A behatolásérzékelő rendszerek (IDS) és a behatolásmegelőző rendszerek (IPS) közötti fő különbség az, hogy az IDS-ek felügyeleti rendszerek, az IPS-ek pedig ellenőrző rendszerek. Az IDS nem változtatja meg a hálózati forgalmat, míg az IPS megakadályozza a csomagok továbbítását a csomag tartalma alapján, hasonlóan ahhoz, ahogyan a tűzfal megakadályozza a forgalmat az IP-cím alapján.

Az IDS-ek a hálózatok megfigyelésére szolgálnak, és riasztást küldenek, ha gyanús tevékenységet észlelnek egy rendszeren vagy hálózaton, míg az IPS valós időben reagál a kibertámadásokra azzal a céllal, hogy megakadályozza, hogy azok elérjék a célzott rendszereket és hálózatokat.

Röviden: az IDS és az IPS képes a támadási jelek észlelésére, a fő különbség a támadásra adott válaszukban van. Fontos azonban megjegyezni, hogy mind az IDS, mind az IPS ugyanazokat a felügyeleti és észlelési módszereket valósíthatja meg.

Ezzel a cikkel felvázoljuk a behatolás jellemzőit, a különböző támadási vektorokat, amelyeket a kiberbűnözők a hálózati biztonság veszélyeztetésére használhatnak, az IDS/IPS definícióját, valamint azt, hogy hogyan védhetik meg a hálózatot és javíthatják a kiberbiztonságot.

Mi a hálózati behatolás?

A hálózati behatolás a számítógépes hálózaton végzett bármilyen jogosulatlan tevékenység. A behatolás felismerése a hálózati tevékenység és a gyakori biztonsági fenyegetések világos megértésétől függ. Egy megfelelően megtervezett és telepített hálózati behatolásérzékelő rendszer és hálózati behatolásmegelőző rendszer segíthet megakadályozni a behatolókat, akik célja az érzékeny adatok ellopása, az adatok megsértése és a rosszindulatú programok telepítése.

A hálózatok és a végpontok sebezhetőek lehetnek a fenyegető szereplők behatolásaival szemben, akik a világ bármely pontján tartózkodhatnak, és a támadási felület kihasználására törekszenek.

Az általános hálózati sebezhetőségek közé tartoznak:

  • Rosszindulatú programok: A malware vagy rosszindulatú szoftver olyan program vagy fájl, amely káros a számítógép-felhasználó számára. A rosszindulatú szoftverek típusai közé tartoznak a számítógépes vírusok, férgek, trójai programok, kémprogramok, reklámprogramok és zsarolóprogramok. A rosszindulatú szoftverekről szóló teljes bejegyzésünket itt olvashatja el.
  • Social engineering támadások: A social engineering olyan támadási vektor, amely az emberi pszichológiát és fogékonyságot használja ki az áldozatok manipulálására, hogy bizalmas információkat és érzékeny adatokat adjanak ki, vagy olyan műveletet hajtsanak végre, amely megszegi a szokásos biztonsági előírásokat. A social engineering gyakori példái közé tartozik az adathalászat, a spear phishing és a whaling támadások. A social engineeringről szóló teljes bejegyzésünket itt olvashatja el.
  • Elavult vagy javítatlan szoftverek és hardverek: Az elavult vagy javítatlan szoftverek és hardverek ismert sebezhetőségekkel rendelkezhetnek, mint például a CVE-n felsoroltak. A sebezhetőség olyan gyenge pont, amelyet egy kibertámadás kihasználhat, hogy jogosulatlan hozzáférést szerezzen egy számítógépes rendszerhez vagy jogosulatlan műveleteket hajtson végre rajta. A WannaCryransomware-hez hasonló féregjáratú sebezhetőségek különösen nagy kockázatot jelentenek. További információkért olvassa el a sebezhetőségekről szóló teljes bejegyzésünket.
  • Adattároló eszközök: Az olyan hordozható adattároló eszközök, mint az USB és a külső merevlemezek rosszindulatú szoftvereket juttathatnak be a hálózatba.

Mi az a behatolásérzékelő rendszer (IDS)?

A behatolásérzékelő rendszer (IDS) olyan eszköz vagy szoftveralkalmazás, amely egy hálózatot vagy rendszert figyel rosszindulatú tevékenységek és szabályszegések szempontjából. Minden rosszindulatú adatforgalmat vagy jogsértést általában jelentenek a rendszergazdának, vagy központilag összegyűjtik egy biztonsági információ- és eseménykezelő rendszer (SIEM) segítségével.

Hogyan működik egy behatolásérzékelő rendszer (IDS)?

A behatolások megfigyelésére az IDS-ek három gyakori érzékelési változatot alkalmaznak:

  1. Jelzésalapú észlelés: A támadásokat meghatározott minták, például bájtsorozatok keresésével észleli a hálózati forgalomban, vagy a rosszindulatú programok által használt aláírásokat (ismert rosszindulatú utasítássorozatok) használja. Ez a terminológia a vírusirtó szoftverektől származik, amelyek ezeket a mintákat szignatúráknak nevezik. Míg a szignatúra-alapú IDS-ek könnyen felismerik az ismert kibertámadásokat, nehezen észlelik az olyan új támadásokat, amelyeknél nem áll rendelkezésre minta.
  2. Anomália-alapú észlelés: Behatolásérzékelő rendszer mind a hálózati, mind a számítógépes behatolások és visszaélések észlelésére a rendszertevékenység megfigyelésével és annak normális vagy anomális kategóriába sorolásával. Ezt a fajta biztonsági rendszert az ismeretlen támadások észlelésére fejlesztették ki, részben a rosszindulatú programok gyors fejlődése miatt. Az alapvető megközelítés az, hogy a gépi tanulás segítségével létrehozzák a megbízható tevékenység modelljét, és az új viselkedést összehasonlítják a modellel. Mivel ezeket a modelleket az adott alkalmazás- és hardverkonfigurációknak megfelelően lehet betanítani, a hagyományos szignatúra-alapú IDS-ekhez képest jobban általánosítható tulajdonságokkal rendelkeznek. Ugyanakkor több hamis pozitív eredményt is produkálnak.
  3. Reputáció alapú észlelés: A potenciális kiberfenyegetéseket a reputációs pontszámok alapján ismeri fel.

Melyek a behatolásérzékelő rendszerek (IDS) különböző típusai?

Az IDS-rendszerek hatóköre az egyes számítógépektől a nagy hálózatokig terjedhet, és általában két típusba sorolják:

  • Network intrusion detection system (NIDS): A bejövő hálózati forgalmat elemző rendszer. A NIDS-eket a hálózatok stratégiai pontjain helyezik el, hogy figyeljék az eszközökre irányuló és az onnan induló forgalmat. Az egész alhálózaton átmenő forgalom elemzését végzi el, és az alhálózatokon átmenő forgalmat egy ismert támadásokból álló könyvtárral veti össze. Ha egy támadást azonosítanak, riasztás küldhető a rendszergazdának.
  • Host-alapú behatolásérzékelő rendszer (HIDS): Olyan rendszer, amely fontos operációs rendszerfájlokat futtat és felügyel az egyes hosztokon vagy eszközökön. A HIDS figyeli az eszközről bejövő és kimenő csomagokat, és gyanús tevékenység észlelésekor riasztja a felhasználót vagy a rendszergazdát. Pillanatképet készít a meglévő rendszerfájlokról, és összeveti azokat a korábbi pillanatképekkel, ha kritikus fájlokat módosítottak vagy töröltek, riasztást ad.

Mi a behatolásmegelőző rendszer (IPS)?

A behatolásmegelőző rendszer (IPS) vagy behatolásérzékelő és -megelőző rendszer (IDPS) olyan hálózati biztonsági alkalmazások, amelyek a lehetséges rosszindulatú tevékenységek azonosítására, az információk naplózására, a kísérletek jelentésére és a megelőzésükre irányuló kísérletekre összpontosítanak. Az IPS-rendszerek gyakran közvetlenül a tűzfal mögött helyezkednek el.

Az IPS-megoldások emellett felhasználhatók a biztonsági stratégiákkal kapcsolatos problémák azonosítására, a meglévő fenyegetések dokumentálására és az egyének elrettentésére a biztonsági irányelvek megsértésétől.

A támadások megállításához az IPS megváltoztathatja a biztonsági környezetet, a tűzfal újrakonfigurálásával vagy a támadás tartalmának megváltoztatásával.

A behatolásmegelőző rendszereket sokan a behatolásérzékelő rendszerek kiterjesztésének tekintik, mivel mindkettő a hálózati forgalmat és/vagy a rendszertevékenységeket figyeli a rosszindulatú tevékenységek szempontjából.

Hogyan működik egy behatolásmegelőző rendszer (IPS)?

A behatolásmegelőző rendszerek (IPS) úgy működnek, hogy a következő észlelési módszerek közül egy vagy több segítségével vizsgálják az összes hálózati forgalmat:

  1. Jelzésalapú észlelés: A szignatúra-alapú IPS figyeli a hálózatban lévő csomagokat, és összehasonlítja az előre beállított és előre meghatározott támadási mintákkal, az úgynevezett szignatúrákkal.
  2. Statisztikai anomália-alapú észlelés: Az anomália-alapú IPS figyeli a hálózati forgalmat, és összehasonlítja azt egy meghatározott alapvonallal. Ezt az alapvonalat arra használják, hogy meghatározzák, mi a “normális” a hálózatban, pl. mennyi sávszélességet használnak és milyen protokollokat használnak. Míg ez a fajta anomália-érzékelés jó az új fenyegetések azonosítására, hamis pozitív jelzést is generálhat, amikor a sávszélesség jogszerű használata meghaladja az alapvonalat, vagy amikor az alapvonalak rosszul vannak konfigurálva.
  3. Állapotfüggő protokollelemzés észlelése: Ez a módszer a protokollállapotok eltéréseit úgy azonosítja, hogy a megfigyelt eseményeket összehasonlítja a jóindulatú tevékenység általánosan elfogadott definícióinak előre meghatározott profiljaival.

Az észlelést követően az IPS valós idejű csomagvizsgálatot végez minden, a hálózaton áthaladó csomagon, és ha gyanúsnak ítéli, az IPS a következő műveletek egyikét hajtja végre:

  • Megszakítja a TCP-munkamenetet, amelyet kihasználnak
  • Blokkolja a támadó IP-címet vagy felhasználói fiókot bármely alkalmazás, állomás vagy hálózati erőforrás elérésétől
  • Újraprogramozza vagy átkonfigurálja a tűzfalat, hogy megakadályozza a hasonló támadás későbbi bekövetkezését
  • Eltávolítja vagy helyettesíti a támadás után megmaradt rosszindulatú tartalmat a hasznos teher újracsomagolásával, a fejlécinformációk eltávolításával vagy a fertőzött fájlok megsemmisítésével

A megfelelő telepítés esetén az IPS így megakadályozhatja, hogy a rosszindulatú vagy nem kívánt csomagok és egy sor más kiberfenyegetés súlyos károkat okozzanak, többek között:

  • Distributed denial of service (DDOS)
  • Exploits
  • Computer férgek
  • Vírusok
  • Brute force támadások

Milyen típusú behatolásmegelőző rendszerek (IPS) léteznek?

A behatolásmegelőző rendszereket általában négy típusba sorolják:

  1. Hálózat alapú behatolásmegelőző rendszer (NIPS): Az NIPS-ek a hálózaton belüli csomagok elemzésével észlelik és megakadályozzák a rosszindulatú vagy gyanús tevékenységeket. A telepítést követően az NIPS információkat gyűjt az állomásról és a hálózatról, hogy azonosítsa a hálózaton engedélyezett állomáshelyeket, alkalmazásokat és operációs rendszereket. Emellett naplózzák a normál forgalomra vonatkozó információkat is, hogy azonosítani tudják az alapvonalhoz képest bekövetkezett változásokat. A TCP-kapcsolat elküldésével, a sávszélesség-használat korlátozásával vagy a csomagok visszautasításával megakadályozhatják a támadásokat. Bár hasznosak, jellemzően nem képesek a titkosított hálózati forgalom elemzésére, a nagy forgalmi terhelés kezelésére vagy az ellenük irányuló közvetlen támadások kezelésére.
  2. Vezeték nélküli behatolásmegelőző rendszer (WIPS): A WIPS-ek figyelik a rádióspektrumot az illetéktelen hozzáférési pontok jelenlétére, és automatikusan ellenintézkedéseket tesznek azok eltávolítására. Ezeket a rendszereket jellemzően a meglévő vezeték nélküli LAN-infrastruktúrához kapcsolódó overlay-ként valósítják meg, bár önállóan is telepíthetők a szervezeten belüli vezeték nélküli tilalmi irányelvek érvényesítésére. Egyes fejlett vezeték nélküli infrastruktúrák integrált WIPS-képességekkel rendelkeznek. A következő típusú fenyegetéseket lehet megelőzni egy jó WIPS segítségével: csaló hozzáférési pontok, rosszul konfigurált hozzáférési pontok, man-in-the-middle támadások, MAC spoofing, honeypot és szolgáltatásmegtagadási támadások.
  3. Hálózati viselkedéselemzés (NBA): Ez a fajta behatolásmegelőző rendszer az anomália-alapú észlelésre támaszkodik, és a rendszer vagy hálózat normálisnak tekintett viselkedésétől való eltéréseket keresi. Ez azt jelenti, hogy egy betanulási időszakot igényel a normálisnak tekintett viselkedés profilozásához. A betanítási időszak végeztével az ellentmondásokat rosszindulatúnak jelöli. Bár ez jó az új fenyegetések észlelésére, problémák merülhetnek fel, ha a hálózatot a képzési időszak alatt veszélyeztették, mivel a rosszindulatú viselkedés normálisnak tekinthető. Ráadásul ezek a biztonsági eszközök hamis pozitív eredményeket produkálhatnak.
  4. Host-alapú behatolásmegelőző rendszer (HIPS): A kritikus számítógépes rendszerek védelmére alkalmazott rendszer vagy program. A HIPS-ek elemzik az egyetlen állomáson végzett tevékenységet a rosszindulatú tevékenység észlelése és megelőzése érdekében, elsősorban a kód viselkedésének elemzése révén. Gyakran dicsérik, hogy képesek megakadályozni a titkosítást használó támadásokat. A HIPS arra is használható, hogy megakadályozza az olyan érzékeny információk, mint a személyazonosításra alkalmas információk (PII) vagy a védett egészségügyi információk (PHI) kiszivattyúzását az állomásról. Mivel a HIPS egyetlen gépen él, a hálózati alapú IDS és IPS, valamint az IPS mellett a legjobban használható.

Melyek a behatolásérzékelő rendszerek (IDS) és a behatolásmegelőző rendszerek (IPS) korlátai?

Az IDS és az IPS korlátai a következők:

  • Zaj: A hibákból keletkező rossz csomagok, a hibás DNS-adatok és a menekülő helyi csomagok korlátozhatják a behatolásjelző rendszerek hatékonyságát, és magas téves riasztási arányt okozhatnak.
  • Hamis riasztások: Nem ritka, hogy a valódi támadások száma eltörpül a hamis riasztások száma mellett. Ez azt eredményezheti, hogy a valódi támadások kimaradnak vagy figyelmen kívül maradnak.
  • Elavult aláírás-adatbázisok: Sok támadás ismert sebezhetőségeket használ ki, ami azt jelenti, hogy az aláíráskönyvtárnak naprakésznek kell maradnia ahhoz, hogy hatékony legyen. Az elavult aláírás-adatbázisok sebezhetővé tehetnek az új stratégiákkal szemben.
  • A felfedezés és az alkalmazás közötti késedelem: A szignatúra-alapú észlelés esetében késedelem léphet fel egy új típusú támadás felfedezése és a szignatúra szignatúra adatbázisba való felvétele között. Ez idő alatt az IDS nem lesz képes azonosítani a támadást.
  • Korlátozott védelem a gyenge azonosítás vagy hitelesítés ellen: Ha egy támadó gyenge jelszóvédelem miatt jut be, akkor az IDS nem biztos, hogy képes megakadályozni a támadót bármilyen visszaélésben.
  • A titkosított csomagok feldolgozásának hiánya: A legtöbb IDS nem dolgozza fel a titkosított csomagokat, ami azt jelenti, hogy a hálózatba való behatolásra használhatók, és nem feltétlenül fedezik fel őket.
  • IP-attribútumra való támaszkodás: Sok IDS a hálózatra küldött IP-csomaghoz tartozó hálózati cím alapján szolgáltat információt. Ez előnyös, ha az IP-csomag pontos, de hamisítható vagy titkosítható. További információkért lásd az IP-attribútum korlátairól szóló bejegyzésünket.
  • Érzékenyek ugyanazokra a protokollalapú támadásokra, amelyek ellen védelmet nyújtanak: Az NIDS természetéből és az általuk rögzített protokollok elemzésének szükségességéből adódóan sebezhetőek lehetnek bizonyos típusú támadásokkal szemben. Például az érvénytelen adatok és a TCP/IP stack támadások az NIDS-ek összeomlását okozhatják.

Mi a különbség a behatolásérzékelő rendszerek (IDS) és a behatolásmegelőző rendszerek (IPS) között?

A fő különbség az, hogy az IDS egy felügyeleti rendszer, az IPS pedig egy ellenőrző rendszer. Mindkét IDS/IPS hálózati csomagokat olvas, és összehasonlítja azok tartalmát az ismert fenyegetések vagy alaptevékenységek adatbázisával. Az IDS-ek azonban nem módosítják a hálózati csomagokat, míg az IPS-ek tartalmuk alapján megakadályozhatják a csomagok továbbítását, hasonlóan ahhoz, ahogyan a tűzfal teszi az IP-címekkel:

  • Behatolásérzékelő rendszerek (IDS): Elemzik és figyelik a forgalmat a behatolásra vagy adatlopásra utaló kompromittáltsági jelek után. Az IDS-ek összehasonlítják az aktuális hálózati tevékenységet az ismert fenyegetésekkel, a biztonsági házirendek megsértésével és a nyitott portok vizsgálatával. Az IDS-eknek emberekre vagy egy másik rendszerre van szükségük ahhoz, hogy megnézzék az eredményeket, és meghatározzák, hogyan reagáljanak, így jobbak a digitális törvényszéki vizsgálatok utólagos eszközeiként. Emellett az IDS-ek nem soron belüliek, így a forgalomnak nem kell átfolynia rajtuk.
  • Behatolásmegelőző rendszerek (IPS): Az IPS-ek is rendelkeznek észlelési képességekkel, de proaktívan megtagadják a hálózati forgalmat, ha úgy vélik, hogy az ismert biztonsági fenyegetést jelent.

Munkálkodhat-e együtt az IDS és az IPS?

Igen, az IDS és az IPS együtt működik. Sok modern gyártó kombinálja az IDS-t és az IPS-t a tűzfalakkal. Az ilyen típusú technológiát újgenerációs tűzfalnak (NGFW) vagy egységes fenyegetéskezelésnek (UTM) nevezik.

Miben különböznek a behatolásérzékelő rendszerek (IDS) és a behatolásmegelőző rendszerek (IPS) a tűzfalaktól?

A hagyományos hálózati tűzfalak statikus szabálykészletet használnak a hálózati kapcsolatok engedélyezésére vagy megtagadására. Ez megakadályozhatja a behatolásokat, feltéve, hogy megfelelő szabályokat határoztak meg. A tűzfalak lényegében a hálózatok közötti hozzáférés korlátozására szolgálnak a behatolás megakadályozása érdekében, de nem akadályozzák meg a hálózaton belüli támadásokat.

Az AIDS és az IPS riasztást küld, ha behatolásra gyanakszik, és figyeli a hálózaton belüli támadásokat is. Vegye figyelembe, hogy az új generációs tűzfalak általában a hagyományos tűzfal technológiát kombinálják a mély csomagvizsgálattal, az IDS-szel és az IPS-szel.

Miért fontos az IDS és az IPS?

A biztonsági csapatoknak egyre több biztonsági problémával kell szembenézniük az adatelágazásoktól és az adatszivárgástól kezdve a megfelelési bírságokig, miközben a költségvetések és a vállalati politika is korlátozza őket. Az IDS- és IPS-technológia segíthet a biztonságirányítási program konkrét és fontos részeinek lefedésében:

  • Automatizálás:
  • Megfelelőség: Számos szabályozás megköveteli, hogy bizonyítsa, hogy befektetett az érzékeny adatok védelmét szolgáló technológiába. Egy IDS vagy IPS bevezetése segíthet Önnek számos CIS-ellenőrzés kezelésében. Ennél is fontosabb, hogy segíthetnek megvédeni az Ön és ügyfelei legérzékenyebb adatait, és javíthatják az adatbiztonságot.
  • Szabályok érvényesítése: Az IDS-ek és IPS-ek konfigurálhatók, hogy segítsenek az információbiztonsági irányelvek hálózati szintű érvényesítésében. Ha például csak egy operációs rendszert támogat, az IPS segítségével blokkolhatja a többi operációs rendszerről érkező forgalmat.

Hogyan egészítheti ki az UpGuard az IDS és IPS technológiát

Az olyan vállalatok, mint az Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar és NASA az UpGuard biztonsági értékeléseit használják az adatok védelmére, az adatok megsértésének megelőzésére és a biztonsági műveletek értékelésére.

Az UpGuard BreachSight az Ön információbiztonsági ellenőrzéseinek értékeléséhez 70+ biztonsági ellenőrzés tekintetében képes figyelemmel kísérni szervezetét, egyszerű, könnyen érthető kiberbiztonsági minősítést nyújtva, és automatikusan észleli a kiszivárgott hitelesítő adatokat és az S3 vödrökben, Rsync-kiszolgálókban, GitHub-reposzokban és egyebekben lévő adatok kiszolgáltatottságát.

Az UpGuard Vendor Risk a szállítók kérdőíveinek automatizálásával és a szállítók kérdőívsablonjainak biztosításával minimalizálhatja a szervezetének a kapcsolódó és harmadik féltől származó információbiztonsági ellenőrzések értékelésére fordított időt.

A jelenlegi és potenciális szállítók azonnali összehasonlításában is segítünk, így láthatja, hogyan állnak az iparágban.

A fő különbség az UpGuard és más biztonsági minősítő szállítók között az, hogy nagyon nyilvános bizonyíték van az adatbetörések és adatszivárgások megelőzésében szerzett szakértelmünkre.

Szakértelmünkről többek között a The New York Times, a The Wall Street Journal, a Bloomberg, a The Washington Post, a Forbes, a Reuters és a TechCrunch is beszámolt.

A Gartner értékeléseinél többet olvashat arról, hogy mit mondanak ügyfeleink.

Ha szeretné megnézni szervezetének biztonsági minősítését, kattintson ide az ingyenes kiberbiztonsági minősítés igényléséhez.

Kérjen 7 napos ingyenes próbaverziót az UpGuard platformról még ma.

By: adminPosted on

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.