšali možnosti lažnih negativnih rezultatov, tj. zgrešene zlonamerne dejavnosti, je večina sistemov IDS konfiguriranih tako, da delujejo zelo »trzajoče«. Poroča se tudi o najmanjšem namigu, da nekaj ni v redu. Pogosto mora to poročilo triažirati človek. Če je veliko lažno pozitivnih rezultatov, je lahko odgovorna ekipa hitro preobremenjena in se sooči z izgorelostjo. Da bi se temu izognili, se lahko uvedejo filtri za zmanjšanje občutljivosti IDS, vendar to poveča tveganje lažno negativnih rezultatov. Poleg tega

Centralizacija sistema pogosto vključuje tudi dodajanje kompleksnega sistema SIEM. SIEM pomeni sistem za upravljanje varnostnih informacij in dogodkov. Običajno vključuje niz agentov za zbiranje po omrežju, ki zbirajo poročila iz bližnjih naprav. Ti agenti za zbiranje nato vrnejo poročila v centralni sistem upravljanja. Uvedba SIEM poveča površino omrežnih groženj. Varnostni sistemi so pogosto dokaj dobro zavarovani, vendar to ni zagotovilo in so lahko sami ranljivi za okužbo z zlonamerno programsko opremo, ki nato prepreči prijavo. To pa je vedno tveganje za vsak varnostni sistem.

Avtomatizacija odzivov z IPS

IDS je v bistvu opozorilni sistem. Išče zlonamerno dejavnost in nato pošlje opozorila ekipi za spremljanje. To pomeni, da vse pregleda človek, vendar obstaja tveganje zakasnitve, zlasti v primeru izbruha dejavnosti. Na primer. Predstavljajte si, da izsiljevalski črv uspe priti v omrežje. Morda bo trajalo nekaj časa, da človeški pregledovalci ugotovijo, da je opozorilo IDS legitimno, do takrat pa se je črv morda že razširil naprej.

IDS, ki avtomatizira postopek ukrepanja na opozorila z visoko gotovostjo, se imenuje IPS ali IDPS, pri čemer črka »P« pomeni »Zaščita«. IPS samodejno ukrepa, da bi zmanjšal tveganje. Seveda z visoko stopnjo lažno pozitivnih rezultatov IDS ne želite, da IPS ukrepa na vsako opozorilo, ampak le na tista, za katera velja, da imajo visoko stopnjo zanesljivosti.

Na HIDS deluje IPS kot funkcija karantene protivirusne programske opreme. Samodejno zaklene domnevno zlonamerno programsko opremo in opozori varnostno skupino, da analizira incident. Na NIDS mora biti IPS vstavljen. To pomeni, da mora ves promet teči skozi IPS, zaradi česar je ena sama točka napake. Nasprotno pa lahko aktivno odstrani ali izpusti sumljiv omrežni promet in opozori varnostno ekipo, da pregleda incident.

Ključna prednost IPS pred čistim IDS je, da se lahko samodejno odzove na številne grožnje veliko hitreje, kot bi to lahko dosegli le s človeškim pregledom. To mu omogoča, da prepreči stvari, kot so dogodki izločitve podatkov, ko se zgodijo, namesto da samo ugotovi, da se je to zgodilo naknadno.

Omejitve

IDS ima več omejitev. Funkcionalnost zaznavanja na podlagi podpisov je odvisna od posodobljenih podpisov, zaradi česar je manj učinkovita pri lovljenju potencialno bolj nevarne nove zlonamerne programske opreme. Stopnja lažno pozitivnih rezultatov je na splošno zelo visoka in med legitimnimi težavami lahko mine veliko časovno obdobje. To lahko povzroči, da varnostna ekipa postane desenzibilizirana in blazna glede alarmov. Ta odnos poveča tveganje, da redko resnično pozitivno napako napačno kategorizirajo kot lažno pozitivno.

Orodja za analizo omrežnega prometa običajno uporabljajo standardne knjižnice za analizo omrežnega prometa. Če je promet zlonameren in izkorišča napako v knjižnici, je možno okužiti sam sistem IDS. Vgrajeni NIDS delujejo kot posamezne točke napake. Zelo hitro morajo analizirati velik obseg prometa in če mu ne morejo slediti, ga morajo bodisi opustiti, kar povzroči težave z delovanjem/stabilnostjo, ali pa ga prepustiti, kar bi lahko izpustilo zlonamerno dejavnost.

Usposabljanje sistema, ki temelji na anomalijah, najprej zahteva, da je omrežje varno. Če v omrežju že komunicira zlonamerna programska oprema, bo to kot običajno vključeno v osnovno linijo in prezrto. Poleg tega se lahko izhodišče počasi razširi tako, da zlonamerni akter preprosto vzame čas za premikanje meja in jih raztegne, namesto da bi jih zlomil. Končno, IDS ne more sam analizirati šifriranega prometa. Da bi to lahko naredilo, bi moralo podjetje Man in the Middle (MitM) promet s korenskim potrdilom podjetja. To je v preteklosti predstavljalo lastna tveganja. Glede na odstotek sodobnega omrežnega prometa, ki ostane nešifriran, lahko to nekoliko omeji uporabnost NIDS. Omeniti velja, da tudi brez dešifriranja prometa,

Zaključek

IDS je sistem za zaznavanje vdorov. To je v bistvu povečana različica protivirusnega izdelka, zasnovanega za uporabo v omrežjih podjetij in ki vključuje centralizirano poročanje prek SIEM. Lahko deluje na posameznih napravah in spremlja splošni omrežni promet v različicah, znanih kot HIDS oziroma NIDS. IDS trpi zaradi zelo visokih stopenj lažno pozitivnih rezultatov, da bi se izognili lažnim negativnim rezultatom. Običajno poročila pregleda skupina za človeško varnost. Nekatera dejanja, ko je zaupanje zaznavanja visoko, so lahko avtomatizirana in nato označena za pregled. Takšen sistem je znan kot IPS ali IDPS.