Hlavní rozdíl mezi systémy detekce narušení (IDS) a systémy prevence narušení (IPS) spočívá v tom, že IDS jsou monitorovací systémy a IPS jsou kontrolní systémy. IDS nezmění síťový provoz, zatímco IPS zabrání doručení paketů na základě obsahu paketu, podobně jako brána firewall brání provozu podle IP adresy.
IDS slouží k monitorování sítí a odesílání výstrah při zjištění podezřelé aktivity v systému nebo síti, zatímco IPS reaguje na kybernetické útoky v reálném čase s cílem zabránit jim v dosažení cílových systémů a sítí.
Zkrátka IDS a IPS mají schopnost detekovat signatury útoků, přičemž hlavní rozdíl je v jejich reakci na útok. Je však důležité poznamenat, že jak IDS, tak IPS mohou implementovat stejné metody monitorování a detekce.
V tomto článku jsme nastínili charakteristiku narušení, různé vektory útoku, které mohou kyberzločinci použít k narušení bezpečnosti sítě, definici IDS/IPS a způsob, jakým mohou chránit vaši síť a zlepšit kybernetickou bezpečnost.
- Co je to narušení sítě?“
- Co je to systém detekce narušení (IDS)?
- Jak funguje systém detekce narušení (IDS)
- Jaké jsou různé typy systémů detekce narušení (IDS)
- Co je to systém prevence narušení (IPS)?
- Jak funguje systém prevence narušení (IPS)?
- Jaké jsou různé typy systémů prevence narušení (IPS)?
- Jaká jsou omezení systémů detekce narušení (IDS) a systémů prevence narušení (IPS)?
- Jaké jsou rozdíly mezi systémy detekce narušení (IDS) a systémy prevence narušení (IPS)?
- Mohou systémy IDS a IPS spolupracovat?
- Jak se systémy detekce narušení (IDS) a systémy prevence narušení (IPS) liší od firewallů?
- Proč jsou IDS a IPS důležité?“
- Jak může UpGuard doplnit technologie IDS a IPS
Co je to narušení sítě?“
Narušení sítě je jakákoli neoprávněná činnost v počítačové síti. Odhalení narušení závisí na jasné znalosti síťových aktivit a běžných bezpečnostních hrozeb. Správně navržený a nasazený systém detekce narušení sítě a systém prevence narušení sítě může pomoci zablokovat narušitele, jejichž cílem je krádež citlivých dat, způsobení úniku dat a instalace škodlivého softwaru.
Sítě a koncové body mohou být zranitelné vůči narušení ze strany aktérů hrozeb, kteří se mohou nacházet kdekoli na světě a snaží se využít váš útočný prostor.
Mezi běžné síťové zranitelnosti patří:
- Malware: Malware neboli škodlivý software je jakýkoli program nebo soubor, který je pro uživatele počítače škodlivý. Mezi typy malwaru patří počítačové viry, červi, trojské koně, spyware, adware a ransomware. Celý příspěvek o malwaru si můžete přečíst zde.
- Útoky sociálního inženýrství: Sociální inženýrství je vektor útoku, který využívá lidské psychologie a vnímavosti k manipulaci obětí, aby prozradily důvěrné informace a citlivé údaje nebo provedly akci, která porušuje obvyklé bezpečnostní standardy. Mezi běžné příklady sociálního inženýrství patří phishing, spear phishing a velrybí útoky. Celý náš příspěvek o sociálním inženýrství si přečtěte zde.
- Zastaralý nebo neopravený software a hardware: Zastaralý nebo neopravený software a hardware může obsahovat známé zranitelnosti, jako jsou ty uvedené na seznamu CVE. Zranitelnost je slabé místo, které může být zneužito kybernetickým útokem k získání neoprávněného přístupu k počítačovému systému nebo k provedení neoprávněných akcí v něm. Zvláště rizikové jsou zranitelnosti typu Wormable, jako je ta, která vedla k útoku WannaCryransomware. Přečtěte si celý náš příspěvek o zranitelnostech, kde najdete další informace.
- Zařízení pro ukládání dat: Přenosná úložná zařízení, jako jsou USB a externí pevné disky, mohou do sítě zavést malware.
Co je to systém detekce narušení (IDS)?
Systém detekce narušení (IDS) je zařízení nebo softwarová aplikace, která monitoruje síť nebo systém z hlediska škodlivých aktivit a porušení zásad. Jakýkoli škodlivý provoz nebo porušení je obvykle hlášen správci nebo shromažďován centrálně pomocí systému správy bezpečnostních informací a událostí (SIEM).
Jak funguje systém detekce narušení (IDS)
Existují tři běžné varianty detekce, které IDS využívají k monitorování narušení:
- Detekce založená na signaturách: Detekce útoků vyhledává specifické vzory, například sekvence bajtů v síťovém provozu, nebo používá signatury (známé škodlivé sekvence instrukcí) používané malwarem. Tato terminologie pochází z antivirového softwaru, který tyto vzory označuje jako signatury. Zatímco systémy IDS založené na signaturách mohou snadno odhalit známé kybernetické útoky, mají potíže s odhalováním nových útoků, u nichž není k dispozici žádný vzor.
- Detekce založená na anomáliích: Systém detekce narušení pro detekci narušení sítě i počítače a zneužití sledováním aktivity systému a její klasifikací jako normální nebo anomální. Tento typ bezpečnostního systému byl vyvinut za účelem detekce neznámých útoků, částečně kvůli rychlému vývoji malwaru. Základní přístup spočívá v použití strojového učení k vytvoření modelu důvěryhodné činnosti a porovnání nového chování s tímto modelem. Vzhledem k tomu, že tyto modely lze trénovat podle konkrétních aplikací a hardwarových konfigurací, mají ve srovnání s tradičními IDS založenými na signaturách lépe zobecnitelné vlastnosti. Trpí však také větším počtem falešně pozitivních výsledků.
- Detekce založená na reputaci:
Jaké jsou různé typy systémů detekce narušení (IDS)
Systémy IDS mohou mít rozsah od jednotlivých počítačů až po velké sítě a běžně se dělí na dva typy:
- Systém detekce narušení sítě (NIDS): Systém, který analyzuje příchozí síťový provoz. NIDS jsou umístěny na strategických místech v sítích, aby monitorovaly provoz do zařízení a ze zařízení. Provádí analýzu procházejícího provozu v celé podsíti a porovnává provoz procházející podsítí s knihovnou známých útoků. Pokud je identifikován útok, může být správci zasláno upozornění.
- Systém detekce narušení na bázi hostitele (HIDS): Systém, který spouští a monitoruje důležité soubory operačního systému na jednotlivých hostitelích nebo zařízeních. Systém HIDS sleduje příchozí a odchozí pakety ze zařízení a v případě zjištění podezřelé aktivity upozorní uživatele nebo správce. Pořizuje snímky existujících systémových souborů a porovnává je s předchozími snímky, pokud byly kritické soubory změněny nebo odstraněny, je vyvoláno upozornění.
Co je to systém prevence narušení (IPS)?
Systém prevence narušení (IPS) nebo systém detekce a prevence narušení (IDPS) jsou aplikace zabezpečení sítě, které se zaměřují na identifikaci možných škodlivých aktivit, zaznamenávají informace, hlásí pokusy o ně a snaží se jim zabránit. Systémy IPS jsou často umístěny přímo za bránou firewall.
Řešení IPS lze navíc použít k identifikaci problémů se strategiemi zabezpečení, k dokumentaci existujících hrozeb a k odrazení osob od porušování bezpečnostních zásad.
Pro zastavení útoků může systém IPS změnit bezpečnostní prostředí, a to přenastavením brány firewall nebo změnou obsahu útoku.
Mnozí považují systémy prevence vniknutí za rozšíření systémů detekce vniknutí, protože oba sledují síťový provoz a/nebo činnosti systému z hlediska škodlivé činnosti.
Jak funguje systém prevence narušení (IPS)?
Systémy prevence narušení (IPS) fungují tak, že skenují veškerý síťový provoz pomocí jedné nebo více z následujících metod detekce:
- Detekce založená na signaturách:
- Detekce založená na signaturách: Systém IPS monitoruje pakety v síti a porovnává je s předem nakonfigurovanými a určenými vzory útoků známými jako signatury: IPS založený na anomáliích sleduje síťový provoz a porovnává jej se stanovenou základní úrovní. Tato základní linie se používá k určení toho, co je v síti „normální“, např. jaká je šířka pásma a jaké protokoly se používají. Tento typ detekce anomálií je sice vhodný pro identifikaci nových hrozeb, ale může také generovat falešně pozitivní výsledky, pokud legitimní využití šířky pásma překročí základní linii nebo pokud jsou základní linie špatně nakonfigurovány.
- Detekce stavové analýzy protokolů: Tato metoda identifikuje odchylky ve stavech protokolu porovnáním pozorovaných událostí s předem stanovenými profily obecně uznávaných definic neškodné činnosti.
Po detekci provede IPS v reálném čase kontrolu každého paketu, který prochází sítí, a pokud jej považuje za podezřelý, provede jednu z následujících akcí:
- Ukončí relaci TCP, která byla zneužita
- Zablokuje přístup útočící IP adresy nebo uživatelského účtu k jakékoli aplikaci, hostiteli nebo síťovému prostředku
- Přeprogramuje nebo překonfiguruje bránu firewall, aby se zabránilo pozdějšímu podobnému útoku
- Odstraní nebo nahradí škodlivý obsah, který zůstane po útoku, přebalením užitečného zatížení, odstraněním informací z hlavičky nebo zničením infikovaných souborů
Při správném nasazení tak může systém IPS zabránit vážným škodám způsobeným škodlivými nebo nechtěnými pakety a řadou dalších kybernetických hrozeb, včetně:
- Distribuované odepření služby (DDOS)
- Exploity
- Počítačové červy
- Viry
- Útoky hrubou silou
Jaké jsou různé typy systémů prevence narušení (IPS)?
Systémy prevence narušení se obecně dělí na čtyři typy:
- Systém prevence narušení založený na síti (NIPS): NIPS zjišťují a zabraňují škodlivým nebo podezřelým aktivitám analýzou paketů v celé síti. Po instalaci systém NIPS shromažďuje informace z hostitele a sítě a identifikuje povolené hostitele, aplikace a operační systémy v síti. Zaznamenávají také informace o běžném provozu, aby bylo možné identifikovat změny oproti základnímu stavu. Mohou zabránit útokům odesláním spojení TCP, omezením využití šířky pásma nebo odmítnutím paketů. Jsou sice užitečné, ale obvykle nedokážou analyzovat šifrovaný síťový provoz, zvládnout vysoké zatížení provozu nebo přímé útoky proti nim.
- Systém prevence narušení bezdrátové sítě (WIPS): Systémy WIPS monitorují rádiové spektrum na přítomnost neautorizovaných přístupových bodů a automaticky přijímají protiopatření k jejich odstranění. Tyto systémy jsou obvykle implementovány jako překryvná vrstva stávající infrastruktury bezdrátové sítě LAN, ačkoli mohou být nasazeny samostatně k prosazování zásad bezdrátové sítě v rámci organizace. Některé pokročilé bezdrátové infrastruktury mají integrované funkce WIPS. Kvalitní systém WIPS může zabránit následujícím typům hrozeb: falešným přístupovým bodům, chybně nakonfigurovaným přístupovým bodům, útokům typu man-in-the-middle, MAC spoofingu, honeypotu a útokům typu denial of service.
- Analýza chování sítě (NBA): Tento typ systému prevence narušení se spoléhá na detekci anomálií a hledá odchylky od toho, co je v systému nebo síti považováno za normální chování. To znamená, že vyžaduje tréninkové období pro vyprofilování toho, co je považováno za normální. Jakmile tréninkové období skončí, jsou nesrovnalosti označeny jako škodlivé. To je sice dobré pro detekci nových hrozeb, ale problémy mohou nastat, pokud byla síť během tréninkového období kompromitována, protože škodlivé chování může být považováno za normální. Kromě toho mohou tyto bezpečnostní nástroje vytvářet falešně pozitivní výsledky.
- Systém prevence narušení na bázi hostitele (HIPS): Systém nebo program používaný k ochraně kritických počítačových systémů. Systém HIPS analyzuje činnost na jednom hostiteli s cílem odhalit a zabránit škodlivé činnosti, především prostřednictvím analýzy chování kódu. Často jsou chváleny za to, že dokážou zabránit útokům, které využívají šifrování. HIPS lze také použít k zabránění získávání citlivých informací, jako jsou osobní identifikační údaje (PII) nebo chráněné zdravotní informace (PHI), z hostitele. Vzhledem k tomu, že systémy HIPS žijí na jednom počítači, je nejlepší je používat společně se síťovými systémy IDS a IPS a také se systémy IPS.
Jaká jsou omezení systémů detekce narušení (IDS) a systémů prevence narušení (IPS)?
Mezi omezení systémů IDS a IPS patří:
- Šum: Špatné pakety generované chybami, poškozenými daty DNS a lokálními pakety, které uniknou, mohou omezit účinnost systémů detekce narušení a způsobit vysokou míru falešných poplachů.
- Falešné poplachy: Není neobvyklé, že počet skutečných útoků je zastíněn počtem falešných poplachů. To může způsobit, že skutečné útoky budou přehlédnuty nebo ignorovány.
- Neaktuální databáze signatur: Mnoho útoků využívá známé zranitelnosti, což znamená, že knihovna signatur musí být stále aktuální, aby byla účinná. Neaktuální databáze signatur mohou způsobit, že budete zranitelní vůči novým strategiím.
- Zpoždění mezi objevením a použitím: U detekce založené na signaturách může dojít k prodlevě mezi objevením nového typu útoku a přidáním signatury do databáze signatur. Během této doby nebude systém IDS schopen útok identifikovat.
- Omezená ochrana před slabou identifikací nebo autentizací: Pokud útočník získá přístup kvůli špatnému zabezpečení heslem, pak systém IDS nemusí být schopen zabránit protivníkovi v jakémkoli nekalém jednání.
- Nedostatečné zpracování šifrovaných paketů: Většina IDS nezpracovává šifrované pakety, což znamená, že mohou být použity k průniku do sítě a nemusí být odhaleny.
- Závislost na atributu IP: Mnoho IDS poskytuje informace na základě síťové adresy, která je spojena s paketem IP odeslaným do sítě. To je výhodné, pokud je paket IP přesný, ale může být zfalšovaný nebo zakódovaný. Další informace naleznete v našem příspěvku o omezeních atributu IP.
- Náchylné ke stejným útokům založeným na protokolu, proti kterým jsou určeny k ochraně: Vzhledem k povaze NIDS a nutnosti analyzovat protokoly, které zachycují, mohou být zranitelné vůči určitým typům útoků. Například neplatná data a útoky na zásobník TCP/IP mohou způsobit selhání NIDS.
Jaké jsou rozdíly mezi systémy detekce narušení (IDS) a systémy prevence narušení (IPS)?
Hlavním rozdílem je, že IDS je monitorovací systém a IPS je kontrolní systém. Oba systémy IDS/IPS čtou síťové pakety a porovnávají jejich obsah s databází známých hrozeb nebo základní aktivitou. IDS však síťové pakety nemění, zatímco IPS může zabránit doručení paketů na základě jejich obsahu, podobně jako to dělá firewall s IP adresou:
- Systémy detekce narušení (IDS): Analyzují a monitorují provoz a hledají indikátory narušení, které mohou naznačovat vniknutí nebo krádež dat. IDS porovnává aktuální síťovou aktivitu se známými hrozbami, porušením zásad zabezpečení a skenováním otevřených portů. IDS vyžadují, aby se na výsledky podíval člověk nebo jiný systém a určil, jak reagovat, což je předurčuje k tomu, aby sloužily jako nástroje digitální forenzní analýzy po smrti. IDS také není inline, takže provoz nemusí procházet skrz něj.
- Systémy prevence narušení (IPS): IPS mají také detekční funkce, ale proaktivně odmítají síťový provoz, pokud se domnívají, že představuje známou bezpečnostní hrozbu.
Mohou systémy IDS a IPS spolupracovat?
Ano: Systémy IDS a IPS spolupracují. Mnoho moderních dodavatelů kombinuje IDS a IPS s firewally. Tento typ technologie se nazývá NGFW (Next-Generation Firewall) nebo UTM (Unified Threat Management).
Jak se systémy detekce narušení (IDS) a systémy prevence narušení (IPS) liší od firewallů?
Tradiční síťové firewally používají statickou sadu pravidel pro povolení nebo zamítnutí síťových připojení. To může zabránit průnikům za předpokladu, že jsou definována vhodná pravidla. V podstatě jsou firewally určeny k omezení přístupu mezi sítěmi, aby se zabránilo vniknutí, ale nezabrání útokům zevnitř sítě.
IDS a IPS zasílají výstrahy při podezření na narušení a také monitorují útoky zevnitř sítě. Všimněte si, že firewally nové generace obvykle kombinují tradiční technologii firewallu s hloubkovou kontrolou paketů, IDS a IPS.
Proč jsou IDS a IPS důležité?“
Týmy zabezpečení čelí stále rostoucímu seznamu bezpečnostních problémů od datových větví a úniků dat až po pokuty za nedodržování předpisů, přičemž jsou stále omezovány rozpočty a firemní politikou. Technologie IDS a IPS mohou pomoci pokrýt specifické a důležité části vašeho programu správy zabezpečení:
- Automatizace:
- Dodržování předpisů: Jakmile jsou systémy IDS a IPS jednou nakonfigurovány, jsou zpravidla hands-off, což znamená, že představují skvělý způsob, jak zlepšit zabezpečení sítě, aniž by k tomu bylo zapotřebí dalších lidí.
- Dodržování předpisů: Mnoho předpisů vyžaduje, abyste prokázali, že jste investovali do technologie na ochranu citlivých dat. Implementace IDS nebo IPS vám může pomoci řešit řadu kontrol CIS. A co je ještě důležitější, mohou pomoci chránit nejcitlivější data vás i vašich zákazníků a zlepšit zabezpečení dat.
- Prosazování zásad: IDS a IPS jsou konfigurovatelné a pomáhají vám prosazovat zásady zabezpečení informací na úrovni sítě. Pokud například podporujete pouze jeden operační systém, můžete pomocí IPS blokovat provoz přicházející z jiných.
Jak může UpGuard doplnit technologie IDS a IPS
Společnosti jako Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar a NASA používají bezpečnostní hodnocení UpGuard k ochraně svých dat, prevenci narušení dat a hodnocení svých bezpečnostních operací.
Pro hodnocení vašich kontrolních mechanismů zabezpečení informací může UpGuard BreachSight monitorovat vaši organizaci pro více než 70 bezpečnostních kontrolních mechanismů, které poskytují jednoduché a snadno pochopitelné hodnocení kybernetické bezpečnosti a automaticky odhalují uniklá pověření a odhalení dat v bucketech S3, serverech Rsync, repozitářích GitHub a dalších.
UpGuard Vendor Risk dokáže minimalizovat množství času, které vaše organizace stráví hodnocením souvisejících kontrol a kontrol zabezpečení informací třetích stran, a to díky automatizaci dotazníků pro dodavatele a poskytování šablon dotazníků pro dodavatele.
Můžeme vám také pomoci okamžitě porovnat vaše současné a potenciální dodavatele s jejich odvětvím, takže můžete zjistit, jak si stojí.
Hlavním rozdílem mezi společností UpGuard a ostatními dodavateli hodnocení zabezpečení je, že existují velmi veřejné důkazy o našich odborných znalostech v oblasti prevence narušení bezpečnosti a úniků dat.
Naše odborné znalosti byly zveřejněny například v The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters a TechCrunch.
Další informace o tom, co říkají naši zákazníci, si můžete přečíst v recenzích společnosti Gartner.
Pokud si chcete prohlédnout hodnocení zabezpečení vaší organizace, klikněte zde a vyžádejte si bezplatné hodnocení kybernetické bezpečnosti.
Získejte 7denní bezplatnou zkušební verzi platformy UpGuard ještě dnes.