Wat is een IDS?

Er zweeft veel malware rond op internet. Gelukkig zijn er veel beschermingsmaatregelen beschikbaar. Sommige, zoals antivirusproducten, zijn ontworpen om per apparaat te worden uitgevoerd en zijn ideaal voor personen met een klein aantal apparaten. Antivirussoftware is ook handig in grote bedrijfsnetwerken. Een van de problemen daar is echter simpelweg het aantal apparaten waarop antivirussoftware draait die alleen op de machine rapporteert. Een bedrijfsnetwerk wil graag dat meldingen van antivirusincidenten worden gecentraliseerd. Wat een voordeel is voor thuisgebruikers, is een zwak punt voor bedrijfsnetwerken.

Verder gaan dan antivirus

Om verder te komen is een andere aanpak nodig. Deze aanpak wordt een IDS of Intrusion Detection System genoemd. Er zijn veel verschillende variaties op de IDS, waarvan er vele elkaar kunnen aanvullen. Een IDS kan bijvoorbeeld worden belast met het monitoren van een apparaat of netwerkverkeer. Een apparaat dat IDS bewaakt, wordt HIDS of Host(-based) Intrusion Detection System genoemd. Een netwerkbewakings-IDS staat bekend als een NIDS of Network Intrusion Detection System. Een HIDS is vergelijkbaar met een antivirussuite, die een apparaat bewaakt en rapporteert aan een gecentraliseerd systeem.

Een NIDS wordt over het algemeen geplaatst in een drukbezocht gebied van het netwerk. Vaak zal dit ofwel op een kernnetwerk/backbone-router zijn of op de grens van het netwerk en de verbinding met internet. Een NIDS kan worden geconfigureerd om inline of in een tapconfiguratie te zijn. Een inline NIDS kan actief verkeer filteren op basis van detecties als een IPS (een facet waar we later op terugkomen), maar het fungeert als een single point of failure. Een tapconfiguratie weerspiegelt in feite al het netwerkverkeer naar de NIDS. Het kan dan zijn bewakingsfuncties uitvoeren zonder als single point of failure te fungeren.

Bewakingsmethoden

Een IDS gebruikt doorgaans een reeks detectiemethoden. De klassieke benadering is precies wat wordt gebruikt in antivirusproducten; op handtekeningen gebaseerde detectie. Hierbij vergelijkt de IDS de waargenomen software of het netwerkverkeer met een enorm scala aan handtekeningen van bekende malware en kwaadaardig netwerkverkeer. Dit is een bekende en over het algemeen redelijk effectieve manier om bekende bedreigingen tegen te gaan. Op handtekeningen gebaseerde monitoring is echter geen wondermiddel. Het probleem met handtekeningen is dat u eerst de malware moet detecteren om vervolgens de handtekening aan de vergelijkingslijst toe te voegen. Dit maakt het onbruikbaar bij het detecteren van nieuwe aanvallen en kwetsbaar voor variaties op bestaande technieken.

De belangrijkste alternatieve methode die een IDS gebruikt voor identificatie is abnormaal gedrag. Detectie op basis van afwijkingen neemt een basislijn van standaardgebruik en rapporteert vervolgens over ongebruikelijke activiteit. Dit kan een krachtig hulpmiddel zijn. Het kan zelfs wijzen op een risico van een potentiële malafide bedreiging van binnenuit. Het belangrijkste probleem hiermee is dat het moet worden afgestemd op het basisgedrag van elk systeem, wat betekent dat het moet worden getraind. Dit betekent dat als het systeem al is gecompromitteerd terwijl de IDS wordt getraind, het de kwaadaardige activiteit niet als ongebruikelijk zal beschouwen.

Een veld in ontwikkeling is het gebruik van kunstmatige neurale netwerken om het op anomalie gebaseerde detectieproces uit te voeren. Dit veld is veelbelovend, maar is nog redelijk nieuw en staat waarschijnlijk voor vergelijkbare uitdagingen als de meer klassieke versies van op anomalie gebaseerde detectie.

Centralisatie: een vloek of een zegen?

Een van de belangrijkste kenmerken van een IDS is centralisatie. Hiermee kan een netwerkbeveiligingsteam live netwerk- en apparaatstatusupdates verzamelen. Dit omvat veel informatie, waarvan de meeste is "alles is in orde". Om de kans op fout-negatieven, dwz gemiste kwaadaardige activiteit, te minimaliseren, zijn de meeste IDS-systemen zo geconfigureerd dat ze erg zenuwachtig zijn. Zelfs de geringste aanwijzing dat er iets niet klopt, wordt gemeld. Vaak moet deze melding vervolgens door een mens worden getriggerd. Als er veel valse positieven zijn, kan het verantwoordelijke team snel overweldigd raken en een burn-out krijgen. Om dit te voorkomen, kunnen filters worden geïntroduceerd om de gevoeligheid van de IDS te verminderen, maar dit verhoogt het risico op fout-negatieven. Aanvullend,

Bij het centraliseren van het systeem wordt vaak ook een complex SIEM-systeem toegevoegd. SIEM staat voor Security Information en Event Management systeem. Meestal gaat het om een ​​reeks incassobureaus in het netwerk die rapporten verzamelen van apparaten in de buurt. Deze incassobureaus koppelen de rapportages vervolgens terug aan het centrale beheersysteem. De introductie van een SIEM vergroot wel het netwerkdreigingsoppervlak. Beveiligingssystemen zijn vaak redelijk goed beveiligd, maar dit is geen garantie, en ze kunnen zelf kwetsbaar zijn voor infectie door malware die vervolgens voorkomt dat ze worden gemeld. Dit is echter altijd een risico voor elk beveiligingssysteem.

Reacties automatiseren met een IPS

Een IDS is in feite een waarschuwingssysteem. Het zoekt naar kwaadaardige activiteiten en stuurt vervolgens waarschuwingen naar het monitoringteam. Dit betekent dat alles door een mens wordt bekeken, maar dit brengt het risico van vertragingen met zich mee, vooral in het geval van een uitbarsting van activiteit. Bijvoorbeeld. Stel je voor dat een ransomware-worm het netwerk binnendringt. Het kan enige tijd duren voordat de menselijke reviewers een IDS-waarschuwing als legitiem beschouwen, waarna de worm zichzelf wellicht verder heeft verspreid.

Een IDS die het proces van handelen op waarschuwingen met hoge zekerheid automatiseert, wordt een IPS of een IDPS genoemd, waarbij de "P" staat voor "Protection". Een IPS onderneemt geautomatiseerde actie om het risico te minimaliseren. Met het hoge fout-positieve percentage van een IDS wilt u natuurlijk niet dat een IPS op elk alarm reageert, alleen op degenen die geacht worden een hoge mate van zekerheid te hebben.

Op een HIDS werkt een IPS als een quarantainefunctie voor antivirussoftware. Het vergrendelt automatisch de vermoedelijke malware en waarschuwt het beveiligingsteam om het incident te analyseren. Op een NIDS moet een IPS inline zijn. Dit betekent dat al het verkeer via het IPS moet lopen, waardoor het een single point of failure wordt. Omgekeerd kan het echter actief verdacht netwerkverkeer verwijderen of verwijderen en het beveiligingsteam waarschuwen om het incident te beoordelen.

Het belangrijkste voordeel van een IPS ten opzichte van een pure IDS is dat het automatisch veel sneller kan reageren op veel bedreigingen dan mogelijk zou zijn met alleen menselijke beoordeling. Hierdoor kan het zaken als data-exfiltratie-gebeurtenissen voorkomen terwijl ze plaatsvinden, in plaats van alleen maar te identificeren dat het achteraf is gebeurd.

Beperkingen

Een IDS heeft verschillende beperkingen. De op handtekeningen gebaseerde detectiefunctionaliteit is afhankelijk van up-to-date handtekeningen, waardoor deze minder effectief is in het opsporen van potentieel gevaarlijkere nieuwe malware. Het percentage fout-positieven is over het algemeen erg hoog en er kunnen grote perioden tussen legitieme problemen zitten. Dit kan ertoe leiden dat het beveiligingsteam ongevoelig en blasé wordt over alarmen. Deze houding verhoogt het risico dat ze een zeldzame terecht-positief verkeerd categoriseren als een vals-positief.

Hulpprogramma's voor analyse van netwerkverkeer gebruiken doorgaans standaardbibliotheken om het netwerkverkeer te analyseren. Als het verkeer kwaadaardig is en misbruik maakt van een fout in de bibliotheek, is het misschien mogelijk om het IDS-systeem zelf te infecteren. Inline NIDS fungeren als single points of failure. Ze moeten heel snel een grote hoeveelheid verkeer analyseren en als ze dat niet kunnen bijhouden, moeten ze het ofwel laten vallen, wat prestatie-/stabiliteitsproblemen veroorzaakt, of het doorlaten, waarbij ze mogelijk schadelijke activiteit missen.

Het trainen van een op anomalie gebaseerd systeem vereist dat het netwerk in de eerste plaats veilig is. Als er al malware op het netwerk communiceert, wordt dit normaal in de basislijn opgenomen en genegeerd. Bovendien kan de basislijn langzaam worden uitgebreid door een kwaadwillende actor die gewoon de tijd neemt om de grenzen te verleggen, ze op te rekken in plaats van ze te breken. Ten slotte kan een IDS niet alleen versleuteld verkeer analyseren. Om dit te kunnen doen, zou de onderneming het verkeer moeten man in the middle (MitM) met een bedrijfsrootcertificaat. Dit heeft in het verleden zijn eigen risico's geïntroduceerd. Met het percentage van het moderne netwerkverkeer dat onversleuteld blijft, kan dit het nut van een NIDS enigszins beperken. Het is vermeldenswaard dat zelfs zonder het verkeer te decoderen,

Conclusie

Een IDS is een inbraakdetectiesysteem. Het is eigenlijk een opgeschaalde versie van een antivirusproduct dat is ontworpen voor gebruik in bedrijfsnetwerken en met gecentraliseerde rapportage via een SIEM. Het kan zowel op individuele apparaten werken als algemeen netwerkverkeer monitoren in varianten die respectievelijk bekend staan ​​als HIDS en NIDS. Een IDS lijdt aan zeer hoge fout-positieve percentages in een poging om fout-negatieven te voorkomen. Doorgaans worden meldingen beoordeeld door een menselijk beveiligingsteam. Sommige acties, wanneer het detectievertrouwen hoog is, kunnen worden geautomatiseerd en vervolgens worden gemarkeerd voor beoordeling. Zo'n systeem staat bekend als een IPS of IDPS.