Що таке IDS?

В Інтернеті шириться багато зловмисного програмного забезпечення. На щастя, існує багато засобів захисту. Деякі з них, як-от антивірусні продукти, призначені для запуску на кожному пристрої та ідеально підходять для людей із невеликою кількістю пристроїв. Антивірусне програмне забезпечення також корисне у великих корпоративних мережах. Однак однією з проблем є просто кількість пристроїв, на яких працює антивірусне програмне забезпечення, яке звітує лише про машину. Корпоративна мережа дійсно хоче мати централізовані звіти про антивірусні інциденти. Те, що є перевагою для домашніх користувачів, є слабким місцем для корпоративних мереж.

Вихід за межі антивірусу

Щоб рухатися далі, потрібен інший підхід. Цей підхід називається IDS або системою виявлення вторгнень. Існує багато різних варіацій IDS, багато з яких можуть доповнювати одна одну. Наприклад, IDS можна доручити контролювати пристрій або мережевий трафік. IDS моніторингу пристрою називається HIDS або системою виявлення вторгнень на основі хоста. IDS моніторингу мережі відома як NIDS або система виявлення вторгнень у мережу. HIDS схожий на антивірусний пакет, контролює пристрій і звітує централізованій системі.

NIDS зазвичай розміщується в зоні мережі з високим трафіком. Часто це буде або на базовій мережі/магістральному маршрутизаторі, або на межі мережі та її підключення до Інтернету. NIDS може бути налаштований як вбудований або у конфігурації крана. Вбудований NIDS може активно фільтрувати трафік на основі виявлення як IPS (фасет, до якого ми повернемося пізніше), однак він діє як єдина точка відмови. Конфігурація крана в основному відображає весь мережевий трафік до NIDS. Тоді він може виконувати свої функції моніторингу, не діючи як єдина точка відмови.

Методи моніторингу

IDS зазвичай використовує низку методів виявлення. Класичний підхід - це саме те, що використовується в антивірусних продуктах; виявлення на основі сигнатур. У цьому IDS порівнює спостережене програмне забезпечення або мережевий трафік із величезним масивом сигнатур відомого шкідливого програмного забезпечення та шкідливого мережевого трафіку. Це відомий і в цілому досить ефективний спосіб протидії відомим загрозам. Проте моніторинг на основі сигнатур — це не ідеальний засіб. Проблема з сигнатурами полягає в тому, що вам потрібно спочатку виявити зловмисне програмне забезпечення, щоб потім додати його сигнатуру до списку порівняння. Це робить його марним для виявлення нових атак і вразливим до варіацій існуючих методів.

Основним альтернативним методом, який IDS використовує для ідентифікації, є аномальна поведінка. Виявлення на основі аномалій бере базовий рівень стандартного використання, а потім повідомляє про незвичайну активність. Це може бути потужним інструментом. Це може навіть висвітлити ризик потенційної загрози з боку шахраїв. Основна проблема полягає в тому, що її потрібно налаштувати на базову поведінку кожної системи, а це означає, що її потрібно навчити. Це означає, що якщо система вже скомпрометована під час навчання IDS, вона не сприйматиме зловмисну ​​активність як незвичайну.

Сфера розвитку — використання штучних нейронних мереж для виконання процесу виявлення аномалій. Це поле багатообіцяюче, але все ще є досить новим і, ймовірно, стикається з проблемами, подібними до більш класичних версій виявлення аномалій.

Централізація: прокляття чи благословення?

Однією з ключових особливостей IDS є централізація. Це дозволяє групі безпеки мережі збирати живі оновлення стану мережі та пристрою. Сюди входить багато інформації, більшість із якої – «усе гаразд». Щоб звести до мінімуму ймовірність хибних негативів, тобто пропущених зловмисних дій, більшість систем IDS налаштовано на дуже «поривчасту роботу». Повідомляється навіть про найменший натяк на те, що щось не працює. Часто цей звіт потім доводиться сортувати людині. Якщо є багато хибних спрацьовувань, відповідальна команда може бути швидко перевантажена та зіткнутися з вигоранням. Щоб уникнути цього, можуть бути введені фільтри для зниження чутливості IDS, але це збільшує ризик помилкових негативів. Крім того,

Централізація системи також часто передбачає додавання складної системи SIEM. SIEM означає систему управління інформацією та подіями безпеки. Зазвичай це включає в себе групу агентів збору по всій мережі, які збирають звіти з пристроїв поблизу. Ці агенти збору потім повертають звіти до центральної системи керування. Впровадження SIEM збільшує поверхню мережевих загроз. Системи безпеки часто досить добре захищені, але це не гарантія, і вони самі можуть бути вразливими до зараження зловмисним програмним забезпеченням, яке потім запобігає повідомленню про себе. Однак це завжди ризик для будь-якої системи безпеки.

Автоматизація відповідей за допомогою IPS

IDS – це, по суті, система попередження. Він шукає зловмисну ​​активність, а потім надсилає сповіщення групі моніторингу. Це означає, що все переглядає людина, але це пов’язано з ризиком затримок, особливо у випадку спалаху активності. Наприклад. Уявіть, що хробаку-вимагачу вдається проникнути в мережу. Рецензентам може знадобитися деякий час, щоб визначити попередження IDS як законне, і тоді хробак цілком може поширитися далі.

IDS, який автоматизує процес дії на попередження з високою точністю, називається IPS або IDPS, де буква «P» означає «Захист». IPS виконує автоматизовані дії, щоб мінімізувати ризик. Звичайно, з високим рівнем хибнопозитивних результатів IDS ви не хочете, щоб IPS діяв на кожне попередження, лише на ті, які вважаються такими, що мають високу достовірність.

На HIDS IPS діє як функція карантину антивірусного програмного забезпечення. Він автоматично блокує ймовірне зловмисне програмне забезпечення та сповіщає групу безпеки для аналізу інциденту. На NIDS IPS має бути вбудованим. Це означає, що весь трафік має проходити через IPS, що робить його єдиною точкою збою. І навпаки, він може активно видаляти або видаляти підозрілий мережевий трафік і сповіщати групу безпеки про перевірку інциденту.

Ключова перевага IPS перед чистою IDS полягає в тому, що вона може автоматично реагувати на багато загроз набагато швидше, ніж це можна було б досягти за допомогою лише перевірки людиною. Це дає змогу запобігати таким подіям, як викрадання даних, коли вони відбуваються, а не просто ідентифікувати, що це відбулося постфактум.

Обмеження

IDS має кілька обмежень. Функція виявлення на основі сигнатур залежить від найновіших сигнатур, що робить її менш ефективною для виявлення потенційно небезпечніших нових шкідливих програм. Рівень хибних спрацьовувань, як правило, дуже високий, і між законними проблемами можуть бути великі проміжки часу. Це може призвести до того, що команда служби безпеки втратить чутливість і стане невпевненою у будильниках. Таке ставлення збільшує ризик того, що вони неправильно класифікують рідкісне справжнє позитивне як хибне позитивне.

Інструменти аналізу мережевого трафіку зазвичай використовують стандартні бібліотеки для аналізу мережевого трафіку. Якщо трафік є зловмисним і використовує недолік у бібліотеці, можливо заразити саму систему IDS. Вбудовані NIDS діють як єдині точки відмови. Їм потрібно дуже швидко аналізувати великий обсяг трафіку, і якщо вони не встигають, вони повинні або припинити його, викликаючи проблеми з продуктивністю/стабільністю, або пропустити його, потенційно пропустивши зловмисну ​​активність.

Навчання системи на основі аномалій вимагає, щоб мережа була в першу чергу безпечною. Якщо в мережі вже є зловмисне програмне забезпечення, воно буде включено як звичайне в базову лінію та проігноровано. Крім того, базова лінія може бути повільно розширена зловмисником, який просто не поспішає розширювати межі, розширюючи їх, а не порушуючи. Нарешті, IDS не може самостійно аналізувати зашифрований трафік. Щоб мати можливість це зробити, підприємству знадобиться Man in the Middle (MitM) трафік із корпоративним кореневим сертифікатом. У минулому це створювало власні ризики. Оскільки відсоток сучасного мережевого трафіку залишається незашифрованим, це може дещо обмежити корисність NIDS. Варто зазначити, що навіть без розшифровки трафіку,

Висновок

IDS — це система виявлення вторгнень. По суті, це збільшена версія антивірусного продукту, призначеного для використання в корпоративних мережах і з централізованою звітністю через SIEM. Він може працювати як на окремих пристроях, так і контролювати загальний мережевий трафік у варіантах, відомих як HIDS і NIDS відповідно. IDS страждає від дуже високого рівня хибнопозитивних результатів, намагаючись уникнути помилково негативних результатів. Як правило, звіти сортуються групою безпеки. Деякі дії, коли надійність виявлення висока, можуть бути автоматизовані, а потім позначені для перевірки. Така система відома як IPS або IDPS.