Den væsentligste forskel mellem IDS-systemer (Intrusion detection systems) og IPS-systemer (Intrusion Prevention systems) er, at IDS er overvågningssystemer, mens IPS er kontrolsystemer. IDS ændrer ikke netværkstrafikken, mens IPS forhindrer pakker i at blive leveret på baggrund af pakkens indhold, svarende til hvordan en firewall forhindrer trafik på baggrund af IP-adresse.
IDS bruges til at overvåge netværk og sende advarsler, når der registreres mistænkelig aktivitet på et system eller netværk, mens et IPS reagerer på cyberangreb i realtid med det formål at forhindre dem i at nå målrettede systemer og netværk.
Kort sagt har IDS og IPS evnen til at registrere angrebssignaturer, hvor den største forskel er deres reaktion på angrebet. Det er dog vigtigt at bemærke, at både IDS og IPS kan implementere de samme overvågnings- og detektionsmetoder.
I denne artikel skitserer vi karakteristikaene ved et indbrud, de forskellige angrebsvektorer, som cyberkriminelle kan bruge til at kompromittere netværkssikkerheden, definitionen af IDS/IPS, og hvordan de kan beskytte dit netværk og forbedre cybersikkerheden.
- Hvad er en netværksindtrængen?
- Hvad er et indtrængningsdetektionssystem (IDS)?
- Hvordan fungerer et IDS-system (Intrusion Detection System)?
- Hvad er de forskellige typer af indtrængningsdetektionssystemer (IDS)
- Hvad er et IPS-system (Intrusion Prevention System)?
- Hvordan fungerer et indbrudsforebyggelsessystem (IPS)?
- Hvad er de forskellige typer af IPS (Intrusion Prevention System)?
- Hvad er begrænsningerne ved intrusion detection systems (IDS) og intrusion prevention systems (IPS)?
- Hvad er forskellene mellem indtrængningsdetektionssystemer (IDS) og indtrængningsforebyggelsessystemer (IPS)?
- Kan IDS og IPS fungere sammen?
- Hvordan adskiller intrusion detection systems (IDS) og intrusion prevention systems (IPS) sig fra firewalls?
- Hvorfor er IDS og IPS vigtige?
- Hvordan UpGuard kan supplere IDS- og IPS-teknologi
Hvad er en netværksindtrængen?
En netværksindtrængen er enhver uautoriseret aktivitet på et computernetværk. At opdage en indtrængen afhænger af, at man har en klar forståelse af netværksaktivitet og almindelige sikkerhedstrusler. Et korrekt designet og implementeret system til registrering af netværksindbrud og et system til forebyggelse af netværksindbrud kan hjælpe med at blokere for indtrængere, der har til formål at stjæle følsomme data, forårsage databrud og installere malware.
Netværk og slutpunkter kan være sårbare over for indbrud fra trusselsaktører, der kan befinde sig hvor som helst i verden og forsøge at udnytte din angrebsflade.
Fælles netværkssårbarheder omfatter:
- Malware: Malware, eller skadelig software, er et program eller en fil, der er skadelig for en computerbruger. Typer af malware omfatter computervirusser, orme, trojanske heste, spyware, adware og ransomware. Læs hele vores indlæg om malware her.
- Social engineering-angreb: Social engineering er en angrebsvektor, der udnytter menneskets psykologi og modtagelighed til at manipulere ofrene til at afsløre fortrolige oplysninger og følsomme data eller udføre en handling, der bryder med sædvanlige sikkerhedsstandarder. Almindelige eksempler på social engineering omfatter phishing, spear phishing og hvalfangstangreb. Læs hele vores indlæg om social engineering her.
- Forældet eller ikke-patchet software og hardware: Forældet eller ikke-patchet software og hardware kan have kendte sårbarheder som dem, der er opført på CVE. En sårbarhed er en svaghed, som kan udnyttes af et cyberangreb til at få uautoriseret adgang til eller udføre uautoriserede handlinger på et computersystem. Sårbarheder, der kan ormes, som f.eks. den, der førte til WannaCryransomware, udgør en særlig høj risiko. Læs hele vores indlæg om sårbarheder for at få flere oplysninger.
- Datalagringsenheder: Bærbare lagerenheder som USB- og eksterne harddiske kan indføre malware i dit netværk.
Hvad er et indtrængningsdetektionssystem (IDS)?
Et indtrængningsdetektionssystem (IDS) er en enhed eller et softwareprogram, der overvåger et netværk eller system for ondsindet aktivitet og overtrædelse af politikker. Enhver skadelig trafik eller overtrædelse rapporteres typisk til en administrator eller indsamles centralt ved hjælp af et SIEM-system (Security Information and Event Management).
Hvordan fungerer et IDS-system (Intrusion Detection System)?
Der er tre almindelige detektionsvarianter, som IDS anvender til at overvåge indbrud:
- Signaturbaseret detektion: Detekterer angreb ved at lede efter specifikke mønstre, f.eks. byte-sekvenser i netværkstrafikken eller ved at bruge signaturer (kendte skadelige instruktionssekvenser), der anvendes af malware. Denne terminologi stammer fra antivirussoftware, der betegner disse mønstre som signaturer. Mens signaturbaserede IDS let kan registrere kendte cyberangreb, har de svært ved at registrere nye angreb, hvor der ikke findes noget mønster.
- Anomalibaseret detektion: Et indbrudsdetektionssystem til detektering af både netværks- og computerindbrud og misbrug ved at overvåge systemaktivitet og klassificere den som enten normal eller unormal. Denne type sikkerhedssystem blev udviklet til at opdage ukendte angreb, bl.a. på grund af den hurtige udvikling af malware. Den grundlæggende fremgangsmåde er at bruge maskinlæring til at skabe en model af troværdig aktivitet og sammenligne ny adfærd med modellen. Da disse modeller kan trænes i overensstemmelse med specifikke applikations- og hardwarekonfigurationer, har de bedre generaliserede egenskaber sammenlignet med traditionelle signaturbaserede IDS. De lider dog også under flere falske positive resultater.
- Reputationsbaseret detektion:
Hvad er de forskellige typer af indtrængningsdetektionssystemer (IDS)
IDS-systemer kan spænde fra enkelte computere til store netværk og er almindeligvis klassificeret i to typer:
- Network intrusion detection system (NIDS): Et system, der analyserer indgående netværkstrafik. NIDS placeres på strategiske punkter i netværk for at overvåge trafikken til og fra enheder. Det udfører en analyse af den passerende trafik på hele undernettet og matcher den trafik, der passerer på undernettene, med et bibliotek af kendte angreb. Når der identificeres et angreb, kan der sendes en advarsel til en administrator.
- Værtsbaseret indtrængningsdetektionssystem (HIDS): Et system, der kører og overvåger vigtige styresystemfiler på individuelle værter eller enheder. Et HIDS overvåger de indgående og udgående pakker fra enheden og advarer brugeren eller administratoren, hvis der registreres mistænkelig aktivitet. Det tager et øjebliksbillede af eksisterende systemfiler og sammenligner dem med tidligere øjebliksbilleder, og hvis kritiske filer er blevet ændret eller slettet, udløses en advarsel.
Hvad er et IPS-system (Intrusion Prevention System)?
Et IPS-system (Intrusion Prevention System) eller IDPS-systemer (Intrusion Detection and Prevention System) er netværkssikkerhedsprogrammer, der fokuserer på at identificere mulig skadelig aktivitet, logge oplysninger, rapportere forsøg og forsøge at forhindre dem. IPS-systemer sidder ofte direkte bag firewall’en.
Dertil kommer, at IPS-løsninger kan bruges til at identificere problemer med sikkerhedsstrategier, dokumentere eksisterende trusler og til at afskrække enkeltpersoner fra at overtræde sikkerhedspolitikker.
For at stoppe angreb kan et IPS ændre sikkerhedsmiljøet ved at omkonfigurere en firewall eller ved at ændre angrebets indhold.
Mange betragter intrusion prevention-systemer som en udvidelse af intrusion detection-systemer, da de begge overvåger netværkstrafik og/eller systemaktiviteter for skadelig aktivitet.
Hvordan fungerer et indbrudsforebyggelsessystem (IPS)?
Intrusionsforebyggelsessystemer (IPS) fungerer ved at scanne al netværkstrafik via en eller flere af følgende detektionsmetoder:
- Signaturbaseret detektion: Signaturbaseret IPS: Signaturbaseret IPS overvåger pakker i et netværk og sammenligner dem med forudkonfigurerede og forudbestemte angrebsmønstre, der kaldes signaturer.
- Statistisk anomali-baseret detektion: En IPS, der er anomalibaseret, overvåger netværkstrafikken og sammenligner den med en etableret basislinje. Denne baseline bruges til at identificere, hvad der er “normalt” i et netværk, f.eks. hvor meget båndbredde der bruges, og hvilke protokoller der anvendes. Selv om denne type anomaliedetektion er god til at identificere nye trusler, kan den også generere falske positiver, når legitime anvendelser af båndbredde overstiger en baseline, eller når baselines er dårligt konfigureret.
- Registrering af stateful protokolanalyse: Denne metode identificerer afvigelser i protokoltilstande ved at sammenligne observerede hændelser med forudbestemte profiler af generelt accepterede definitioner af godartet aktivitet.
Når det er opdaget, udfører en IPS en realtidspakkeinspektion af alle pakker, der passerer gennem netværket, og hvis de anses for mistænkelige, udfører IPS’en en af følgende handlinger:
- Terminere den TCP-session, der er blevet udnyttet
- Blokere den krænkende IP-adresse eller brugerkonto fra at få adgang til et program, en vært eller en netværksressource
- Opnå omprogrammering eller omkonfigurering af firewallen for at forhindre et lignende angreb i at finde sted på et senere tidspunkt
- Fjern eller erstatte skadeligt indhold, der er tilbage efter et angreb, ved at ompakke nyttelasten, fjerne header-informationer eller ødelægge inficerede filer
Når det implementeres korrekt, giver dette en IPS mulighed for at forhindre alvorlige skader, der forårsages af ondsindede eller uønskede pakker og en række andre cybertrusler, herunder:
- Distributed denial of service (DDOS)
- Exploits
- Computerorme
- Virusser
- Brute force-angreb
Hvad er de forskellige typer af IPS (Intrusion Prevention System)?
Intrusionsforebyggelsessystemer klassificeres generelt i fire typer:
- Netværksbaseret indtrængningsforebyggelsessystem (NIPS): NIPS: NIPS registrerer og forhindrer ondsindet aktivitet eller mistænkelig aktivitet ved at analysere pakker i hele netværket. Når NIPS er installeret, indsamler de oplysninger fra værten og netværket for at identificere tilladte værter, programmer og styresystemer på netværket. De logger også oplysninger om normal trafik for at identificere ændringer i forhold til basislinjen. De kan forhindre angreb ved at sende en TCP-forbindelse, begrænse båndbreddeforbruget eller afvise pakker. Selv om de er nyttige, kan de typisk ikke analysere krypteret netværkstrafik, håndtere høje trafikbelastninger eller håndtere direkte angreb mod dem.
- Trådløst indtrængningsforebyggelsessystem (WIPS): WIPS overvåger radiospektret for tilstedeværelsen af uautoriserede adgangspunkter og træffer automatisk modforanstaltninger for at fjerne dem. Disse systemer implementeres typisk som et overlay til en eksisterende trådløs LAN-infrastruktur, selv om de også kan implementeres selvstændigt for at håndhæve politikker for ikke trådløs kommunikation i en organisation. Nogle avancerede trådløse infrastrukturer har integrerede WIPS-funktioner. Følgende typer trusler kan forhindres af en god WIPS: rogue access points, fejlkonfigurerede access points, man-in-the-middle-angreb, MAC-spoofing, honeypot- og denial of service-angreb.
- Netværksadfærdsanalyse (NBA): Denne type indbrudsforebyggelsessystem er baseret på anomalibaseret detektion og søger efter afvigelser fra det, der betragtes som normal adfærd i et system eller netværk. Det betyder, at det kræver en træningsperiode at profilere, hvad der betragtes som normalt. Når træningsperioden er overstået, bliver uoverensstemmelser markeret som ondsindet. Selv om dette er godt til at opdage nye trusler, kan der opstå problemer, hvis netværket er blevet kompromitteret i løbet af træningsperioden, da skadelig adfærd kan betragtes som normal. Desuden kan disse sikkerhedsværktøjer producere falske positive resultater.
- Værtsbaseret system til forebyggelse af indtrængen (HIPS): Et system eller program, der anvendes til at beskytte kritiske computersystemer. HIPS analyserer aktivitet på en enkelt vært for at opdage og forhindre skadelig aktivitet, primært ved at analysere kodeadfærd. De roses ofte for at kunne forhindre angreb, der anvender kryptering. HIPS kan også bruges til at forhindre, at følsomme oplysninger som f.eks. personligt identificerbare oplysninger (PII) eller beskyttede sundhedsoplysninger (PHI) bliver udtrukket fra værten. Da HIPS lever på en enkelt maskine, anvendes de bedst sammen med netværksbaserede IDS og IPS samt IPS.
Hvad er begrænsningerne ved intrusion detection systems (IDS) og intrusion prevention systems (IPS)?
Begrænsningerne ved IDS og IPS omfatter:
- Støj: Dårlige pakker, der genereres af fejl, korrupte DNS-data og lokale pakker, der undslipper, kan begrænse indtrængningsdetektionssystemernes effektivitet og forårsage en høj falsk alarmrate.
- Falsk positive: Det er ikke ualmindeligt, at antallet af reelle angreb overskygges af antallet af falske alarmer. Dette kan medføre, at reelle angreb overses eller ignoreres.
- Forældede signaturdatabaser: Mange angreb udnytter kendte sårbarheder, hvilket betyder, at signaturbiblioteket skal være ajourført for at være effektivt. Forældede signaturdatabaser kan gøre dig sårbar over for nye strategier.
- Forsinkelsen mellem opdagelse og anvendelse: For signaturbaseret detektion kan der være en forsinkelse mellem opdagelsen af en ny type angreb og tilføjelsen af signaturen til signaturdatabasen. I denne periode vil IDS’et ikke kunne identificere angrebet.
- Begrænset beskyttelse mod svag identifikation eller autentificering: Hvis en angriber får adgang på grund af dårlig passwordsikkerhed, kan et IDS muligvis ikke forhindre modstanderen i at begå nogen form for uregelmæssigheder.
- Manglende behandling af krypterede pakker: De fleste IDS vil ikke behandle krypterede pakker, hvilket betyder, at de kan bruges til indtrængen i et netværk og måske ikke bliver opdaget.
- Afhængighed af IP-attribut: Mange IDS giver oplysninger baseret på den netværksadresse, der er knyttet til den IP-pakke, der sendes til netværket. Dette er en fordel, hvis IP-pakken er nøjagtig, men den kan være forfalsket eller forvrænget. Se vores indlæg om begrænsningerne ved IP-attribution for at få flere oplysninger.
- Modtagelige for de samme protokolbaserede angreb, som de er designet til at beskytte mod: På grund af NIDS’ernes karakter og behovet for at analysere de protokoller, de opfanger, kan de være sårbare over for visse typer angreb. F.eks. kan ugyldige data og TCP/IP-stack-angreb få NIDS til at gå ned.
Hvad er forskellene mellem indtrængningsdetektionssystemer (IDS) og indtrængningsforebyggelsessystemer (IPS)?
Den vigtigste forskel er, at et IDS er et overvågningssystem, og et IPS er et kontrolsystem. Begge IDS/IPS læser netværkspakker og sammenligner deres indhold med en database over kendte trusler eller baselineaktivitet. IDS ændrer dog ikke netværkspakker, mens IPS kan forhindre pakker i at blive leveret på baggrund af deres indhold, ligesom en firewall gør det med en IP-adresse:
- Intrusion detection systems (IDS): Analyserer og overvåger trafikken for indikatorer for kompromittering, der kan indikere et indbrud eller datatyveri. IDS sammenligner den aktuelle netværksaktivitet med kendte trusler, overtrædelser af sikkerhedspolitikken og scanning af åbne porte. IDS kræver, at mennesker eller et andet system ser på resultaterne og bestemmer, hvordan de skal reagere, hvilket gør dem bedre som værktøjer til digital kriminaltekniske undersøgelser efter døden. IDS er heller ikke inline, så trafikken behøver ikke at strømme igennem det.
- Indbrudsforebyggelsessystemer (IPS): IPS har også detekteringsfunktioner, men vil proaktivt afvise netværkstrafik, hvis de mener, at den udgør en kendt sikkerhedstrussel.
Kan IDS og IPS fungere sammen?
Ja, IDS og IPS fungerer sammen. Mange moderne leverandører kombinerer IDS og IPS med firewalls. Denne type teknologi kaldes NGFW (Next-Generation Firewall) eller UTM (Unified Threat Management).
Hvordan adskiller intrusion detection systems (IDS) og intrusion prevention systems (IPS) sig fra firewalls?
Traditionelle netværksfirewalls bruger et statisk sæt regler til at tillade eller afvise netværksforbindelser. Dette kan forhindre indbrud, forudsat at de relevante regler er blevet defineret. Firewalls er grundlæggende designet til at begrænse adgangen mellem netværk for at forhindre indtrængen, men de forhindrer ikke angreb indefra et netværk.
IDS og IPS sender advarsler, når de har mistanke om indtrængen, og overvåger også angreb indefra et netværk. Bemærk, at næste generations firewalls generelt kombinerer traditionel firewall-teknologi med Deep Packet Inspection, IDS og IPS.
Hvorfor er IDS og IPS vigtige?
Sikkerhedsteams står over for en stadig voksende liste af sikkerhedsproblemer fra dataforgreninger og datalækager til bøder for overholdelse af reglerne, samtidig med at de stadig er begrænset af budgetter og virksomhedspolitik. IDS- og IPS-teknologi kan hjælpe med at dække specifikke og vigtige dele af dit sikkerhedsstyringsprogram:
- Automatisering: Når først IDS og IPS er konfigureret, er de generelt hands-off, hvilket betyder, at de er en fantastisk måde at forbedre netværkssikkerheden på, uden at der er behov for yderligere medarbejdere.
- Overholdelse: Mange regler kræver, at du skal bevise, at du har investeret i teknologi til at beskytte følsomme data. Implementering af et IDS eller IPS kan hjælpe dig med at løse en række CIS-kontroller. Endnu vigtigere er, at de kan hjælpe med at beskytte dine og dine kunders mest følsomme data og forbedre datasikkerheden.
- Håndhævelse af politikker: IDS og IPS kan konfigureres for at hjælpe dig med at håndhæve dine informationssikkerhedspolitikker på netværksniveau. Hvis du f.eks. kun understøtter ét operativsystem, kan du bruge en IPS til at blokere trafik fra andre operativsystemer.
Hvordan UpGuard kan supplere IDS- og IPS-teknologi
Selskaber som Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar og NASA bruger UpGuards sikkerhedsvurderinger til at beskytte deres data, forhindre databrud og vurdere deres sikkerhedsaktiviteter.
For vurderingen af dine informationssikkerhedskontroller kan UpGuard BreachSight overvåge din organisation for 70+ sikkerhedskontroller, hvilket giver en enkel, letforståelig cybersikkerhedsvurdering og automatisk opdage lækkede legitimationsoplysninger og dataeksponeringer i S3-spande, Rsync-servere, GitHub-repos og meget mere.
UpGuard Vendor Risk kan minimere den tid, din organisation bruger på at vurdere relaterede og tredjeparts informationssikkerhedskontroller ved at automatisere spørgeskemaer til leverandører og levere skabeloner til spørgeskemaer til leverandører.
Vi kan også hjælpe dig med øjeblikkeligt at benchmarke dine nuværende og potentielle leverandører i forhold til deres branche, så du kan se, hvordan de klarer sig.
Den store forskel mellem UpGuard og andre leverandører af sikkerhedsvurderinger er, at der er meget offentligt bevis for vores ekspertise med hensyn til at forhindre databrud og datalækager.
Vores ekspertise er blevet omtalt i bl.a. The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters og TechCrunch.
Du kan læse mere om, hvad vores kunder siger på Gartner-anmeldelser.
Hvis du gerne vil se din organisations sikkerhedsvurdering, kan du klikke her for at anmode om din gratis cybersikkerhedsvurdering.
Få en gratis prøveperiode på 7 dage af UpGuard-platformen i dag.