Шта је ИДС?

Много је злонамерног софтвера који лебди на Интернету. Срећом, постоје многе мере заштите. Неки од њих, као што су антивирусни производи, дизајнирани су да се покрећу за сваки уређај и идеални су за појединце са малим бројем уређаја. Антивирусни софтвер је такође користан у великим пословним мрежама. Међутим, један од проблема је једноставно број уређаја на којима је покренут антивирусни софтвер који извештава само о машини. Мрежа предузећа заиста жели да извештаји о антивирусним инцидентима буду централизовани. Оно што је предност за кућне кориснике је слабост за пословне мреже.

Идите даље од антивируса

Да би ствари кренуле даље, потребан је другачији приступ. Овај приступ се назива ИДС или систем за откривање упада. Постоји много различитих варијација на ИДС-у, од којих се многе могу допуњавати. На пример, ИДС-у се може дати задатак да надгледа саобраћај уређаја или мреже. ИДС за надгледање уређаја се назива ХИДС или систем за откривање упада на основу хоста. ИДС за праћење мреже познат је као НИДС или систем за откривање упада у мрежу. ХИДС је сличан антивирусном пакету, надгледа уређај и извештава централизовани систем.

НИДС се генерално налази у области мреже са великим прометом. Често ће то бити или на основној мрежи/главном рутеру или на граници мреже и њене везе са Интернетом. НИДС се може конфигурисати да буде у линији или у конфигурацији славине. Уграђени НИДС може активно да филтрира саобраћај на основу детекције као ИПС (фасет на који ћемо се вратити касније), међутим, делује као једна тачка квара. Конфигурација додира у основи одражава сав мрежни саобраћај на НИДС. Тада може да обавља своје функције надгледања, а да не делује као једна тачка квара.

Методе праћења

ИДС обично користи низ метода детекције. Класичан приступ је управо оно што се користи у антивирусним производима; детекција заснована на потпису. У овом случају, ИДС упоређује посматрани софтвер или мрежни саобраћај са огромним низом потписа познатог малвера и злонамерног мрежног саобраћаја. Ово је добро познат и генерално прилично ефикасан начин супротстављања познатим претњама. Праћење засновано на потписима, међутим, није сребрни метак. Проблем са потписима је што морате прво да откријете малвер да бисте затим додали његов потпис на листу за поређење. То га чини бескорисним у откривању нових напада и рањивим на варијације постојећих техника.

Главни алтернативни метод који ИДС користи за идентификацију је аномално понашање. Откривање засновано на аномалијама узима основну линију стандардне употребе, а затим извештава о неуобичајеним активностима. Ово може бити моћно средство. Може чак да истакне ризик од потенцијалне лажне инсајдерске претње. Главни проблем у вези са овим је да се мора прилагодити основном понашању сваког система, што значи да мора бити обучен. То значи да ако је систем већ компромитован док се ИДС обучава, он неће видети злонамерну активност као неуобичајену.

Поље у развоју је употреба вештачких неуронских мрежа за извођење процеса детекције заснованог на аномалијама. Ово поље обећава, али је још увек прилично ново и вероватно се суочава са сличним изазовима као у класичнијим верзијама детекције засноване на аномалијама.

Централизација: проклетство или благослов?

Једна од кључних карактеристика ИДС-а је централизација. Омогућава тиму за мрежну безбедност да прикупља ажурирања статуса мреже и уређаја уживо. Ово укључује много информација, од којих је већина „све је у реду“. Да би се минимизирале шансе за лажне негативне резултате, тј. пропуштене злонамерне активности, већина ИДС система је конфигурисана да буде веома „трзава“. Пријављује се чак и најмањи наговештај да нешто није у реду. Често овај извештај онда мора да триажи човек. Ако има много лажних позитивних резултата, одговорни тим може брзо бити преоптерећен и суочити се са сагоревањем. Да би се ово избегло, могу се увести филтери за смањење осетљивости ИДС-а, али то повећава ризик од лажних негативних резултата. Поред тога,

Централизација система такође често укључује додавање сложеног СИЕМ система. СИЕМ је скраћеница од Сецурити Информатион анд Евент Манагемент систем. Обично укључује низ агената за прикупљање података широм мреже који прикупљају извештаје са оближњих уређаја. Ови агенти за наплату затим враћају извештаје централном систему управљања. Увођење СИЕМ-а повећава површину мрежне претње. Сигурносни системи су често прилично добро обезбеђени, али то није гаранција, и они могу сами бити рањиви на инфекцију малвером који онда спречава да се пријави. Ово, међутим, увек представља ризик за сваки безбедносни систем.

Аутоматизација одговора са ИПС-ом

ИДС је у основи систем упозорења. Тражи злонамерне активности, а затим шаље упозорења надзорном тиму. То значи да све прегледа човек, али постоји ризик од кашњења, посебно у случају налета активности. На пример. Замислите ако црв рансомваре успе да уђе у мрежу. Можда ће проћи неко време док прегледачи људи идентификују ИДС упозорење као легитимно до када се црв можда даље шири.

ИДС који аутоматизује процес деловања у вези са упозорењима високе извесности назива се ИПС или ИДПС са „П“ што значи „Заштита“. ИПС предузима аутоматизоване радње како би покушао да смањи ризик. Наравно, са високом стопом лажних позитивних резултата код ИДС-а, не желите да ИПС реагује на сваку узбуну, већ само на оне за које се сматра да имају високу сигурност.

На ХИДС-у, ИПС делује као функција карантина антивирусног софтвера. Аутоматски закључава сумњиви малвер и упозорава безбедносни тим да анализира инцидент. На НИДС-у, ИПС мора бити инлине. То значи да сав саобраћај треба да иде кроз ИПС, што га чини једном тачком квара. Насупрот томе, међутим, може активно уклонити или одбацити сумњив мрежни саобраћај и упозорити безбедносни тим да прегледа инцидент.

Кључна предност ИПС-а у односу на чисти ИДС је у томе што он може аутоматски да одговори на многе претње много брже него што би се то могло постићи само људским прегледом. Ово му омогућава да спречи ствари као што су догађаји ексфилтрације података док се дешавају, а не само да идентификује да се то догодило након чињенице.

Ограничења

ИДС има неколико ограничења. Функционалност детекције заснована на потписима ослања се на ажуриране потписе, што је чини мање ефикасном у хватању потенцијално опаснијег новог малвера. Стопа лажних позитивних резултата је генерално веома висока и могу постојати велики временски периоди између легитимних проблема. Ово може довести до тога да тим за обезбеђење постане десензибилизован и блазан у вези са алармима. Овај став повећава ризик да погрешно категоришу ретке истинске позитивне као лажне.

Алати за анализу мрежног саобраћаја обично користе стандардне библиотеке за анализу мрежног саобраћаја. Ако је саобраћај злонамеран и користи грешку у библиотеци, можда је могуће заразити сам ИДС систем. Инлине НИДС делују као појединачне тачке квара. Они морају веома брзо да анализирају велики обим саобраћаја и ако не могу да прате корак, морају или да га одбаце, узрокујући проблеме са перформансама/стабилношћу, или га пусте да прође, потенцијално пропуштајући злонамерну активност.

Обука система заснованог на аномалијама захтева да мрежа буде безбедна на првом месту. Ако већ постоји малвер који комуницира на мрежи, то ће бити нормално укључено у основну линију и игнорисано. Поред тога, основну линију може полако проширити злонамерни актер који једноставно одвоји време у померању граница, протежући их уместо да их крше. Коначно, ИДС не може сам да анализира шифровани саобраћај. Да би то могло да уради, предузеће би требало да управља саобраћајем у средини (МитМ) са корпоративним роот сертификатом. Ово је у прошлости представљало своје ризике. Са процентом савременог мрежног саобраћаја који остаје нешифрован, ово може донекле ограничити корисност НИДС-а. Вреди напоменути да чак и без дешифровања саобраћаја,

Закључак

ИДС је систем за откривање упада. То је у основи увећана верзија антивирусног производа дизајнираног за употребу у мрежама предузећа и који садржи централизовано извештавање преко СИЕМ-а. Може да ради и на појединачним уређајима и да надгледа општи мрежни саобраћај у варијантама познатим као ХИДС и НИДС. ИДС пати од веома високих стопа лажно позитивних у покушају да избегне лажно негативне. Типично, извештаје обрађује људски безбедносни тим. Неке радње, када је поузданост откривања висока, могу бити аутоматизоване и затим означене за преглед. Такав систем је познат као ИПС или ИДПС.