Что такое система обнаружения вторжений (IDS)? Ценная способность с серьезными проблемами управления

Система обнаружения вторжений или IDS контролирует движение трафика по сетям и через системы для поиска подозрительной активности и известных угроз, отправляя предупреждения при обнаружении таких элементов.

  • Просмотров |

Система обнаружения вторжений или IDS контролирует движение трафика по сетям и через системы для поиска подозрительной активности и известных угроз, отправляя предупреждения при обнаружении таких элементов.

ИТ-подразделения предприятия внедряют системы обнаружения вторжений, чтобы получить видимость потенциально опасных действий, происходящих в их технологической среде.

«Общая цель IDS — информировать ИТ-персонал о том, что может произойти вторжение в сеть. Информация о предупреждении, как правило, включает информацию об исходном адресе вторжения, адрес цели / жертвы и тип атаки, которая подозревается », — сказал Брайан Рексоуд, вице-президент по платформам безопасности AT & T.

Наш новый игровой сайт в прямом эфире! Gamestar охватывает игры, игровые гаджеты и экипировку. Подпишитесь на нашу рассылку, и мы отправим наши лучшие материалы прямо на ваш почтовый ящик. Подробнее здесь.

Каждая IDS запрограммирована для анализа трафика и идентификации шаблонов в этом трафике, который может указывать на кибератаку разного рода.

IDS может идентифицировать «трафик, который может считаться повсеместно вредоносным или заслуживающим внимания», — объяснила Джуди Новак, старший преподаватель в Институте обучения кибербезопасности SANS и автор SANS SEC503: Intuusion Detection In-Depth, такой как ссылка на фишинг-атаку, которая скачивает вредоносные программного обеспечения. Кроме того, IDS может обнаруживать трафик, который является проблематичным для конкретного программного обеспечения; поэтому он будет предупреждать ИТ, если он обнаружит известную атаку на браузеры Firefox, используемые в компании (но не должен предупреждать, использует ли компания другой браузер).

Типы IDS

Системы обнаружения вторжений могут быть разбиты на две широкие категории: IDS на базе хоста и сетевые IDS; эти две категории говорят, где размещаются датчики для программного обеспечения обнаружения вторжений (хост / конечная точка или сеть).

Некоторые эксперты сегментируют рынок еще дальше, также перечисляя IDS на периметре, IDS на основе VM, IDS на основе стека, IDS на основе сигнатур и IDS с аномальной идентификацией (с аналогичными сокращениями, соответствующими описательным префиксам IDS).

Независимо от типа, аналитики заявили, что технология, как правило, работает одинаково, с системой, предназначенной для обнаружения вторжений в тех точках, где находятся датчики, и для предупреждения аналитиков безопасности.

Как работает IDS?

Обнаружение вторжений — это пассивная технология; он обнаруживает и подтверждает проблему, но прерывает поток сетевого трафика, сказал Новак. «Как уже упоминалось, цель состоит в том, чтобы найти и оповещать о заслуживающих внимания трафике. Предупреждение информирует аналитика IDS о том, что наблюдается некоторый интересный трафик. Но это факт, потому что трафик не заблокирован или не остановлен каким-либо образом от его назначения ».

Сравните это с брандмауэрами, которые блокируют известную технологию защиты от вредоносных программ и предотвращения вторжений (IPS), которая, как указано в названии, также блокирует вредоносный трафик.

IDS на современном предприятии

Хотя IDS не останавливает вредоносное ПО, специалисты по кибербезопасности заявили, что технология все еще имеет место на современном предприятии.

«Функциональность того, что она делает, по-прежнему критически важна, — сказал Эрик Хансельман, главный аналитик 451 Research. «Сама часть IDS по-прежнему актуальна, поскольку по своей сути она обнаруживает активную атаку».

Однако эксперты по кибербезопасности заявили, что организации обычно не покупают и не реализуют IDS в качестве автономного решения, как они когда-то делали. Скорее, они покупают набор возможностей безопасности или платформу безопасности, которая обнаруживает вторжение как одну из многих встроенных возможностей.

Роб Клайд, вице-председатель совета директоров ISACA, ассоциация профессионалов в области ИТ-управления и исполнительный председатель совета директоров White Cloud Security Inc., согласился с тем, что обнаружение вторжений по-прежнему является критическим. Но он сказал, что компаниям необходимо понять, что система обнаружения вторжений требует обслуживания и рассматривает вопрос о том, будут ли они поддерживаться IDS и как они будут поддерживать их, если они захотят.

«Как только вы пойдете по пути, чтобы сказать, что мы будем следить за тем, что происходит в нашей среде, вам нужно, чтобы кто-то отвечал на предупреждения и инциденты. Иначе зачем беспокоиться? »- сказал он.

Учитывая, что система обнаружения вторжений имеет место, он сказал, что компании меньшего размера должны иметь возможность, но только как часть более широкого набора функций, поэтому они не управляют IDS в дополнение к другим автономным решениям. Им также следует рассмотреть возможность работы с управляемым поставщиком службы безопасности для их общих требований безопасности, поскольку поставщик из-за масштаба может более эффективно реагировать на предупреждения. «Они будут использовать машинное обучение или, возможно, AI и человеческие усилия, чтобы предупредить ваших сотрудников о происшествии или вторжении, о котором вам действительно нужно беспокоиться», — сказал он.

«И в средних и крупных компаниях, где вам действительно нужно знать, есть ли кто-то внутри сети, вы хотите иметь дополнительный слой или дополнительные слои, чем только то, что встроено в ваш брандмауэр», — сказал он.

3 проблемы управления IDS

У IDS есть несколько признанных проблем управления, которые могут быть более эффективными, чем организация желает или может взять на себя.

  1. Ложные срабатывания (т. Е. Генерирование предупреждений, когда нет реальной проблемы). «IDS известны тем, что генерируют ложные срабатывания», — сказал Рейкстрау, добавив, что предупреждения, как правило, отправляются на платформу вторичного анализа, чтобы помочь бороться с этой проблемой. Эта проблема также оказывает давление на ИТ-команды, чтобы постоянно обновлять свои IDS с необходимой информацией для обнаружения законных угроз и отличать эти реальные угрозы от допустимого трафика. По словам экспертов, это немалая задача. «Системы IDS должны быть настроены ИТ-администраторами для анализа правильного контекста и уменьшения ложных срабатываний. Например, мало пользы для анализа и предоставления предупреждений о действиях в Интернете для сервера, который защищен от известных атак. Это создаст тысячи нерелевантных сигналов тревоги за счет повышения значимых аварийных сигналов. Аналогичным образом, существуют обстоятельства, при которых вполне допустимые действия могут порождать ложные тревоги просто как вопрос вероятности », — сказал Рексруд, отметив, что организации часто выбирают платформу вторичного анализа, такую ​​как платформа обеспечения безопасности и управления событиями (SIEM), чтобы помочь с расследованием предупреждений.
  2. Кадровое. Учитывая потребность в понимании контекста, предприятие должно быть готово сделать любые IDS подходящими для своих уникальных потребностей, советуют эксперты. «Это означает, что IDS не может быть точно такой же, как и все конфигурации, чтобы работать точно и эффективно. И для этого требуется, чтобы опытный аналитик IDS адаптировал IDS для интересов и потребностей данного сайта. И хорошо осведомленных системных аналитиков недостаточно, — добавил Новак.
  3. Отсутствует законный риск. «Трюк с IDS заключается в том, что вы должны знать, что атака сможет определить. У IDS всегда была проблема с нулевым пациентом: вы должны найти того, кто заболел и умер, прежде чем вы сможете его идентифицировать », — сказал Гензель.

Эксперты говорят, что технология IDS также может иметь проблемы с обнаружением вредоносных программ с зашифрованным трафиком. Кроме того, скорость и распределенный характер входящего трафика могут ограничить эффективность системы обнаружения вторжений на предприятии.

«У вас может быть IDS, который может обрабатывать 100 мегабит трафика, но у вас может быть 200 мегабит, или трафик распределяется, поэтому ваш IDS видит только один из каждых трех или четырех пакетов», — сказал Гензельман.

Будущее обнаружения вторжений

Гендельман сказал, что эти ограничения по-прежнему не делают недействительной ценность IDS как функции.

«Никакой инструмент безопасности не идеален. У разных продуктов разные слепые пятна, поэтому задача состоит в том, чтобы знать те слепые пятна, — объяснил он. «Я продолжаю думать, что IDS будет с нами еще долгое время. По-прежнему существует такая базовая ценность, что можно определить конкретный враждебный трафик на проводе ».

Однако эксперты заявили, что некоторые организации переосмысливают потребность в IDS — хотя сегодня внедрение технологии остается лучшей практикой безопасности.

«Эта настройка и анализ требуют значительных усилий, основанных на количестве полученных предупреждений. У организации могут не быть ресурсов для управления всеми устройствами в этом качестве. Другие организации могут провести более всеобъемлющую оценку угрозы и принять решение не внедрять IDS-устройства », — сказал Рексроуд, добавив, что большое количество ложных предупреждений от IDS имеют некоторые организации, которые предпочитают также внедрять IPS, опасаясь блокировать законные бизнес-транзакции.

Он сказал, что другие организации могут решить сосредоточиться на более продвинутой защите на интернет-шлюзе или использовать анализ потока с сетевых устройств в сочетании с анализом журналов из систем и приложений для выявления подозрительных событий вместо использования IDS.

Аналогичным образом, Скотт Симкин, директор по разведке угроз в Palo Alto Networks, сказал, что он не считает, что IDS, как решение, играет роль на большинстве современных предприятий.

Но, по его словам, он сказал, что считает, что IDS сохраняет место как функцию в более широком портфеле кибербезопасности.

«Эта способность абсолютно важна и фундаментальна для каждой отдельной команды безопасности», — сказал он, добавив, что автоматизация и разведка, встроенные в современные платформы безопасности, подтолкнули IDS как функцию глубже в решение.

«IDSs [как системы] были заменены IPS и брандмауэрами следующего поколения, которые принимают концепцию IDS, а затем располагают что-то поверх нее. И они должны существовать наряду с поведенческой аналитикой, веб-фильтрацией, управлением идентификацией приложений и другими элементами управления », — сказал он. «Но вы больше не покупаете IDS».

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля