Was ist ein IDS?

Es gibt jede Menge Malware, die im Internet herumschwirrt. Zum Glück gibt es viele Schutzmaßnahmen. Einige von ihnen, wie z. B. Antivirenprodukte, sind für die Ausführung pro Gerät konzipiert und eignen sich ideal für Personen mit einer kleinen Anzahl von Geräten. Antivirus-Software ist auch in großen Unternehmensnetzwerken nützlich. Eines der Probleme dort ist jedoch einfach die Anzahl der Geräte, auf denen dann eine Antivirensoftware ausgeführt wird, die sich nur auf der Maschine meldet. Ein Unternehmensnetzwerk möchte wirklich, dass Berichte über Antivirus-Vorfälle zentralisiert werden. Was für Heimanwender ein Vorteil ist, ist für Unternehmensnetzwerke eine Schwäche.

Über Antivirus hinausgehen

Um die Dinge weiter zu führen, ist ein anderer Ansatz erforderlich. Dieser Ansatz wird als IDS oder Intrusion Detection System bezeichnet. Es gibt viele verschiedene Variationen des IDS, von denen sich viele gegenseitig ergänzen können. Beispielsweise kann ein IDS damit beauftragt werden, ein Gerät oder den Netzwerkverkehr zu überwachen. Ein Gerät, das IDS überwacht, wird als HIDS oder Host(-based) Intrusion Detection System bezeichnet. Ein Netzwerküberwachungs-IDS ist als NIDS oder Network Intrusion Detection System bekannt. Ein HIDS ähnelt einer Antivirus-Suite, die ein Gerät überwacht und an ein zentrales System zurückmeldet.

Ein NIDS wird im Allgemeinen in einem stark frequentierten Bereich des Netzwerks platziert. Häufig befindet sich dies entweder auf einem Kernnetzwerk/Backbone-Router oder an der Grenze des Netzwerks und seiner Verbindung zum Internet. Ein NIDS kann als Inline- oder Tap-Konfiguration konfiguriert werden. Ein Inline-NIDS kann Datenverkehr basierend auf Erkennungen als IPS aktiv filtern (ein Aspekt, auf den wir später noch zurückkommen), es fungiert jedoch als Single Point of Failure. Eine Tap-Konfiguration spiegelt grundsätzlich den gesamten Netzwerkverkehr zum NIDS. Es kann dann seine Überwachungsfunktionen ausführen, ohne als Single Point of Failure zu fungieren.

Überwachungsmethoden

Ein IDS verwendet typischerweise eine Reihe von Erkennungsmethoden. Der klassische Ansatz ist genau das, was in Antivirus-Produkten verwendet wird; signaturbasierte Erkennung. Dabei vergleicht das IDS die beobachtete Software oder den Netzwerkverkehr mit einer Vielzahl von Signaturen bekannter Malware und schädlichem Netzwerkverkehr. Dies ist eine bekannte und im Allgemeinen ziemlich effektive Methode, um bekannten Bedrohungen entgegenzuwirken. Die signaturbasierte Überwachung ist jedoch keine Wunderwaffe. Das Problem mit Signaturen ist, dass Sie zuerst die Malware erkennen müssen, um dann ihre Signatur zur Vergleichsliste hinzuzufügen. Dies macht es für die Erkennung neuer Angriffe nutzlos und anfällig für Variationen bestehender Techniken.

Die wichtigste alternative Methode, die ein IDS zur Identifizierung verwendet, ist anomales Verhalten. Die auf Anomalien basierende Erkennung nimmt eine Basislinie der Standardnutzung und meldet dann ungewöhnliche Aktivitäten. Dies kann ein mächtiges Werkzeug sein. Es kann sogar ein Risiko durch eine potenzielle Bedrohung durch schurkische Insider hervorheben. Das Hauptproblem dabei ist, dass es auf das grundlegende Verhalten jedes Systems abgestimmt werden muss, was bedeutet, dass es trainiert werden muss. Das bedeutet, wenn das System bereits kompromittiert ist, während das IDS trainiert wird, wird es die böswillige Aktivität nicht als ungewöhnlich ansehen.

Ein sich entwickelndes Gebiet ist die Verwendung künstlicher neuronaler Netze zur Durchführung des auf Anomalien basierenden Erkennungsprozesses. Dieses Feld ist vielversprechend, aber noch ziemlich neu und steht wahrscheinlich vor ähnlichen Herausforderungen wie die klassischeren Versionen der Anomalie-basierten Erkennung.

Zentralisierung: Fluch oder Segen?

Eines der Hauptmerkmale eines IDS ist die Zentralisierung. Es ermöglicht einem Netzwerksicherheitsteam, Live-Updates zum Netzwerk- und Gerätestatus zu sammeln. Dazu gehören viele Informationen, von denen die meisten „alles in Ordnung“ sind. Um die Wahrscheinlichkeit falscher negativer Ergebnisse, dh verpasster bösartiger Aktivitäten, zu minimieren, sind die meisten IDS-Systeme so konfiguriert, dass sie sehr „nervös“ sind. Selbst der kleinste Hinweis darauf, dass etwas nicht stimmt, wird gemeldet. Oft muss dieser Bericht dann von einem Menschen gesichtet werden. Kommt es zu vielen Fehlalarmen, kann das verantwortliche Team schnell überfordert sein und vor einem Burnout stehen. Um dies zu vermeiden, können Filter eingeführt werden, um die Empfindlichkeit des IDS zu verringern, aber dies erhöht das Risiko falsch negativer Ergebnisse. Zusätzlich,

Die Zentralisierung des Systems beinhaltet oft auch das Hinzufügen eines komplexen SIEM-Systems. SIEM steht für Security Information and Event Management System. In der Regel handelt es sich um eine Reihe von Sammelagenten im Netzwerk, die Berichte von Geräten in der Nähe sammeln. Diese Sammelstellen geben die Berichte dann an das zentrale Verwaltungssystem zurück. Die Einführung eines SIEM erhöht die Bedrohungsoberfläche im Netzwerk. Sicherheitssysteme sind oft ziemlich gut gesichert, aber das ist keine Garantie, und sie können selbst anfällig für eine Infektion durch Malware sein, die sich dann selbst daran hindert, gemeldet zu werden. Dies ist jedoch immer ein Risiko für jedes Sicherheitssystem.

Antworten mit einem IPS automatisieren

Ein IDS ist im Grunde ein Warnsystem. Es sucht nach schädlichen Aktivitäten und sendet dann Warnungen an das Überwachungsteam. Dies bedeutet, dass alles von einem Menschen überwacht wird, aber dies birgt die Gefahr von Verzögerungen, insbesondere im Falle eines Aktivitätsschubs. Zum Beispiel. Stellen Sie sich vor, ein Ransomware-Wurm schafft es, in das Netzwerk einzudringen. Es kann einige Zeit dauern, bis die menschlichen Prüfer eine IDS-Warnung als legitim identifizieren. Zu diesem Zeitpunkt hat sich der Wurm möglicherweise weiter verbreitet.

Ein IDS, das den Prozess der Reaktion auf Alarme mit hoher Sicherheit automatisiert, wird als IPS oder IDPS bezeichnet, wobei das „P“ für „Protection“ steht. Ein IPS ergreift automatisierte Maßnahmen, um das Risiko zu minimieren. Angesichts der hohen Falsch-Positiv-Rate eines IDS möchten Sie natürlich nicht, dass ein IPS bei jeder Warnung handelt, sondern nur bei solchen, bei denen eine hohe Sicherheit angenommen wird.

Auf einem HIDS verhält sich ein IPS wie eine Antiviren-Software-Quarantänefunktion. Es sperrt automatisch die verdächtige Malware und alarmiert das Sicherheitsteam, um den Vorfall zu analysieren. Auf einem NIDS muss ein IPS inline sein. Das bedeutet, dass der gesamte Datenverkehr über das IPS laufen muss, was es zu einem Single Point of Failure macht. Umgekehrt kann es jedoch verdächtigen Netzwerkverkehr aktiv entfernen oder löschen und das Sicherheitsteam benachrichtigen, um den Vorfall zu überprüfen.

Der Hauptvorteil eines IPS gegenüber einem reinen IDS besteht darin, dass es automatisch viel schneller auf viele Bedrohungen reagieren kann, als dies mit einer rein menschlichen Überprüfung möglich wäre. Dies ermöglicht es, Dinge wie Datenexfiltrationsereignisse zu verhindern, während sie stattfinden, anstatt nur festzustellen, dass es im Nachhinein passiert ist.

Einschränkungen

Ein IDS hat mehrere Einschränkungen. Die signaturbasierte Erkennungsfunktion ist auf aktuelle Signaturen angewiesen, wodurch sie beim Fangen potenziell gefährlicherer neuartiger Malware weniger effektiv ist. Die False-Positive-Rate ist im Allgemeinen sehr hoch und es können große Zeiträume zwischen legitimen Problemen liegen. Dies kann dazu führen, dass das Sicherheitsteam desensibilisiert und gleichgültig gegenüber Alarmen wird. Diese Einstellung erhöht das Risiko, dass sie ein seltenes richtig positives Ergebnis fälschlicherweise als falsch positiv einstufen.

Tools zur Analyse des Netzwerkverkehrs verwenden typischerweise Standardbibliotheken, um den Netzwerkverkehr zu analysieren. Wenn der Datenverkehr böswillig ist und einen Fehler in der Bibliothek ausnutzt, kann es möglich sein, das IDS-System selbst zu infizieren. Inline-NIDS fungieren als Single Points of Failure. Sie müssen sehr schnell eine große Menge an Datenverkehr analysieren, und wenn sie nicht mithalten können, müssen sie ihn entweder löschen, was zu Leistungs-/Stabilitätsproblemen führt, oder ihn durchlassen, wodurch möglicherweise bösartige Aktivitäten übersehen werden.

Das Trainieren eines auf Anomalien basierenden Systems erfordert in erster Linie, dass das Netzwerk sicher ist. Wenn bereits Malware im Netzwerk kommuniziert, wird diese ganz normal in die Baseline aufgenommen und ignoriert. Darüber hinaus kann die Basislinie langsam von einem böswilligen Akteur erweitert werden, der sich einfach Zeit nimmt, um die Grenzen zu erweitern und sie zu dehnen, anstatt sie zu brechen. Schließlich kann ein IDS verschlüsselten Datenverkehr nicht alleine analysieren. Um dies tun zu können, müsste das Unternehmen Man-in-the-Middle (MitM) den Datenverkehr mit einem Unternehmens-Root-Zertifikat verwalten. Dies hat in der Vergangenheit seine eigenen Risiken mit sich gebracht. Angesichts des Anteils an modernem Netzwerkverkehr, der unverschlüsselt bleibt, kann dies die Nützlichkeit eines NIDS etwas einschränken. Es ist erwähnenswert, dass auch ohne Entschlüsselung des Datenverkehrs

Abschluss

Ein IDS ist ein Intrusion Detection System. Es handelt sich im Grunde genommen um eine vergrößerte Version eines Antivirenprodukts, das für den Einsatz in Unternehmensnetzwerken entwickelt wurde und eine zentralisierte Berichterstellung über ein SIEM bietet. Es kann sowohl auf einzelnen Geräten arbeiten als auch den allgemeinen Netzwerkverkehr in Varianten, die als HIDS bzw. NIDS bekannt sind, überwachen. Ein IDS leidet unter sehr hohen Falsch-Positiv-Raten, um Falsch-Negative zu vermeiden. In der Regel werden Berichte von einem menschlichen Sicherheitsteam gesichtet. Einige Aktionen können bei hoher Erkennungszuverlässigkeit automatisiert und dann zur Überprüfung gekennzeichnet werden. Ein solches System ist als IPS oder IDPS bekannt.