IDS란 무엇입니까?

인터넷에는 수많은 맬웨어가 떠돌고 있습니다. 고맙게도 사용 가능한 많은 보호 조치가 있습니다. 바이러스 백신 제품과 같은 일부 제품은 장치별로 실행되도록 설계되었으며 장치 수가 적은 개인에게 이상적입니다. 바이러스 백신 소프트웨어는 대기업 네트워크에서도 유용합니다. 그러나 거기에 있는 문제 중 하나는 컴퓨터에 대해서만 보고하는 바이러스 백신 소프트웨어가 실행되는 장치의 수입니다. 엔터프라이즈 네트워크는 바이러스 백신 사고에 대한 보고서를 중앙 집중화하기를 정말로 원합니다. 가정 사용자의 장점은 기업 네트워크의 약점입니다.

바이러스 백신을 넘어

더 나아가려면 다른 접근 방식이 필요합니다. 이 접근 방식을 IDS 또는 침입 탐지 시스템이라고 합니다. IDS에는 다양한 변형이 있으며 그 중 다수는 서로를 보완할 수 있습니다. 예를 들어, IDS는 장치나 네트워크 트래픽을 모니터링하는 임무를 맡을 수 있습니다. IDS를 모니터링하는 장치를 HIDS 또는 호스트(기반) 침입 탐지 시스템이라고 합니다. 네트워크 모니터링 IDS는 NIDS 또는 네트워크 침입 탐지 시스템으로 알려져 있습니다. HIDS는 장치를 모니터링하고 중앙 집중식 시스템에 다시 보고하는 바이러스 백신 제품군과 유사합니다.

NIDS는 일반적으로 네트워크의 트래픽이 많은 영역에 배치됩니다. 종종 이것은 코어 네트워크/백본 라우터에 있거나 네트워크 및 인터넷 연결의 경계에 있습니다. NIDS는 인라인 또는 탭 구성으로 구성할 수 있습니다. 인라인 NIDS는 IPS(나중에 다시 설명할 패싯)로서의 탐지를 기반으로 트래픽을 능동적으로 필터링할 수 있지만 단일 실패 지점으로 작동합니다. 탭 구성은 기본적으로 모든 네트워크 트래픽을 NIDS로 미러링합니다. 그런 다음 단일 실패 지점으로 작동하지 않고 모니터링 기능을 수행할 수 있습니다.

모니터링 방법

IDS는 일반적으로 다양한 탐지 방법을 사용합니다. 고전적인 접근 방식은 정확히 바이러스 백신 제품에 사용되는 방식입니다. 서명 기반 탐지. 여기에서 IDS는 관찰된 소프트웨어 또는 네트워크 트래픽을 알려진 맬웨어 및 악성 네트워크 트래픽의 방대한 시그니처 배열과 비교합니다. 이것은 알려진 위협에 대응하는 잘 알려져 있고 일반적으로 상당히 효과적인 방법입니다. 그러나 서명 기반 모니터링은 묘책이 아닙니다. 서명의 문제점은 먼저 맬웨어를 탐지한 다음 해당 서명을 비교 목록에 추가해야 한다는 것입니다. 이로 인해 새로운 공격을 탐지하는 데 쓸모가 없고 기존 기술의 변형에 취약합니다.

IDS가 식별을 위해 사용하는 주요 대체 방법은 비정상적인 동작입니다. 이상 기반 탐지는 표준 사용의 기준선을 취한 다음 비정상적인 활동에 대해 보고합니다. 이것은 강력한 도구가 될 수 있습니다. 잠재적인 악의적인 내부자 위협의 위험을 강조 표시할 수도 있습니다. 이것의 주요 문제는 각 시스템의 기본 동작에 맞춰 조정해야 한다는 것입니다. 즉, 교육을 받아야 합니다. 즉, IDS가 훈련되는 동안 시스템이 이미 손상된 경우 악의적인 활동을 비정상적인 것으로 간주하지 않습니다.

개발 중인 분야는 이상 기반 감지 프로세스를 수행하기 위해 인공 신경망을 사용하는 것입니다. 이 필드는 가능성을 보여주지만 여전히 상당히 새롭고 고전적인 버전의 이상 기반 탐지와 유사한 문제에 직면할 가능성이 높습니다.

중앙화: 저주인가 축복인가?

IDS의 주요 기능 중 하나는 중앙 집중화입니다. 이를 통해 네트워크 보안 팀은 실시간 네트워크 및 장치 상태 업데이트를 수집할 수 있습니다. 여기에는 많은 정보가 포함되며 대부분 "모든 것이 정상입니다"입니다. 위음성, 즉 악의적인 활동을 놓칠 가능성을 최소화하기 위해 대부분의 IDS 시스템은 매우 "이상하게" 구성됩니다. 무언가 꺼져 있다는 아주 작은 힌트도 보고됩니다. 종종 이 보고서는 사람이 분류해야 합니다. 잘못된 긍정이 많으면 담당 팀이 빠르게 압도당하고 소진될 수 있습니다. 이를 방지하기 위해 IDS의 민감도를 줄이기 위해 필터를 도입할 수 있지만 이는 위음성의 위험을 증가시킵니다. 추가적으로,

시스템을 중앙 집중화하려면 종종 복잡한 SIEM 시스템을 추가해야 합니다. SIEM은 보안 정보 및 이벤트 관리 시스템을 의미합니다. 일반적으로 주변 장치에서 보고서를 수집하는 네트워크 주변의 수집 에이전트 배열을 포함합니다. 그런 다음 이러한 수집 에이전트는 보고서를 중앙 관리 시스템에 다시 제공합니다. SIEM의 도입은 네트워크 위협 표면을 증가시킵니다. 보안 시스템은 종종 꽤 잘 보호되지만 이것이 보장되는 것은 아니며 자체적으로 맬웨어에 감염되어 보고되지 않을 수 있습니다. 그러나 이것은 모든 보안 시스템에 항상 위험합니다.

IPS로 응답 자동화

IDS는 기본적으로 경고 시스템입니다. 악의적인 활동을 찾은 다음 모니터링 팀에 경고를 보냅니다. 즉, 사람이 모든 것을 검토하지만 특히 활동이 급증하는 경우 지연의 위험이 있습니다. 예를 들어. 랜섬웨어 웜이 네트워크에 침입했다고 상상해 보십시오. 인간 검토자가 웜이 더 확산되었을 수 있는 지점에서 IDS 경고를 합법적인 것으로 식별하는 데 시간이 걸릴 수 있습니다.

확실성이 높은 경고에 대한 조치 프로세스를 자동화하는 IDS를 IPS 또는 IDPS라고 하며 "P"는 "보호"를 의미합니다. IPS는 위험을 최소화하기 위해 자동화된 조치를 취합니다. 물론 IDS의 오탐율이 높기 때문에 IPS가 모든 경보에 대해 조치를 취하는 것이 아니라 확실성이 높은 것으로 간주되는 경보에만 조치를 취하기를 원할 것입니다.

HIDS에서 IPS는 안티바이러스 소프트웨어 검역 기능처럼 작동합니다. 의심되는 맬웨어를 자동으로 잠그고 보안 팀에 사고를 분석하도록 경고합니다. NIDS에서 IPS는 인라인이어야 합니다. 즉, 모든 트래픽은 IPS를 통해 실행되어야 하므로 단일 장애 지점이 됩니다. 그러나 반대로 의심스러운 네트워크 트래픽을 능동적으로 제거하거나 삭제하고 보안 팀에 사건을 검토하도록 경고할 수 있습니다.

순수한 IDS에 비해 IPS의 주요 이점은 사람의 검토만으로 달성할 수 있는 것보다 훨씬 빠르게 많은 위협에 자동으로 대응할 수 있다는 것입니다. 이를 통해 사실 이후에 발생했음을 식별하는 것보다 데이터 유출 이벤트와 같은 일이 발생하는 것을 방지할 수 있습니다.

제한 사항

IDS에는 몇 가지 제한 사항이 있습니다. 서명 기반 탐지 기능은 최신 서명에 의존하므로 잠재적으로 더 위험한 새로운 맬웨어를 잡는 데 덜 효과적입니다. 오탐율은 일반적으로 매우 높으며 합법적인 문제 사이에는 오랜 시간이 걸릴 수 있습니다. 이로 인해 보안 팀이 무감각해지고 경보에 대해 무뚝뚝해질 수 있습니다. 이러한 태도는 희귀한 참양성을 거짓양성으로 잘못 분류할 위험을 높입니다.

네트워크 트래픽 분석 도구는 일반적으로 표준 라이브러리를 사용하여 네트워크 트래픽을 분석합니다. 트래픽이 악의적이고 라이브러리의 결함을 악용하는 경우 IDS 시스템 자체를 감염시킬 수 있습니다. 인라인 NIDS는 단일 실패 지점 역할을 합니다. 그들은 많은 양의 트래픽을 매우 빠르게 분석해야 하며, 따라갈 수 없는 경우 트래픽을 삭제하여 성능/안정성 문제를 일으키거나 허용하여 악의적인 활동을 놓칠 가능성이 있습니다.

이상 기반 시스템을 교육하려면 먼저 네트워크가 안전해야 합니다. 네트워크에서 통신 중인 맬웨어가 이미 있는 경우 기준선에 정상적으로 포함되고 무시됩니다. 또한 악의적인 행위자가 단순히 시간을 들여 경계를 허물기보다는 늘리는 데 시간을 들여 기준선을 천천히 확장할 수 있습니다. 마지막으로 IDS는 자체적으로 암호화된 트래픽을 분석할 수 없습니다. 이를 수행하려면 기업은 기업 루트 인증서를 사용하여 중간자(MitM) 트래픽을 처리해야 합니다. 이것은 과거에 자체 위험을 도입했습니다. 암호화되지 않은 상태로 남아 있는 최신 네트워크 트래픽의 비율로 인해 NIDS의 유용성이 어느 정도 제한될 수 있습니다. 트래픽을 해독하지 않아도

결론

IDS는 침입 탐지 시스템입니다. 기본적으로 엔터프라이즈 네트워크에서 사용하도록 설계된 바이러스 백신 제품의 확장 버전이며 SIEM을 통한 중앙 집중식 보고 기능을 제공합니다. 개별 장치에서 작동하고 각각 HIDS 및 NIDS로 알려진 변형에서 일반 네트워크 트래픽을 모니터링할 수 있습니다. IDS는 위음성을 피하기 위한 노력으로 매우 높은 위양성률로 인해 어려움을 겪고 있습니다. 일반적으로 보고서는 인간 보안 팀에서 분류합니다. 탐지 신뢰도가 높을 때 일부 작업은 자동화된 다음 검토를 위해 플래그가 지정될 수 있습니다. 이러한 시스템을 IPS 또는 IDPS라고 합니다.