Vad är en IDS?

Det finns massor av skadlig programvara som flyter runt där ute på Internet. Tack och lov finns det många skyddsåtgärder tillgängliga. Vissa av dem, som antivirusprodukter, är designade för att köras per enhet och är idealiska för individer med ett litet antal enheter. Antivirusprogram är också användbart i stora företagsnätverk. En av problemen där är dock helt enkelt antalet enheter som då har antivirusprogram igång som bara rapporterar på maskinen. Ett företagsnätverk vill verkligen att rapporter om antivirusincidenter ska centraliseras. Vad som är en fördel för hemanvändare är en svaghet för företagsnätverk.

Går längre än antivirus

För att ta saker vidare krävs ett annat tillvägagångssätt. Detta tillvägagångssätt kallas ett IDS eller intrångsdetektionssystem. Det finns många olika varianter av IDS, varav många kan komplettera varandra. Till exempel kan en IDS få i uppdrag att övervaka en enhet eller nätverkstrafik. En enhet som övervakar IDS kallas HIDS eller Host(based) Intrusion Detection System. Ett nätverksövervaknings-IDS är känt som ett NIDS eller Network Intrusion Detection System. En HIDS liknar en antivirussvit som övervakar en enhet och rapporterar tillbaka till ett centraliserat system.

En NIDS är vanligtvis placerad i ett område med hög trafik i nätverket. Ofta kommer detta att vara antingen på ett kärnnätverk/stamnätsrouter eller vid nätverkets gräns och dess anslutning till Internet. En NIDS kan konfigureras för att vara inline eller i en krankonfiguration. En inline NIDS kan aktivt filtrera trafik baserat på upptäckter som en IPS (en aspekt som vi återkommer till senare), men den fungerar som en enda felpunkt. En tappkonfiguration speglar i princip all nätverkstrafik till NIDS. Den kan sedan utföra sina övervakningsfunktioner utan att fungera som en enda felpunkt.

Övervakningsmetoder

En IDS använder vanligtvis en rad detekteringsmetoder. Det klassiska tillvägagångssättet är precis vad som används i antivirusprodukter; signaturbaserad detektering. I detta jämför IDS den observerade programvaran eller nätverkstrafiken med en enorm mängd signaturer av känd skadlig programvara och skadlig nätverkstrafik. Detta är ett välkänt och generellt sett ganska effektivt sätt att motverka kända hot. Signaturbaserad övervakning är dock ingen silverkula. Problemet med signaturer är att du först måste upptäcka skadlig programvara för att sedan lägga till sin signatur i jämförelselistan. Detta gör den värdelös för att upptäcka nya attacker och sårbar för variationer av befintliga tekniker.

Den huvudsakliga alternativa metoden en IDS använder för identifiering är anomalt beteende. Avvikelsebaserad upptäckt tar en baslinje för standardanvändning och rapporterar sedan om ovanlig aktivitet. Detta kan vara ett kraftfullt verktyg. Det kan till och med belysa en risk från ett potentiellt oseriöst insiderhot. Huvudproblemet med detta är att det måste anpassas till baslinjebeteendet för varje system vilket innebär att det måste tränas. Detta betyder att om systemet redan är inträngt medan IDS tränas, kommer det inte att se den skadliga aktiviteten som ovanlig.

Ett växande område är användningen av artificiella neurala nätverk för att utföra den anomalibaserade upptäcktsprocessen. Det här fältet visar lovande men är fortfarande ganska nytt och står troligen inför liknande utmaningar som de mer klassiska versionerna av anomalibaserad upptäckt.

Centralisering: en förbannelse eller en välsignelse?

En av nyckelfunktionerna i en IDS är centralisering. Det låter ett nätverkssäkerhetsteam samla in live-uppdateringar av nätverk och enhetsstatus. Detta inkluderar mycket information, varav det mesta är "allt är bra". För att minimera risken för falska negativa, dvs. missad skadlig aktivitet, är de flesta IDS-system konfigurerade att vara mycket "twitchy". Även den minsta antydan om att något är fel rapporteras. Ofta måste denna rapport sedan triageras av en människa. Om det finns många falska positiva resultat kan det ansvariga teamet snabbt bli överväldigat och möta utbrändhet. För att undvika detta kan filter införas för att minska känsligheten hos IDS, men detta ökar risken för falska negativ. Dessutom,

Att centralisera systemet innebär också ofta att man lägger till ett komplext SIEM-system. SIEM står för Security Information and Event Management system. Det involverar vanligtvis en rad insamlingsagenter runt om i nätverket som samlar in rapporter från närliggande enheter. Dessa insamlingsombud återför sedan rapporterna till det centrala ledningssystemet. Införandet av en SIEM ökar nätverkets hotyta. Säkerhetssystem är ofta ganska väl säkrade, men det är ingen garanti, och de kan själva vara sårbara för infektion av skadlig programvara som sedan förhindrar att de rapporteras. Detta är dock alltid en risk för alla säkerhetssystem.

Automatisera svar med en IPS

En IDS är i grunden ett varningssystem. Den letar efter skadlig aktivitet och skickar sedan varningar till övervakningsteamet. Detta innebär att allting ses över av en människa men detta medför risk för förseningar, särskilt vid en explosion av aktivitet. Till exempel. Tänk om en ransomware-mask lyckas ta sig in i nätverket. Det kan ta lite tid för de mänskliga granskarna att identifiera en IDS-varning som legitim, då kan masken mycket väl ha spridit sig vidare.

En IDS som automatiserar processen att agera på varningar med hög säkerhet kallas en IPS eller en IDPS där "P" står för "Protection". En IPS vidtar automatiska åtgärder för att försöka minimera risken. Naturligtvis, med den höga falska positiva frekvensen av en IDS vill du inte att en IPS ska agera på varje varning, bara på de som anses ha en hög säkerhet.

På en HIDS fungerar en IPS som en karantänfunktion för ett antivirusprogram. Den låser automatiskt den misstänkta skadliga programvaran och varnar säkerhetsteamet för att analysera incidenten. På en NIDS måste en IPS vara inline. Detta innebär att all trafik måste köras genom IPS, vilket gör det till en enda felpunkt. Omvänt kan den dock aktivt ta bort eller släppa misstänkt nätverkstrafik och varna säkerhetsteamet att granska incidenten.

Den viktigaste fördelen med en IPS framför en ren IDS är att den automatiskt kan svara på många hot mycket snabbare än vad som kunde uppnås med enbart mänsklig granskning. Detta gör att det kan förhindra saker som dataexfiltreringshändelser när de händer snarare än att bara identifiera att det har hänt i efterhand.

Begränsningar

En IDS har flera begränsningar. Den signaturbaserade upptäcktsfunktionen är beroende av uppdaterade signaturer, vilket gör den mindre effektiv när det gäller att fånga upp potentiellt farligare ny skadlig programvara. Den falska positiva andelen är generellt sett riktigt hög och det kan vara långa tidsperioder mellan legitima frågor. Detta kan leda till att säkerhetsteamet blir okänsligt och blaserat om larm. Denna attityd ökar risken att de felkategoriserar ett sällsynt sant positivt som ett falskt positivt.

Analysverktyg för nätverkstrafik använder vanligtvis standardbibliotek för att analysera nätverkstrafiken. Om trafiken är skadlig och utnyttjar ett fel i biblioteket kan det vara möjligt att infektera själva IDS-systemet. Inline NIDS fungerar som enstaka felpunkter. De måste analysera en stor mängd trafik mycket snabbt och om de inte kan hänga med måste de antingen släppa den, vilket orsakar prestanda/stabilitetsproblem, eller släppa igenom den, potentiellt missad skadlig aktivitet.

Att träna ett anomalibaserat system kräver att nätverket är säkert i första hand. Om det redan finns skadlig programvara som kommunicerar på nätverket kommer detta att inkluderas som vanligt i baslinjen och ignoreras. Dessutom kan baslinjen långsamt utökas genom att en illvillig aktör helt enkelt tar sig tid att tänja på gränserna, tänja på dem snarare än att bryta dem. Slutligen kan en IDS inte på egen hand analysera krypterad trafik. För att kunna göra detta skulle företaget behöva Man in the Middle (MitM) trafiken med ett företagsrotcertifikat. Detta har tidigare infört sina egna risker. Med andelen modern nätverkstrafik som förblir okrypterad, kan detta något begränsa användbarheten av en NIDS. Det är värt att notera att även utan att dekryptera trafiken,

Slutsats

En IDS är ett intrångsdetektionssystem. Det är i grunden en uppskalad version av en antivirusprodukt designad för användning i företagsnätverk och med centraliserad rapportering via en SIEM. Den kan fungera både på enskilda enheter och övervaka allmän nätverkstrafik i varianter som kallas HIDS respektive NIDS. En IDS lider av mycket höga falska positiva frekvenser i ett försök att undvika falska negativa. Vanligtvis triageras rapporter av ett mänskligt säkerhetsteam. Vissa åtgärder, när upptäcktssäkerheten är hög, kan automatiseras och sedan flaggas för granskning. Ett sådant system är känt som en IPS eller IDPS.