ไอดีเอสคืออะไร?

มีมัลแวร์มากมายที่ลอยอยู่บนอินเทอร์เน็ต โชคดีที่มีมาตรการป้องกันมากมาย บางส่วน เช่น ผลิตภัณฑ์ป้องกันไวรัสได้รับการออกแบบมาให้ทำงานตามอุปกรณ์และเหมาะสำหรับบุคคลที่มีอุปกรณ์จำนวนน้อย ซอฟต์แวร์ป้องกันไวรัสยังมีประโยชน์ในเครือข่ายองค์กรขนาดใหญ่อีกด้วย อย่างไรก็ตาม ปัญหาอย่างหนึ่งก็คือจำนวนอุปกรณ์ที่มีซอฟต์แวร์ป้องกันไวรัสทำงานอยู่และรายงานเฉพาะในเครื่องเท่านั้น เครือข่ายองค์กรต้องการให้รายงานเหตุการณ์เกี่ยวกับโปรแกรมป้องกันไวรัสรวมศูนย์อย่างแท้จริง สิ่งที่เป็นข้อได้เปรียบสำหรับผู้ใช้ตามบ้านคือจุดอ่อนสำหรับเครือข่ายองค์กร

ไปไกลกว่าแอนตี้ไวรัส

หากต้องการทำสิ่งต่าง ๆ ต่อไปจำเป็นต้องมีแนวทางอื่น วิธีการนี้เรียกว่า IDS หรือระบบตรวจจับการบุกรุก มีรูปแบบต่างๆ มากมายใน IDS ซึ่งหลายรูปแบบสามารถเติมเต็มซึ่งกันและกันได้ ตัวอย่างเช่น สามารถกำหนด IDS เพื่อตรวจสอบอุปกรณ์หรือทราฟฟิกเครือข่าย IDS การตรวจสอบอุปกรณ์เรียกว่า HIDS หรือระบบตรวจจับการบุกรุกบนโฮสต์ (ตาม) IDS การตรวจสอบเครือข่ายเรียกว่า NIDS หรือระบบตรวจจับการบุกรุกเครือข่าย HIDS คล้ายกับชุดโปรแกรมป้องกันไวรัส โดยจะตรวจสอบอุปกรณ์และรายงานกลับไปยังระบบส่วนกลาง

โดยทั่วไปแล้ว NIDS จะถูกวางไว้ในพื้นที่ที่มีการใช้งานสูงของเครือข่าย ซึ่งมักจะอยู่บนเครือข่ายหลัก/เราเตอร์หลักหรือที่ขอบเขตของเครือข่ายและการเชื่อมต่อกับอินเทอร์เน็ต NIDS สามารถกำหนดค่าให้เป็นแบบอินไลน์หรือในการกำหนดค่าการแตะ NIDS แบบอินไลน์สามารถกรองการรับส่งข้อมูลตามการตรวจจับเป็น IPS (แง่มุมที่เราจะพูดถึงในภายหลัง) อย่างไรก็ตาม NIDS ทำหน้าที่เป็นจุดเดียวของความล้มเหลว การกำหนดค่าการแตะจะสะท้อนทราฟฟิกเครือข่ายทั้งหมดไปยัง NIDS จากนั้นจะสามารถทำหน้าที่ตรวจสอบได้โดยไม่ทำหน้าที่เป็นจุดบกพร่องแม้แต่จุดเดียว

วิธีการตรวจสอบ

โดยทั่วไปแล้ว IDS จะใช้วิธีการตรวจจับที่หลากหลาย วิธีการแบบดั้งเดิมคือสิ่งที่ใช้ในผลิตภัณฑ์ป้องกันไวรัส การตรวจจับตามลายเซ็น ในกรณีนี้ IDS จะเปรียบเทียบซอฟต์แวร์ที่สังเกตหรือทราฟฟิกเครือข่ายกับลายเซ็นจำนวนมากของมัลแวร์ที่รู้จักและทราฟฟิกเครือข่ายที่เป็นอันตราย นี่เป็นวิธีที่รู้จักกันดีและมีประสิทธิภาพโดยทั่วไปในการต่อต้านภัยคุกคามที่รู้จัก อย่างไรก็ตาม การตรวจสอบตามลายเซ็นไม่ใช่สัญลักษณ์แสดงหัวข้อย่อยสีเงิน ปัญหาเกี่ยวกับลายเซ็นคือคุณต้องตรวจหามัลแวร์ก่อน แล้วจึงเพิ่มลายเซ็นลงในรายการเปรียบเทียบ สิ่งนี้ทำให้ไร้ประโยชน์ในการตรวจจับการโจมตีใหม่และเสี่ยงต่อการเปลี่ยนแปลงของเทคนิคที่มีอยู่

วิธีทางเลือกหลักที่ IDS ใช้ในการระบุตัวตนคือพฤติกรรมที่ผิดปกติ การตรวจจับตามความผิดปกติจะใช้พื้นฐานของการใช้งานมาตรฐาน จากนั้นจึงรายงานเกี่ยวกับกิจกรรมที่ผิดปกติ นี่อาจเป็นเครื่องมือที่ทรงพลัง มันยังสามารถเน้นความเสี่ยงจากภัยคุกคามวงในอันธพาลที่อาจเกิดขึ้นได้ ปัญหาหลักของสิ่งนี้คือต้องปรับให้เข้ากับพฤติกรรมพื้นฐานของแต่ละระบบ ซึ่งหมายความว่าจะต้องได้รับการฝึกฝน ซึ่งหมายความว่าหากระบบถูกบุกรุกแล้วในขณะที่ IDS กำลังได้รับการฝึกฝน ระบบจะไม่เห็นกิจกรรมที่เป็นอันตรายว่าผิดปกติ

สาขาที่กำลังพัฒนาคือการใช้โครงข่ายประสาทเทียมเพื่อดำเนินการตามกระบวนการตรวจจับความผิดปกติ ฟิลด์นี้แสดงให้เห็นถึงคำมั่นสัญญา แต่ก็ยังค่อนข้างใหม่และน่าจะเผชิญกับความท้าทายที่คล้ายคลึงกันกับการตรวจจับความผิดปกติในเวอร์ชันคลาสสิก

การรวมศูนย์: คำสาปหรือคำอวยพร?

คุณสมบัติหลักอย่างหนึ่งของ IDS คือการรวมศูนย์ ช่วยให้ทีมรักษาความปลอดภัยเครือข่ายสามารถรวบรวมการอัปเดตสถานะเครือข่ายและอุปกรณ์สดได้ ซึ่งรวมถึงข้อมูลจำนวนมาก ซึ่งส่วนใหญ่เป็น "ทุกอย่างปกติดี" เพื่อลดโอกาสในการเกิด False Negative เช่น พลาดกิจกรรมที่เป็นอันตราย ระบบ IDS ส่วนใหญ่ได้รับการกำหนดค่าให้ "กระตุก" มาก มีการรายงานแม้แต่คำใบ้เล็กน้อยว่ามีบางอย่างผิดปกติ บ่อยครั้งที่รายงานนี้จะต้องถูกตรวจสอบโดยมนุษย์ หากมีผลบวกผิดพลาดจำนวนมาก ทีมที่รับผิดชอบอาจถูกครอบงำอย่างรวดเร็วและเผชิญกับความเหนื่อยหน่าย เพื่อหลีกเลี่ยงปัญหานี้ อาจมีการใช้ตัวกรองเพื่อลดความไวของ IDS แต่สิ่งนี้จะเพิ่มความเสี่ยงของผลลบปลอม นอกจากนี้

การรวมศูนย์ระบบมักจะเกี่ยวข้องกับการเพิ่มระบบ SIEM ที่ซับซ้อน SIEM ย่อมาจาก Security Information and Event Management system โดยทั่วไปแล้วจะเกี่ยวข้องกับชุดของตัวแทนการรวบรวมรอบเครือข่ายที่รวบรวมรายงานจากอุปกรณ์ใกล้เคียง จากนั้นตัวแทนเรียกเก็บเงินเหล่านี้จะป้อนรายงานกลับไปยังระบบการจัดการส่วนกลาง การแนะนำ SIEM จะเพิ่มพื้นผิวของภัยคุกคามเครือข่าย ระบบรักษาความปลอดภัยมักมีความปลอดภัยค่อนข้างดี แต่นี่ไม่ใช่การรับประกัน และตัวระบบเองอาจเสี่ยงต่อการติดไวรัสจากมัลแวร์ที่ทำให้ไม่สามารถรายงานตัวเองได้ อย่างไรก็ตาม นี่เป็นความเสี่ยงสำหรับระบบรักษาความปลอดภัยเสมอ

การตอบสนองอัตโนมัติด้วย IPS

IDS เป็นระบบเตือนภัย มองหากิจกรรมที่เป็นอันตรายแล้วส่งการแจ้งเตือนไปยังทีมตรวจสอบ ซึ่งหมายความว่าทุกอย่างจะถูกควบคุมโดยมนุษย์ แต่สิ่งนี้มีความเสี่ยงที่จะเกิดความล่าช้า โดยเฉพาะอย่างยิ่งในกรณีที่กิจกรรมต่างๆ เกิดขึ้นอย่างรวดเร็ว ตัวอย่างเช่น. ลองนึกภาพว่าถ้าหนอนแรนซั่มแวร์จัดการเพื่อเข้าสู่เครือข่าย อาจใช้เวลาสักระยะหนึ่งเพื่อให้ผู้ตรวจสอบสามารถระบุได้ว่าการแจ้งเตือน IDS นั้นถูกต้องตามกฎหมาย ซึ่งจุดนั้นเวิร์มอาจแพร่กระจายตัวเองต่อไปได้

IDS ที่ทำให้กระบวนการดำเนินการกับการแจ้งเตือนที่มีความแน่นอนสูงเป็นไปโดยอัตโนมัติเรียกว่า IPS หรือ IDPS โดยตัว "P" หมายถึง "การป้องกัน" IPS ดำเนินการอัตโนมัติเพื่อพยายามลดความเสี่ยง แน่นอน ด้วยอัตรา False-positive ที่สูงของ IDS คุณไม่ต้องการให้ IPS ดำเนินการกับการแจ้งเตือนทุกครั้ง เฉพาะการแจ้งเตือนที่ถือว่ามีความน่าเชื่อถือสูงเท่านั้น

ใน HIDS นั้น IPS จะทำหน้าที่เหมือนฟังก์ชันกักกันซอฟต์แวร์ป้องกันไวรัส โดยจะล็อกมัลแวร์ที่ต้องสงสัยโดยอัตโนมัติและแจ้งเตือนทีมรักษาความปลอดภัยให้วิเคราะห์เหตุการณ์ที่เกิดขึ้น ใน NIDS นั้น IPS จะต้องเป็นแบบอินไลน์ ซึ่งหมายความว่าทราฟฟิกทั้งหมดต้องทำงานผ่าน IPS ทำให้เป็นจุดเดียวที่ล้มเหลว ในทางกลับกัน มันสามารถลบหรือทิ้งการรับส่งข้อมูลเครือข่ายที่น่าสงสัยและแจ้งเตือนทีมรักษาความปลอดภัยให้ตรวจสอบเหตุการณ์ที่เกิดขึ้น

ข้อได้เปรียบที่สำคัญของ IPS ที่เหนือกว่า IDS เพียงอย่างเดียวคือสามารถตอบสนองต่อภัยคุกคามจำนวนมากได้โดยอัตโนมัติเร็วกว่าที่สามารถทำได้ด้วยการตรวจสอบโดยมนุษย์เพียงอย่างเดียว ซึ่งช่วยให้สามารถป้องกันเหตุการณ์ต่างๆ เช่น เหตุการณ์การกรองข้อมูลในขณะที่กำลังเกิดขึ้น แทนที่จะระบุว่าเกิดขึ้นหลังจากข้อเท็จจริงเท่านั้น

ข้อจำกัด

IDS มีข้อจำกัดหลายประการ ฟังก์ชันการตรวจจับตามลายเซ็นอาศัยลายเซ็นที่ทันสมัย ​​ทำให้มีประสิทธิภาพน้อยลงในการจับมัลแวร์ใหม่ๆ ที่อาจเป็นอันตรายมากกว่า โดยทั่วไปแล้วอัตราผลบวกลวงจะสูงมาก และอาจมีระยะเวลานานระหว่างปัญหาที่ถูกต้อง สิ่งนี้สามารถนำไปสู่ทีมรักษาความปลอดภัยที่รู้สึกไม่มั่นใจและตำหนิเกี่ยวกับสัญญาณเตือนภัย ทัศนคตินี้เพิ่มความเสี่ยงที่พวกเขาจัดประเภทผลบวกจริงที่หายากเป็นผลบวกลวง

เครื่องมือวิเคราะห์การรับส่งข้อมูลเครือข่ายมักใช้ไลบรารีมาตรฐานเพื่อวิเคราะห์การรับส่งข้อมูลเครือข่าย หากการรับส่งข้อมูลนั้นเป็นอันตรายและใช้ประโยชน์จากข้อบกพร่องในห้องสมุด อาจเป็นไปได้ที่จะทำให้ระบบ IDS ติดเชื้อได้ Inline NIDS ทำหน้าที่เป็นจุดล้มเหลวเพียงจุดเดียว พวกเขาจำเป็นต้องวิเคราะห์ทราฟฟิกปริมาณมากอย่างรวดเร็ว และหากไม่สามารถติดตามได้ พวกเขาต้องทิ้งทราฟฟิกซึ่งก่อให้เกิดปัญหาด้านประสิทธิภาพ/ความเสถียร หรือปล่อยให้ผ่าน ซึ่งอาจขาดกิจกรรมที่เป็นอันตราย

การฝึกอบรมระบบตามความผิดปกตินั้นต้องการให้เครือข่ายปลอดภัยตั้งแต่แรก หากมีมัลแวร์ที่สื่อสารบนเครือข่ายอยู่แล้ว สิ่งนี้จะถูกรวมไว้ตามปกติในบรรทัดฐานและจะถูกละเว้น นอกจากนี้ พื้นฐานสามารถขยายออกอย่างช้าๆ โดยผู้ประสงค์ร้ายที่สละเวลาของพวกเขาในการผลักดันขอบเขต ยืดขอบเขตออกไปแทนที่จะทำลายมัน สุดท้าย IDS ไม่สามารถวิเคราะห์ทราฟฟิกที่เข้ารหัสได้ด้วยตัวมันเอง ในการทำเช่นนี้ องค์กรจะต้อง Man in the Middle (MitM) รับส่งข้อมูลด้วยใบรับรองหลักขององค์กร สิ่งนี้ได้นำเสนอความเสี่ยงของตัวเองในอดีต ด้วยเปอร์เซ็นต์ของทราฟฟิกเครือข่ายสมัยใหม่ที่ยังไม่เข้ารหัส สิ่งนี้สามารถจำกัดประโยชน์ของ NIDS ได้ เป็นที่น่าสังเกตว่าแม้จะไม่ได้ถอดรหัสทราฟฟิก

บทสรุป

IDS คือระบบตรวจจับการบุกรุก โดยพื้นฐานแล้วเป็นผลิตภัณฑ์ป้องกันไวรัสรุ่นที่ปรับขนาดขึ้นซึ่งออกแบบมาเพื่อใช้ในเครือข่ายองค์กรและมีการรายงานแบบรวมศูนย์ผ่าน SIEM สามารถทำงานได้ทั้งบนอุปกรณ์แต่ละเครื่องและตรวจสอบการรับส่งข้อมูลเครือข่ายทั่วไปในรูปแบบที่เรียกว่า HIDS และ NIDS ตามลำดับ IDS ทนทุกข์ทรมานจากอัตราผลบวกลวงที่สูงมาก ในความพยายามที่จะหลีกเลี่ยงผลลบลวง โดยทั่วไปแล้ว รายงานจะถูกตรวจสอบโดยทีมรักษาความปลอดภัยของมนุษย์ การดำเนินการบางอย่าง เมื่อความเชื่อมั่นในการตรวจจับสูงอาจทำงานโดยอัตโนมัติ จากนั้นจึงตั้งค่าสถานะเพื่อตรวจสอบ ระบบดังกล่าวเรียกว่า IPS หรือ IDPS