Система обнаружения вторжений или IDS контролирует движение трафика по сетям и через системы для поиска подозрительной активности и известных угроз, отправляя предупреждения при обнаружении таких элементов.
Департаменты ИТ-подразделения компании внедряют системы обнаружения вторжений (19459003)
«Общая цель IDS — информировать ИТ-персонал о том, что может произойти вторжение в сеть. Информация о предупреждении, как правило, включает информацию об исходном адресе вторжения, адрес цели / жертвы и тип атаки, которая подозревается », — сказал Брайан Рексоуд, вице-президент по платформам безопасности для AT & T.
. Каждая IDS (19459003)
IDS может идентифицировать «трафик, который может считаться повсеместно вредоносным или заслуживающим внимания», объяснил Джуди Новак, старший преподаватель с учебный институт кибербезопасности SANS и автор SANS SEC503: Intrusion Detection In-Depth такой как ссылка на фишинг которая загружает вредоносное программное обеспечение. Кроме того, IDS может обнаруживать трафик, который является проблематичным для конкретного программного обеспечения; поэтому он будет предупреждать ИТ, если он обнаружит известную атаку на браузеры Firefox, используемые в компании (но не следует предупреждать, использует ли компания другой браузер).
Содержание статьи
Типы IDS
Intrusion системы обнаружения могут быть разбиты на две широкие категории: IDS на базе хоста и сетевые IDS; эти две категории говорят, где размещаются датчики для программного обеспечения обнаружения вторжений (хост / конечная точка или сеть).
Некоторые эксперты сегментируют рынок еще дальше, также перечисляя IDS на периметре, IDS на основе VM, (19459003)
Независимо от типа, аналитики заявили, что технология, как правило, работает одинаково, с системой, предназначенной для обнаружения (IDS), основанных на сигнатурах IDS и анонимных IDS (с аналогичными сокращениями, соответствующими описательным префиксам IDS). (19459003)
Как работает IDS?
Обнаружение вторжений — это пассивная технология; он обнаруживает и подтверждает проблему, но прерывает поток сетевого трафика, сказал Новак. «Как уже упоминалось, цель состоит в том, чтобы найти и оповещать о заслуживающих внимания трафике. Предупреждение информирует аналитика IDS о том, что наблюдается некоторый интересный трафик. Но это происходит после того, как трафик не заблокирован или не остановлен каким-либо образом от его назначения ».
Сравните это с брандмауэрами, которые блокируют известную технологию защиты от вредоносных программ и предотвращения вторжений (IPS), которая как указано в названии, также блокирует вредоносный трафик.
IDS в современном предприятии
Хотя IDS не останавливает вредоносное ПО, специалисты по кибербезопасности заявили, что технология все еще имеет место на современном предприятии.
«Функциональность того, что она делает, по-прежнему критически важна», — сказал Эрик Гензельман, главный аналитик 451 Research. «Сама часть IDS по-прежнему актуальна, потому что по своей сути она обнаруживает активную атаку».
Однако эксперты по кибербезопасности заявили, что организации обычно не покупают и не реализуют IDS в качестве автономного решения, как они когда-то делали. Скорее, они покупают набор возможностей безопасности или платформу безопасности, которая обнаруживает вторжение как один из многих встроенных возможностей.
Роб Клайд, совет директоров вице-председателя ISACA, ассоциация для профессионалов в области управления ИТ и исполнительный председатель правления White Cloud Security Inc., согласился с тем, что обнаружение вторжений по-прежнему является критическим. Но он сказал, что компаниям необходимо понять, что система обнаружения вторжений требует обслуживания и рассматривает вопрос о том, будут ли они поддерживать IDS, если они захотят.
«Как только вы пошли по пути, чтобы сказать мы будем следить за тем, что происходит в нашей среде, вам нужно, чтобы кто-то отвечал на предупреждения и инциденты. В противном случае, зачем беспокоиться? »
Учитывая, что система обнаружения вторжений имеет место, он сказал, что компании меньшего размера должны иметь возможность, но только как часть более широкого набора функций, поэтому они не управляют IDS в дополнение к другим автономным решениям. Им также следует рассмотреть возможность работы с управляемым поставщиком служб безопасности для их общих требований безопасности, поскольку поставщик из-за масштаба может более эффективно реагировать на предупреждения. «Они будут использовать машинное обучение или, возможно, ИИ и человеческие усилия, чтобы предупредить ваших сотрудников об инциденте или вторжении, о котором вам действительно нужно беспокоиться», — сказал он.
«И в средних и больших размерах компании, где вам действительно нужно знать, находится ли кто-нибудь внутри сети, вы хотите иметь дополнительный слой или дополнительные слои, чем только то, что встроено в ваш брандмауэр », — сказал он.
3 проблемы управления IDS
У IDS есть несколько признанных проблем управления, которые могут быть более эффективными, чем организация желает или может взять на себя.
-
Ложные срабатывания (т. Е. Генерирование предупреждений, когда нет реальной проблемы). «IDS известны тем, что генерируют ложные срабатывания», — сказал Рейкстрау, добавив, что предупреждения, как правило, отправляются на платформу вторичного анализа, чтобы помочь бороться с этой проблемой.
Эта проблема также оказывает давление на команды ИТ, чтобы постоянно обновлять свои IDS с необходимой информацией для обнаружения законных угроз и отличать эти реальные угрозы от допустимого трафика.
Это небольшая задача, сказали эксперты.
«Системы IDS должны быть настроены ИТ-администраторами для анализа правильного контекста и уменьшения ложных срабатываний. Например, мало пользы для анализа и предоставления предупреждений о действиях в Интернете для сервера, который защищен от известных атак. Это создаст тысячи нерелевантных сигналов тревоги за счет повышения значимых аварийных сигналов. Аналогичным образом, существуют обстоятельства, при которых вполне допустимые действия могут порождать ложные тревоги просто как вопрос вероятности », — сказал Рексруд, отметив, что организации часто выбирают платформу вторичного анализа, такую как платформа обеспечения безопасности и управления событиями (SIEM), чтобы помочь с расследованиями предупреждений.
-
Кадровое. Учитывая требования к пониманию контекста, предприятие должно быть готово сделать любые IDS подходящими для своих уникальных потребностей, советуют эксперты.
«Это означает, что IDS не может быть точно такой же, как и любая конфигурация, чтобы работать точно и эффективно. И для этого требуется, чтобы опытный аналитик IDS адаптировал IDS для интересов и потребностей данного сайта. И, знающих подготовленных системных аналитиков, мало, — добавил Новак.
- Отсутствие законного риска. «Трюк с IDS заключается в том, что вы должны знать, что атака сможет определить. У IDS всегда была проблема с нулевой болью: вы должны найти того, кто заболел и умер, прежде чем вы сможете его идентифицировать », — сказал Гензель.
Технология IDS также может иметь проблемы с обнаружением вредоносного ПО с зашифрованным трафиком, считают эксперты. Кроме того, скорость и распределенный характер входящего трафика могут ограничить эффективность системы обнаружения вторжений на предприятии.
«У вас может быть IDS, который может обрабатывать 100 мегабит трафика, но у вас может быть 200 мегабит, это или трафик распределяется, поэтому ваш IDS видит только один из каждых трех или четырех пакетов », — сказал Гензель.
Будущее обнаружения вторжений
Гензель сказал, что эти ограничения по-прежнему не являются недействительными значение IDS как функции.
«Никакой инструмент безопасности не идеален. У разных продуктов разные слепые пятна, поэтому задача состоит в том, чтобы знать те слепые пятна, — объяснил он. «Я продолжаю думать, что IDS будет с нами еще долгое время.
Тем не менее, эксперты заявили, что некоторые организации переосмысливают потребность в IDS, хотя сегодня внедрение технологии остается лучшей практикой в области безопасности .
«Эта настройка и анализ требуют значительных усилий, основанных на количестве полученных предупреждений. У организации могут не быть ресурсов для управления всеми устройствами в этом качестве. Другие организации могут провести более полную оценку угроз и принять решение не внедрять IDS-устройства », — сказал Рейкстрау, добавив, что большое количество ложных предупреждений от IDS имеют некоторые организации, которые предпочитают также внедрять IPS, опасаясь блокировать законные бизнес-транзакции.
Он сказал, что другие организации могут решить сосредоточиться на более продвинутой защите на интернет-шлюзе или использовать анализ потока с сетевых устройств в сочетании с анализом журналов из систем и приложений для выявления подозрительных событий вместо использования IDS.
] Аналогичным образом, Скотт Симкин, директор по разведке угроз в Palo Alto Networks, сказал, что он не считает, что IDS, как решение, играет определенную роль на большинстве современных предприятий.
Но, по его словам, он сказал, что он действительно считает, что IDS сохраняет место как функция в более широком портфеле кибербезопасности.
«Эта способность является абсолютно важной и основополагающей для каждой отдельной группы безопасности», добавив, что автоматизация и разведка, встроенные в современные платформы безопасности, подтолкнули IDS как функцию глубже в решение.
«IDSs [as systems] были заменены IPS и брандмауэрами следующего поколения, которые принимают концепцию IDS, а затем сложить что-то поверх него. И они должны существовать наряду с поведенческой аналитикой, веб-фильтрацией, управлением идентификацией приложений и другими элементами управления », — сказал он. «Но вы больше не покупаете IDS».
Эта история «Что такое система обнаружения вторжений (IDS)?», Была первоначально опубликована
CSO .