Co to jest identyfikator?

W Internecie krąży mnóstwo złośliwego oprogramowania. Na szczęście dostępnych jest wiele środków ochrony. Niektóre z nich, takie jak produkty antywirusowe, są przeznaczone do uruchamiania na poszczególnych urządzeniach i są idealne dla osób z niewielką liczbą urządzeń. Oprogramowanie antywirusowe jest również przydatne w dużych sieciach korporacyjnych. Jednym z problemów jest jednak po prostu liczba urządzeń, na których działa oprogramowanie antywirusowe, które raportuje tylko na komputerze. Sieć korporacyjna naprawdę chce, aby raporty o incydentach związanych z oprogramowaniem antywirusowym były scentralizowane. To, co jest zaletą dla użytkowników domowych, jest słabością sieci korporacyjnych.

Wykracza poza program antywirusowy

Aby pójść dalej, potrzebne jest inne podejście. To podejście jest określane jako IDS lub Intrusion Detection System. Istnieje wiele różnych odmian IDS, z których wiele może się uzupełniać. Na przykład systemowi IDS można przypisać zadanie monitorowania urządzenia lub ruchu sieciowego. Urządzenie monitorujące IDS jest określane jako HIDS lub Host(-based) Intrusion Detection System. IDS monitorujący sieć jest znany jako NIDS lub Network Intrusion Detection System. HIDS jest podobny do pakietu antywirusowego, który monitoruje urządzenie i przesyła raporty do scentralizowanego systemu.

NIDS jest zwykle umieszczany w obszarze sieci o dużym natężeniu ruchu. Często będzie to albo w sieci rdzeniowej/routerze szkieletowym, albo na granicy sieci i jej połączenia z Internetem. NIDS można skonfigurować tak, aby działał w linii lub w konfiguracji z kranem. Wbudowany NIDS może aktywnie filtrować ruch w oparciu o wykrycia jako IPS (aspekt, do którego wrócimy później), jednak działa jako pojedynczy punkt awarii. Konfiguracja kranu zasadniczo odzwierciedla cały ruch sieciowy w NIDS. Może wtedy wykonywać swoje funkcje monitorowania bez działania jako pojedynczy punkt awarii.

Metody monitorowania

System IDS zazwyczaj wykorzystuje szereg metod wykrywania. Klasyczne podejście jest dokładnie tym, co jest stosowane w produktach antywirusowych; wykrywanie oparte na sygnaturach. W tym przypadku IDS porównuje obserwowane oprogramowanie lub ruch sieciowy z ogromną liczbą sygnatur znanego złośliwego oprogramowania i złośliwego ruchu sieciowego. Jest to dobrze znany i ogólnie dość skuteczny sposób przeciwdziałania znanym zagrożeniom. Monitorowanie oparte na sygnaturach nie jest jednak srebrną kulą. Problem z sygnaturami polega na tym, że najpierw trzeba wykryć złośliwe oprogramowanie, a następnie dodać jego sygnaturę do listy porównawczej. To czyni go bezużytecznym w wykrywaniu nowych ataków i podatnym na zmiany istniejących technik.

Główną alternatywną metodą stosowaną przez IDS do identyfikacji jest zachowanie anomalne. Wykrywanie oparte na anomaliach opiera się na linii bazowej standardowego użycia, a następnie zgłasza nietypową aktywność. To może być potężne narzędzie. Może nawet zwrócić uwagę na ryzyko związane z potencjalnym nieuczciwym zagrożeniem wewnętrznym. Głównym problemem jest to, że musi być dostrojony do podstawowego zachowania każdego systemu, co oznacza, że ​​musi zostać przeszkolony. Oznacza to, że jeśli system został już zaatakowany podczas szkolenia IDS, nie uzna złośliwej aktywności za nietypową.

Rozwijającą się dziedziną jest wykorzystanie sztucznych sieci neuronowych do przeprowadzania procesu wykrywania opartego na anomaliach. To pole jest obiecujące, ale wciąż jest dość nowe i prawdopodobnie napotyka podobne wyzwania, jak bardziej klasyczne wersje wykrywania opartego na anomaliach.

Centralizacja: przekleństwo czy błogosławieństwo?

Jedną z kluczowych cech IDS jest centralizacja. Umożliwia zespołowi ds. bezpieczeństwa sieci gromadzenie bieżących aktualizacji stanu sieci i urządzeń. Obejmuje to wiele informacji, z których większość to „wszystko w porządku”. Aby zminimalizować szanse na fałszywe negatywy, tj. przeoczenie szkodliwej aktywności, większość systemów IDS jest skonfigurowana tak, aby działały bardzo „twitchly”. Zgłaszana jest nawet najmniejsza wskazówka, że ​​coś jest nie tak. Często ten raport musi następnie zostać oceniony przez człowieka. Jeśli jest wiele fałszywych alarmów, odpowiedzialny zespół może szybko zostać przytłoczony i stanąć w obliczu wypalenia. Aby tego uniknąć, można wprowadzić filtry zmniejszające czułość IDS, ale zwiększa to ryzyko fałszywych wyników negatywnych. Dodatkowo,

Centralizacja systemu często wiąże się również z dodaniem złożonego systemu SIEM. SIEM to skrót od Security Information and Event Management system. Zwykle obejmuje szereg agentów zbierających w sieci, zbierających raporty z pobliskich urządzeń. Ci agenci windykacji przekazują następnie raporty z powrotem do centralnego systemu zarządzania. Wprowadzenie SIEM zwiększa powierzchnię zagrożeń sieciowych. Systemy bezpieczeństwa są często dość dobrze zabezpieczone, ale nie jest to gwarancją, a same mogą być podatne na infekcję złośliwym oprogramowaniem, które następnie uniemożliwia zgłoszenie. To jednak zawsze stanowi zagrożenie dla każdego systemu bezpieczeństwa.

Automatyzacja odpowiedzi za pomocą IPS

IDS jest zasadniczo systemem ostrzegawczym. Wyszukuje złośliwą aktywność, a następnie wysyła alerty do zespołu monitorującego. Oznacza to, że nad wszystkim czuwa człowiek, ale wiąże się to z ryzykiem opóźnień, zwłaszcza w przypadku gwałtownego wzrostu aktywności. Na przykład. Wyobraź sobie, że robak ransomware przedostaje się do sieci. Zidentyfikowanie alertu IDS jako uzasadnionego może zająć trochę czasu, po czym robak mógł się dalej rozprzestrzeniać.

IDS, który automatyzuje proces działania w przypadku alertów o wysokim stopniu pewności, nazywa się IPS lub IDPS, gdzie „P” oznacza „Ochrona”. IPS podejmuje zautomatyzowane działania, aby spróbować zminimalizować ryzyko. Oczywiście przy wysokim wskaźniku fałszywych alarmów IDS nie chcesz, aby IPS działał w przypadku każdego alertu, tylko w przypadku tych, które mają wysoką pewność.

W systemie HIDS IPS działa jak funkcja kwarantanny oprogramowania antywirusowego. Automatycznie blokuje podejrzane złośliwe oprogramowanie i ostrzega zespół ds. bezpieczeństwa w celu przeanalizowania incydentu. W NIDS IPS musi być wbudowany. Oznacza to, że cały ruch musi przechodzić przez IPS, co czyni go pojedynczym punktem awarii. Z drugiej strony może jednak aktywnie usuwać lub odrzucać podejrzany ruch sieciowy i ostrzegać zespół ds. bezpieczeństwa, aby przeanalizował incydent.

Kluczową przewagą IPS nad czystym IDS jest to, że może on automatycznie reagować na wiele zagrożeń znacznie szybciej, niż można by to osiągnąć za pomocą samej weryfikacji przez człowieka. Pozwala to zapobiegać zdarzeniom takim jak eksfiltracja danych w trakcie ich trwania, a nie tylko identyfikować, że miało to miejsce po fakcie.

Ograniczenia

System IDS ma kilka ograniczeń. Funkcja wykrywania oparta na sygnaturach opiera się na aktualnych sygnaturach, przez co jest mniej skuteczna w wykrywaniu potencjalnie bardziej niebezpiecznego nowego złośliwego oprogramowania. Odsetek fałszywych alarmów jest na ogół bardzo wysoki, a między uzasadnionymi problemami mogą minąć długie okresy czasu. Może to doprowadzić do odczulenia zespołu ds. bezpieczeństwa i lekceważenia alarmów. Taka postawa zwiększa ryzyko, że błędnie sklasyfikowają rzadki prawdziwy wynik dodatni jako wynik fałszywie dodatni.

Narzędzia do analizy ruchu sieciowego zwykle wykorzystują standardowe biblioteki do analizy ruchu sieciowego. Jeśli ruch jest złośliwy i wykorzystuje lukę w bibliotece, możliwe jest zainfekowanie samego systemu IDS. Inline NIDS działają jako pojedyncze punkty awarii. Muszą bardzo szybko przeanalizować duży ruch, a jeśli nie mogą nadążyć, muszą albo go porzucić, powodując problemy z wydajnością/stabilnością, albo pozwolić mu przejść, potencjalnie tracąc szkodliwą aktywność.

Szkolenie systemu opartego na anomaliach wymaga przede wszystkim bezpieczeństwa sieci. Jeśli w sieci już komunikuje się złośliwe oprogramowanie, zostanie to uwzględnione w linii bazowej i zignorowane. Ponadto linia bazowa może być powoli rozszerzana przez złośliwego aktora, który po prostu poświęca swój czas na przesuwanie granic, rozciąganie ich zamiast ich łamania. Wreszcie, IDS nie może samodzielnie analizować zaszyfrowanego ruchu. Aby móc to zrobić, przedsiębiorstwo musiałoby Man in the Middle (MitM) obsługiwać ruch za pomocą korporacyjnego certyfikatu głównego. W przeszłości wiązało się to z własnym ryzykiem. Przy odsetku współczesnego ruchu sieciowego, który pozostaje niezaszyfrowany, może to nieco ograniczyć użyteczność NIDS. Warto zauważyć, że nawet bez odszyfrowywania ruchu,

Wniosek

IDS to system wykrywania włamań. Zasadniczo jest to powiększona wersja produktu antywirusowego przeznaczona do użytku w sieciach korporacyjnych i oferująca scentralizowane raportowanie za pośrednictwem SIEM. Może działać zarówno na pojedynczych urządzeniach, jak i monitorować ogólny ruch sieciowy w wariantach określanych odpowiednio jako HIDS i NIDS. IDS cierpi z powodu bardzo wysokiego współczynnika wyników fałszywie dodatnich w celu uniknięcia wyników fałszywie ujemnych. Zazwyczaj zgłoszenia są oceniane przez zespół ds. bezpieczeństwa. Niektóre działania, gdy pewność wykrycia jest wysoka, mogą zostać zautomatyzowane, a następnie oznaczone do sprawdzenia. Taki system jest znany jako IPS lub IDPS.