Čo je IDS?

Na internete sa pohybuje množstvo škodlivého softvéru. Našťastie existuje veľa ochranných opatrení. Niektoré z nich, ako napríklad antivírusové produkty, sú navrhnuté tak, aby sa spúšťali na základe jednotlivých zariadení a sú ideálne pre jednotlivcov s malým počtom zariadení. Antivírusový softvér je užitočný aj vo veľkých podnikových sieťach. Jedným z problémov je však jednoducho počet zariadení, na ktorých je spustený antivírusový softvér, ktorý hlási iba zariadenie. Podniková sieť naozaj chce mať hlásenia o antivírusových incidentoch centralizované. Čo je výhodou pre domácich používateľov, je slabina pre podnikové siete.

Ideme nad rámec antivírusu

Aby sa veci posunuli ďalej, je potrebný iný prístup. Tento prístup sa označuje ako IDS alebo Intrusion Detection System. Existuje mnoho rôznych variácií IDS, z ktorých mnohé sa môžu navzájom dopĺňať. Napríklad IDS môže byť poverené monitorovaním prevádzky zariadenia alebo siete. Zariadenie monitorujúce IDS sa označuje ako HIDS alebo hostiteľský (-based) Intrusion Detection System. Sieťový monitorovací IDS je známy ako NIDS alebo Network Intrusion Detection System. HIDS je podobný antivírusovému balíku, monitoruje zariadenie a podáva správy do centralizovaného systému.

NIDS je vo všeobecnosti umiestnená v oblasti siete s vysokou prevádzkou. Často to bude buď na základnej sieti/chrbticovom smerovači alebo na hranici siete a jej pripojenia k internetu. NIDS môže byť nakonfigurovaný ako inline alebo v konfigurácii kohútika. Inline NIDS môže aktívne filtrovať prevádzku na základe detekcií ako IPS (fazet, ku ktorému sa vrátime neskôr), ale funguje ako jediný bod zlyhania. Konfigurácia tap v podstate zrkadlí všetku sieťovú prevádzku na NIDS. Potom môže vykonávať svoje monitorovacie funkcie bez toho, aby pôsobil ako jediný bod zlyhania.

Metódy monitorovania

IDS zvyčajne používa celý rad metód detekcie. Klasický prístup je presne to, čo sa používa v antivírusových produktoch; detekcia založená na podpisoch. V tomto IDS porovnáva pozorovaný softvér alebo sieťovú prevádzku s obrovským množstvom podpisov známeho škodlivého softvéru a zákernej sieťovej prevádzky. Ide o dobre známy a vo všeobecnosti pomerne účinný spôsob boja proti známym hrozbám. Monitorovanie založené na podpisoch však nie je strieborná guľka. Problém s podpismi je v tom, že najprv musíte zistiť malvér a potom pridať jeho podpis do porovnávacieho zoznamu. Vďaka tomu je zbytočný pri zisťovaní nových útokov a je zraniteľný voči variáciám existujúcich techník.

Hlavnou alternatívnou metódou, ktorú IDS používa na identifikáciu, je anomálne správanie. Detekcia založená na anomáliách vychádza zo štandardného používania a potom hlási nezvyčajnú aktivitu. Môže to byť silný nástroj. Môže dokonca upozorniť na riziko potenciálnej nečestnej tajnej hrozby. Hlavným problémom je, že musí byť naladený na základné správanie každého systému, čo znamená, že musí byť vyškolený. To znamená, že ak je systém už ohrozený počas trénovania IDS, nebude škodlivá aktivita vnímať ako neobvyklú.

Rozvíjajúcou sa oblasťou je použitie umelých neurónových sietí na vykonávanie procesu detekcie založeného na anomáliách. Toto pole je sľubné, ale stále je celkom nové a pravdepodobne čelí podobným výzvam ako klasickejšie verzie detekcie založenej na anomáliách.

Centralizácia: prekliatie alebo požehnanie?

Jednou z kľúčových vlastností IDS je centralizácia. Umožňuje tímu zabezpečenia siete zhromažďovať aktuálne aktualizácie stavu siete a zariadenia. To zahŕňa veľa informácií, z ktorých väčšina je „všetko je v poriadku“. Na minimalizáciu pravdepodobnosti falošných negatív, tj zmeškanej škodlivej aktivity, je väčšina systémov IDS nakonfigurovaných tak, aby boli veľmi „trhavé“. Hlási sa aj ten najmenší náznak toho, že niečo nefunguje. Túto správu potom často musí triediť človek. Ak existuje veľa falošne pozitívnych výsledkov, zodpovedný tím môže byť rýchlo premožený a čeliť vyhoreniu. Aby sa tomu zabránilo, môžu byť zavedené filtre na zníženie citlivosti IDS, ale to zvyšuje riziko falošných negatívov. okrem toho

Centralizácia systému tiež často zahŕňa pridanie komplexného systému SIEM. SIEM je skratka pre Security Information and Event Management system. Zvyčajne zahŕňa celý rad zberných agentov v sieti, ktorí zhromažďujú správy z blízkych zariadení. Títo agenti zberu potom posielajú správy späť do centrálneho riadiaceho systému. Zavedenie SIEM zvyšuje povrch sieťových hrozieb. Bezpečnostné systémy sú často pomerne dobre zabezpečené, čo však nie je zárukou, a môžu samy osebe byť zraniteľné voči infekcii škodlivým softvérom, ktorý sa potom sám bráni nahláseniu. Toto je však vždy riziko pre každý bezpečnostný systém.

Automatizácia odpovedí pomocou IPS

IDS je v podstate varovný systém. Hľadá škodlivú aktivitu a potom hádže upozornenia na monitorovací tím. To znamená, že na všetko dohliada človek, ale to prichádza s rizikom oneskorenia, najmä v prípade návalu aktivity. Napríklad. Predstavte si, že sa ransomvérovému červu podarí dostať do siete. Ľudským kontrolórom môže chvíľu trvať, kým identifikujú výstrahu IDS ako legitímnu, kedy sa už červ mohol ďalej šíriť.

IDS, ktoré automatizuje proces pôsobenia na výstrahy s vysokou istotou, sa nazýva IPS alebo IDPS, pričom „P“ znamená „Ochrana“. IPS vykonáva automatickú akciu, aby sa pokúsila minimalizovať riziko. Samozrejme, s vysokou mierou falošne pozitívnych výsledkov IDS nechcete, aby IPS zareagoval na každé upozornenie, iba na tie, ktoré sú považované za vysoko spoľahlivé.

Na HIDS funguje IPS ako karanténna funkcia antivírusového softvéru. Automaticky uzamkne podozrivý malvér a upozorní bezpečnostný tím, aby analyzoval incident. Na NIDS musí byť IPS vložený. To znamená, že všetka prevádzka musí prechádzať cez IPS, čo z nej robí jediný bod zlyhania. Naopak, môže aktívne odstraňovať alebo znižovať podozrivú sieťovú prevádzku a upozorniť bezpečnostný tím, aby incident preveril.

Kľúčovou výhodou IPS oproti čistému IDS je to, že dokáže automaticky reagovať na mnohé hrozby oveľa rýchlejšie, než by sa dalo dosiahnuť iba kontrolou človekom. To mu umožňuje predchádzať veciam, ako sú udalosti exfiltrácie údajov, keď sa dejú, a nie len identifikovať, že sa to stalo až po skutočnosti.

Obmedzenia

IDS má niekoľko obmedzení. Funkcia detekcie založená na podpisoch sa spolieha na aktuálne podpisy, vďaka čomu je menej efektívna pri zachytávaní potenciálne nebezpečnejšieho nového malvéru. Miera falošne pozitívnych výsledkov je vo všeobecnosti skutočne vysoká a medzi legitímnymi problémami môžu byť veľké časové úseky. To môže viesť k tomu, že bezpečnostný tím bude znecitlivený a blažený z poplachov. Tento postoj zvyšuje riziko, že nesprávne kategorizujú zriedkavý pravdivý pozitívny výsledok ako falošne pozitívny.

Nástroje na analýzu sieťovej prevádzky zvyčajne používajú štandardné knižnice na analýzu sieťovej prevádzky. Ak je prevádzka škodlivá a využíva chybu v knižnici, môže byť možné infikovať samotný systém IDS. Inline NIDS fungujú ako jednotlivé body zlyhania. Potrebujú veľmi rýchlo analyzovať veľký objem prevádzky, a ak nestíhajú, musia ju buď zahodiť, čo spôsobí problémy s výkonom/stabilitou, alebo ju nechať prejsť, potenciálne chýbajúcu škodlivú aktivitu.

Trénovanie systému založeného na anomáliách vyžaduje, aby bola sieť v prvom rade bezpečná. Ak už v sieti komunikuje malvér, bude to normálne zahrnuté do základnej línie a bude sa ignorovať. Okrem toho môže byť základná línia pomaly rozširovaná tým, že zlomyseľný herec si jednoducho berie čas na posúvanie hraníc, skôr ich naťahuje, ako prekračuje. Nakoniec, IDS nemôže samostatne analyzovať šifrovanú prevádzku. Aby to bolo možné, podnik by potreboval Man in the Middle (MitM) prevádzku s firemným koreňovým certifikátom. To v minulosti prinieslo svoje vlastné riziká. S percentom modernej sieťovej prevádzky, ktorá zostáva nezašifrovaná, to môže trochu obmedziť užitočnosť NIDS. Stojí za zmienku, že aj bez dešifrovania prenosu

Záver

IDS je systém detekcie narušenia. Je to v podstate rozšírená verzia antivírusového produktu navrhnutá na použitie v podnikových sieťach a obsahuje centralizované hlásenie prostredníctvom SIEM. Môže pracovať na jednotlivých zariadeniach a monitorovať všeobecnú sieťovú prevádzku vo variantoch známych ako HIDS a NIDS. IDS trpí veľmi vysokou mierou falošne pozitívnych výsledkov v snahe vyhnúť sa falošným negatívnym výsledkom. Správy sú zvyčajne triedené tímom ľudskej bezpečnosti. Niektoré akcie, keď je spoľahlivosť detekcie vysoká, môžu byť automatizované a potom označené na kontrolu. Takýto systém je známy ako IPS alebo IDPS.