Home » » IDS とは何ですか?

IDS とは何ですか?

インターネット上にはたくさんのマルウェアがあふれています。ありがたいことに、利用できる保護手段はたくさんあります。ウイルス対策製品などの一部は、デバイスごとに実行するように設計されており、デバイスの数が少ない個人に最適です。ウイルス対策ソフトウェアは、大規模なエンタープライズ ネットワークでも役立ちます。ただし、そこにある問題の 1 つは、マシン上でのみ報告するウイルス対策ソフトウェアが実行されているデバイスの数です。企業ネットワークは、ウイルス対策インシデントのレポートを一元化することを強く望んでいます。ホーム ユーザーにとっての利点は、エンタープライズ ネットワークにとっての弱点です。

ウイルス対策を超えて

物事をさらに進めるには、別のアプローチが必要です。このアプローチは、IDS または侵入検知システムと呼ばれます。IDS にはさまざまなバリエーションがあり、その多くは相互に補完することができます。たとえば、IDS は、デバイスまたはネットワーク トラフィックを監視するタスクを実行できます。IDS を監視するデバイスは、HIDS またはホスト (ベース) 侵入検知システムと呼ばれます。ネットワーク監視 IDS は、NIDS またはネットワーク侵入検知システムとして知られています。HIDS はウイルス対策スイートに似ており、デバイスを監視し、集中型システムに報告します。

NIDS は通常、ネットワークのトラフィックの多い領域に配置されます。多くの場合、これはコア ネットワーク/バックボーン ルーター上か、ネットワークとそのインターネットへの接続の境界にあります。NIDS は、インラインまたはタップ構成になるように構成できます。インライン NIDS は、IPS としての検出に基づいてトラフィックをアクティブにフィルター処理できますが (このファセットについては後で説明します)、単一障害点として機能します。タップ構成は、基本的にすべてのネットワーク トラフィックを NIDS にミラーリングします。その後、単一障害点として機能することなく、監視機能を実行できます。

モニタリング方法

IDS は通常、さまざまな検出方法を使用します。従来のアプローチは、まさにウイルス対策製品で使用されているものです。シグネチャベースの検出。この中で IDS は、観測されたソフトウェアまたはネットワーク トラフィックを、既知のマルウェアおよび悪意のあるネットワーク トラフィックの膨大な数のシグネチャと比較します。これは、既知の脅威に対抗するためのよく知られた、一般的にかなり効果的な方法です。ただし、署名ベースの監視は特効薬ではありません。シグネチャの問題は、最初にマルウェアを検出してから、そのシグネチャを比較リストに追加する必要があることです。これにより、新しい攻撃を検出する際に役に立たなくなり、既存の手法のバリエーションに対して脆弱になります。

IDS が識別に使用する主な代替方法は、異常な動作です。異常ベースの検出では、標準的な使用状況のベースラインを取得し、異常なアクティビティについて報告します。これは強力なツールになる可能性があります。不正な内部関係者の潜在的な脅威によるリスクを浮き彫りにすることさえできます。これに関する主な問題は、各システムのベースライン動作に合わせて調整する必要があることです。つまり、トレーニングする必要があります。これは、IDS のトレーニング中にシステムがすでに侵害されている場合、悪意のあるアクティビティが異常であると見なされないことを意味します。

開発中の分野は、人工ニューラル ネットワークを使用して異常に基づく検出プロセスを実行することです。この分野は有望ですが、まだかなり新しく、より古典的なバージョンの異常ベースの検出と同様の課題に直面する可能性があります。

集中化: 呪いですか、それとも祝福ですか?

IDS の重要な機能の 1 つは集中化です。これにより、ネットワーク セキュリティ チームはライブ ネットワークとデバイス ステータスの更新を収集できます。これには多くの情報が含まれますが、そのほとんどは「すべて問題ありません」です。偽陰性、つまり悪意のあるアクティビティを見逃す可能性を最小限に抑えるために、ほとんどの IDS システムは非常に「ぴくぴく」するように構成されています。何かがおかしいというわずかな兆候さえも報告されます。多くの場合、このレポートは人間がトリアージする必要があります。誤検知が多い場合、担当チームはすぐに圧倒され、燃え尽き症候群に直面する可能性があります。これを避けるために、フィルターを導入して IDS の感度を下げることができますが、これにより偽陰性のリスクが高まります。さらに、

システムを一元化するには、多くの場合、複雑な SIEM システムを追加する必要があります。SIEM は、セキュリティ情報およびイベント管理システムの略です。これには、通常、近くのデバイスからレポートを収集するネットワーク周辺の一連の収集エージェントが含まれます。これらの収集エージェントは、レポートを中央管理システムにフィードバックします。SIEM の導入により、ネットワークの脅威面が増加します。多くの場合、セキュリティ システムは十分に保護されていますが、これは保証ではなく、マルウェアによる感染に対して脆弱である可能性があり、それによって報告されなくなります。ただし、これはセキュリティ システムにとって常にリスクとなります。

IPS による応答の自動化

IDS は基本的に警告システムです。悪意のあるアクティビティを探し、監視チームにアラートをスローします。これは、すべてが人間によって監視されることを意味しますが、特にアクティビティが急増した場合には、遅延のリスクが伴います。例えば。ランサムウェア ワームがネットワークに侵入した場合を想像してみてください。人間のレビュー担当者が IDS アラートを正当なものとして識別するまでに時間がかかる場合があり、その時点でワームはさらに拡散している可能性があります。

確実性の高いアラートに対応するプロセスを自動化する IDS は、IPS または IDPS と呼ばれ、「P」は「保護」を意味します。IPS は自動化されたアクションを実行して、リスクを最小限に抑えようとします。もちろん、IDS の偽陽性率が高いため、すべてのアラートに IPS を適用するのではなく、確実性が高いと見なされるアラートにのみ適用する必要があります。

HIDS では、IPS はウイルス対策ソフトウェアの検疫機能のように機能します。疑わしいマルウェアを自動的にロックダウンし、インシデントを分析するようセキュリティ チームに警告します。NIDS では、IPS はインラインである必要があります。これは、すべてのトラフィックが IPS を通過する必要があり、単一障害点になることを意味します。ただし、逆に、疑わしいネットワーク トラフィックを積極的に削除またはドロップし、セキュリティ チームにインシデントを確認するよう警告することができます。

純粋な IDS に対する IPS の主な利点は、多くの脅威に対して、人間によるレビューだけで達成できるよりもはるかに速く自動的に対応できることです。これにより、データ流出イベントなどを、事後に発生したことを単に特定するのではなく、発生時に防止できます。

制限事項

IDS にはいくつかの制限があります。シグニチャ ベースの検出機能は最新のシグニチャに依存しているため、潜在的に危険性の高い新しいマルウェアを検出する効果が低くなります。通常、誤検出率は非常に高く、正当な問題が発生するまでに長い時間がかかることがあります。これにより、セキュリティ チームが鈍感になり、アラームに無関心になる可能性があります。このような態度は、まれな真陽性を偽陽性と誤分類するリスクを高めます。

通常、ネットワーク トラフィック分析ツールは、標準ライブラリを使用してネットワーク トラフィックを分析します。悪意のあるトラフィックがライブラリの欠陥を悪用するものである場合、IDS システム自体に感染する可能性があります。インライン NIDS は単一障害点として機能します。大量のトラフィックを非常に迅速に分析する必要があり、追いつかない場合は、トラフィックをドロップしてパフォーマンス/安定性の問題を引き起こすか、通過させて悪意のあるアクティビティを見逃す可能性があります。

異常ベースのシステムをトレーニングするには、ネットワークが最初から安全である必要があります。ネットワーク上で通信しているマルウェアが既に存在する場合、これは通常どおりベースラインに含まれ、無視されます。さらに、ベースラインは、悪意のあるアクターが時間をかけて境界を押し広げ、境界を破るのではなく引き延ばすことによって、ゆっくりと拡大することができます。最後に、IDS は単独では暗号化されたトラフィックを分析できません。これを行うには、企業は、企業のルート証明書を使用してトラフィックの中間者 (MitM) を実行する必要があります。これは、過去に独自のリスクをもたらしました。暗号化されていない最新のネットワーク トラフィックの割合により、NIDS の有用性が多少制限される可能性があります。トラフィックを復号化しなくても、

結論

IDS は侵入検知システムです。これは基本的に、企業ネットワークで使用するために設計されたウイルス対策製品のスケールアップ バージョンであり、SIEM による集中レポート機能を備えています。個々のデバイスで動作し、それぞれ HIDS および NIDS として知られるバリアントで一般的なネットワーク トラフィックを監視できます。IDS は、偽陰性を回避するために非常に高い偽陽性率に悩まされています。通常、レポートはヒューマン セキュリティ チームによってトリアージされます。検出の信頼度が高い場合、一部のアクションは自動化され、レビューのためにフラグが立てられる場合があります。このようなシステムは、IPS または IDPS として知られています。


Leave a Comment

ハードドライブのクローンを作成する方法

ハードドライブのクローンを作成する方法

データが貴重な資産である現代のデジタル時代では、Windows 上でハード ドライブのクローンを作成することは、多くの人にとって重要なプロセスとなる可能性があります。この包括的なガイド

Windows 10でドライバーWUDFRdのロードに失敗した場合の修正方法

Windows 10でドライバーWUDFRdのロードに失敗した場合の修正方法

コンピュータの起動中に、ドライバ WUDFRd をコンピュータに読み込めなかったことを示すエラー メッセージが表示されましたか?

NVIDIA GeForce Experienceエラーコード0x0003を修正する方法

NVIDIA GeForce Experienceエラーコード0x0003を修正する方法

デスクトップで NVIDIA GeForce experience エラー コード 0x0003 が発生していますか? 「はい」の場合は、ブログを読んで、このエラーをすばやく簡単に修正する方法を見つけてください。

Chromebook の電源が入らないのはなぜですか

Chromebook の電源が入らないのはなぜですか

「Chromebook の電源がオンにならないのはなぜですか?」という質問に対する答えを見つけます。この役立つガイドは Chromebook ユーザー向けです。

Fitbit Versa 4 の文字盤を変更する方法

Fitbit Versa 4 の文字盤を変更する方法

Fitbit Versa 4 の文字盤を無料で変更して、時計の外観を毎日変えることができます。それがいかに早くて簡単かを見てください。

ルンバが止まったり、くっついたり、向きを変えたりする – 修正

ルンバが止まったり、くっついたり、向きを変えたりする – 修正

ルンバ ロボット掃除機が停止し、固着し、回転し続ける問題を修正します。

Steam Deckのグラフィック設定を変更する方法

Steam Deckのグラフィック設定を変更する方法

Steam デッキは、堅牢で多彩なゲーム体験をすぐに提供します。ただし、ゲームを最適化し、可能な限り最高のパフォーマンスを保証するには、

分離ベースのセキュリティとは何ですか?

分離ベースのセキュリティとは何ですか?

サイバーセキュリティの世界でますます重要になっているトピック、つまり分離ベースのセキュリティを詳しく掘り下げる予定でした。このアプローチは、

Chromebook でオート クリッカーを使用する方法

Chromebook でオート クリッカーを使用する方法

今日は、Chromebook で繰り返しクリックするタスクを自動化できるツール、オート クリッカーについて詳しく説明します。このツールは時間を節約し、

SMPSとは何ですか?

SMPSとは何ですか?

コンピューターに SMPS を選択する前に、SMPS とは何か、およびさまざまな効率評価の意味を理解してください。