Het belangrijkste verschil tussen inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) is dat IDS monitoringsystemen zijn en IPS controlesystemen. IDS veranderen het netwerkverkeer niet, terwijl IPS voorkomt dat pakketten worden afgeleverd op basis van de inhoud van het pakket, vergelijkbaar met de manier waarop een firewall verkeer op basis van IP-adres voorkomt.

IDS worden gebruikt om netwerken te bewaken en waarschuwingen te verzenden wanneer verdachte activiteit op een systeem of netwerk wordt gedetecteerd, terwijl een IPS in realtime op cyberaanvallen reageert met als doel te voorkomen dat deze gerichte systemen en netwerken bereiken.

Kortom IDS en IPS hebben de mogelijkheid om aanvalshandtekeningen te detecteren met als belangrijkste verschil hun reactie op de aanval. Het is echter belangrijk op te merken dat zowel IDS als IPS dezelfde bewakings- en detectiemethoden kunnen implementeren.

In dit artikel schetsen we de kenmerken van een inbraak, de verschillende aanvalsvectoren die cybercriminelen kunnen gebruiken om de netwerkbeveiliging te compromitteren, de definitie van IDS / IPS, en hoe ze uw netwerk kunnen beschermen en de cyberbeveiliging kunnen verbeteren.

Wat is een netwerkinbraak?

Een netwerkinbraak is elke ongeoorloofde activiteit op een computernetwerk. Het detecteren van een inbraak hangt af van een goed begrip van de netwerkactiviteit en veelvoorkomende beveiligingsrisico’s. Een goed ontworpen en ingezet netwerkinbraakdetectiesysteem en netwerkinbraakpreventiesysteem kunnen helpen indringers te blokkeren die als doel hebben gevoelige gegevens te stelen, gegevensinbreuken te veroorzaken en malware te installeren.

Netwerken en endpoints kunnen kwetsbaar zijn voor inbraken van bedreigingsactoren die zich overal ter wereld kunnen bevinden en uw aanvalsoppervlak willen uitbuiten.

Gemeenschappelijke kwetsbaarheden van netwerken zijn onder meer:

  • Malware: Malware, of kwaadaardige software, is elk programma of bestand dat schadelijk is voor een computergebruiker. Soorten malware zijn onder meer computervirussen, wormen, Trojaanse paarden, spyware, adware en ransomware. Lees ons volledige bericht over malware hier.
  • Social engineering-aanvallen: Social engineering is een aanvalsvector die gebruikmaakt van de menselijke psychologie en vatbaarheid om slachtoffers te manipuleren tot het prijsgeven van vertrouwelijke informatie en gevoelige gegevens of het uitvoeren van een actie die de gebruikelijke beveiligingsnormen doorbreekt. Bekende voorbeelden van social engineering zijn phishing, spear phishing en whalingaanvallen. Lees ons volledige bericht over social engineering hier.
  • Verouderde of ongepatchte software en hardware: Verouderde of ongepatchte software en hardware kunnen bekende kwetsbaarheden hebben zoals die welke op CVE staan. Een kwetsbaarheid is een zwakte die door een cyberaanval kan worden uitgebuit om ongeoorloofde toegang te krijgen tot of ongeoorloofde acties uit te voeren op een computersysteem. Wormbare kwetsbaarheden zoals die welke tot de WannaCryransomware hebben geleid, vormen een bijzonder hoog risico. Lees ons volledige bericht over kwetsbaarheden voor meer informatie.
  • Apparatuur voor gegevensopslag: Draagbare opslagapparaten zoals USB en externe harde schijven kunnen malware in uw netwerk introduceren.

Wat is een inbraakdetectiesysteem (IDS)?

Een inbraakdetectiesysteem (IDS) is een apparaat of softwaretoepassing die een netwerk of systeem controleert op schadelijke activiteiten en schendingen van het beleid. Elk kwaadaardig verkeer of elke inbreuk wordt doorgaans gemeld aan een beheerder of centraal verzameld met behulp van een SIEM-systeem (Security Information and Event Management).

Hoe werkt een inbraakdetectiesysteem (IDS)?

Er zijn drie veelvoorkomende detectievarianten die IDS gebruiken om inbraken te monitoren:

  1. Op handtekening gebaseerde detectie: Detecteert aanvallen door te zoeken naar specifieke patronen, zoals byte-sequenties in netwerkverkeer of gebruik handtekeningen (bekende kwaadaardige instructie sequenties) gebruikt door malware. Deze terminologie is afkomstig van antivirussoftware die naar deze patronen verwijst als handtekeningen. Terwijl op handtekeningen gebaseerde IDS gemakkelijk bekende cyberaanvallen kunnen detecteren, hebben ze moeite om nieuwe aanvallen te detecteren wanneer er geen patroon beschikbaar is.
  2. Op anomalieën gebaseerde detectie: Een inbraakdetectiesysteem voor het detecteren van zowel netwerk- als computerinbraken en misbruik door systeemactiviteit te controleren en deze te classificeren als normaal of afwijkend. Dit type beveiligingssysteem is ontwikkeld om onbekende aanvallen te detecteren, mede door de snelle ontwikkeling van malware. De basisaanpak is het gebruik van machinaal leren om een model te maken van betrouwbare activiteit en nieuw gedrag te vergelijken met het model. Aangezien deze modellen kunnen worden getraind op basis van specifieke applicatie- en hardwareconfiguraties, hebben zij beter gegeneraliseerde eigenschappen in vergelijking met traditionele, op handtekeningen gebaseerde IDS. Ze lijden echter ook aan meer valse positieven.
  3. Op reputatie gebaseerde detectie: Herkent de potentiële cyberbedreigingen op basis van de reputatiescores.

Wat zijn de verschillende soorten inbraakdetectiesystemen (IDS)?

IDS-systemen kunnen in omvang variëren van afzonderlijke computers tot grote netwerken en worden gewoonlijk in twee typen ingedeeld:

  • Network intrusion detection system (NIDS): Een systeem dat inkomend netwerkverkeer analyseert. NIDS worden op strategische punten in netwerken geplaatst om het verkeer van en naar apparaten te controleren. Het voert een analyse uit van het verkeer dat op het gehele subnet wordt doorgelaten en vergelijkt het verkeer dat op de subnetten wordt doorgelaten met een bibliotheek van bekende aanvallen. Wanneer een aanval wordt geïdentificeerd, kan een waarschuwing naar een beheerder worden gestuurd.
  • Host-based intrusion detection system (HIDS): Een systeem dat belangrijke besturingssysteembestanden op afzonderlijke hosts of apparaten uitvoert en bewaakt. Een HIDS controleert de inkomende en uitgaande pakketten van het apparaat en waarschuwt de gebruiker of beheerder als er verdachte activiteit wordt gedetecteerd. Het maakt een snapshot van bestaande systeembestanden en vergelijkt deze met eerdere snapshots. Als kritieke bestanden zijn gewijzigd of verwijderd, wordt een waarschuwing afgegeven.

Wat is een intrusion prevention system (IPS)?

Een intrusion prevention system (IPS) of intrusion detection and prevention systems (IDPS) zijn netwerkbeveiligingsapplicaties die zich richten op het identificeren van mogelijke kwaadaardige activiteiten, het loggen van informatie, het rapporteren van pogingen en het trachten deze te voorkomen. IPS-systemen bevinden zich vaak direct achter de firewall.

Daarnaast kunnen IPS-oplossingen worden gebruikt om problemen met beveiligingsstrategieën te identificeren, bestaande bedreigingen te documenteren, en individuen ervan te weerhouden beveiligingsbeleid te schenden.

Om aanvallen te stoppen, kan een IPS de beveiligingsomgeving veranderen, door een firewall opnieuw te configureren, of door de inhoud van de aanval te veranderen.

Velen beschouwen inbraakpreventiesystemen als een uitbreiding van inbraakdetectiesystemen, omdat ze beide het netwerkverkeer en/of de systeemactiviteiten controleren op kwaadaardige activiteiten.

Hoe werkt een intrusion prevention system (IPS)?

Intrusion prevention systems (IPS) werken door al het netwerkverkeer te scannen via een of meer van de volgende detectiemethoden:

  1. Op handtekening gebaseerde detectie: Op handtekeningen gebaseerde IPS monitort pakketten in een netwerk en vergelijkt deze met vooraf geconfigureerde en vooraf bepaalde aanvalspatronen die bekend staan als handtekeningen.
  2. Statistische anomalie-gebaseerde detectie: Een IPS die op anomalieën is gebaseerd, controleert het netwerkverkeer en vergelijkt het met een vastgestelde basislijn. Deze basislijn wordt gebruikt om vast te stellen wat “normaal” is in een netwerk, b.v. hoeveel bandbreedte wordt gebruikt en welke protocollen worden gebruikt. Hoewel dit type anomaliedetectie goed is voor het identificeren van nieuwe bedreigingen, kan het ook valse positieven genereren wanneer legitiem gebruik van bandbreedte een baseline overschrijdt of wanneer baselines slecht zijn geconfigureerd.
  3. Stateful protocol analysis detection: Deze methode identificeert afwijkingen in protocolstaten door waargenomen gebeurtenissen te vergelijken met vooraf bepaalde profielen van algemeen aanvaarde definities van goedaardige activiteit.

Zodra gedetecteerd, voert een IPS real-time pakketinspectie uit op elk pakket dat over het netwerk reist en indien verdacht bevonden, zal de IPS een van de volgende acties uitvoeren:

  • De uitgebuite TCP-sessie beëindigen
  • Het aanvallende IP-adres of gebruikersaccount de toegang tot elke toepassing, host of netwerkbron ontzeggen
  • De firewall herprogrammeren of opnieuw configureren om een soortgelijke aanval op een later tijdstip te voorkomen
  • De na een aanval achtergebleven kwaadaardige inhoud verwijderen of vervangen door de payload opnieuw te verpakken, headerinformatie te verwijderen, of geïnfecteerde bestanden te vernietigen

Wanneer correct ingezet, kan een IPS hiermee voorkomen dat ernstige schade wordt veroorzaakt door kwaadaardige of ongewenste pakketten en een reeks andere cyberdreigingen, waaronder:

  • Distributed denial of service (DDOS)
  • Exploits
  • Computerwormen
  • Virussen
  • Brute force aanvallen

Wat zijn de verschillende soorten intrusion prevention systemen (IPS)?

Inbraakpreventiesystemen worden over het algemeen in vier typen ingedeeld:

  1. Netwerkgebaseerd inbraakpreventiesysteem (NIPS): NIPS detecteren en voorkomen kwaadaardige activiteiten of verdachte activiteiten door pakketten in het hele netwerk te analyseren. Eenmaal geïnstalleerd, verzamelen NIPS informatie van de host en het netwerk om toegestane hosts, toepassingen en besturingssystemen op het netwerk te identificeren. Ze loggen ook informatie over normaal verkeer om veranderingen ten opzichte van de basislijn te identificeren. Ze kunnen aanvallen voorkomen door een TCP-verbinding te verbreken, het bandbreedtegebruik te beperken of pakketten te weigeren. Hoewel nuttig, kunnen ze meestal geen gecodeerd netwerkverkeer analyseren, hoge verkeersbelastingen verwerken of directe aanvallen tegen hen afhandelen.
  2. Draadloos inbraakpreventiesysteem (WIPS): WIPS bewaken het radiospectrum op de aanwezigheid van ongeautoriseerde toegangspunten en nemen automatisch tegenmaatregelen om ze te verwijderen. Deze systemen worden meestal geïmplementeerd als een overlay op een bestaande draadloze LAN-infrastructuur, hoewel ze standalone kunnen worden ingezet om een no-wireless beleid binnen een organisatie af te dwingen. Sommige geavanceerde draadloze infrastructuren hebben geïntegreerde WIPS-mogelijkheden. De volgende soorten bedreigingen kunnen door een goede WIPS worden voorkomen: rogue access points, verkeerd geconfigureerde access points, man-in-the-middle attacks, MAC spoofing, honeypot, en denial of service attacks.
  3. Network behavior analysis (NBA): Dit type inbraakpreventiesysteem berust op anomalie-gebaseerde detectie en zoekt naar afwijkingen van wat als normaal gedrag wordt beschouwd in een systeem of netwerk. Dit betekent dat het een trainingsperiode nodig heeft om te profileren wat als normaal wordt beschouwd. Zodra de trainingsperiode voorbij is, worden afwijkingen gemarkeerd als kwaadaardig. Hoewel dit goed is voor het detecteren van nieuwe bedreigingen, kunnen er problemen ontstaan als het netwerk tijdens de trainingsperiode is gecompromitteerd, omdat kwaadaardig gedrag als normaal kan worden beschouwd. Bovendien kunnen deze beveiligingshulpmiddelen valse positieven produceren.
  4. Host-based intrusion prevention system (HIPS): Een systeem of programma dat wordt gebruikt om kritieke computersystemen te beschermen. HIPS analyseren de activiteit op een enkele host om kwaadaardige activiteiten op te sporen en te voorkomen, voornamelijk door het gedrag van codes te analyseren. Ze worden vaak geprezen omdat ze aanvallen kunnen voorkomen die gebruik maken van encryptie. HIPS kunnen ook worden gebruikt om te voorkomen dat gevoelige informatie zoals persoonlijk identificeerbare informatie (PII) of beschermde gezondheidsinformatie (PHI) van de host wordt gehaald. Aangezien HIPS op een enkele machine leven, kunnen ze het beste worden gebruikt naast netwerkgebaseerde IDS en IPS, evenals IPS.

Wat zijn de beperkingen van inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS)?

De beperkingen van IDS en IPS zijn onder meer:

  • Ruis: Slechte pakketten gegenereerd door bugs, corrupte DNS-gegevens, en lokale pakketten die ontsnappen, kunnen de effectiviteit van inbraakdetectiesystemen beperken en een hoog percentage valse alarmen veroorzaken.
  • Valse positieven: Het is niet ongebruikelijk dat het aantal echte aanvallen wordt overschaduwd door het aantal valse alarmen. Dit kan ertoe leiden dat echte aanvallen worden gemist of genegeerd.
  • Verouderde databases met handtekeningen: Veel aanvallen maken gebruik van bekende kwetsbaarheden, wat betekent dat de bibliotheek met handtekeningen up-to-date moet blijven om effectief te zijn. Verouderde handtekeningendatabases kunnen u kwetsbaar maken voor nieuwe strategieën.
  • Het tijdsverloop tussen ontdekking en toepassing: Voor detectie op basis van handtekeningen kan er een vertraging zijn tussen de ontdekking van een nieuw type aanval en het toevoegen van de handtekening aan de handtekeningendatabase. Gedurende deze tijd kan het IDS de aanval niet identificeren.
  • Beperkte bescherming tegen zwakke identificatie of authenticatie: Als een aanvaller toegang krijgt door een slechte wachtwoordbeveiliging dan is een IDS mogelijk niet in staat om de tegenstander van malversaties te weerhouden.
  • Gebrek aan verwerking van versleutelde pakketten: De meeste IDS zullen versleutelde pakketten niet verwerken, wat betekent dat ze kunnen worden gebruikt voor het binnendringen in een netwerk en mogelijk niet worden ontdekt.
  • Afhankelijkheid van IP-attribuut: Veel IDS geven informatie op basis van het netwerkadres dat is gekoppeld aan het IP-pakket dat naar het netwerk is verzonden. Dit is gunstig als het IP-pakket nauwkeurig is, maar het kan worden vervalst of gescrambeld. Zie ons bericht over de beperkingen van IP-attributie voor meer informatie.
  • Gevoelig voor dezelfde protocol-gebaseerde aanvallen waartegen ze zijn ontworpen om bescherming te bieden: Door de aard van NIDS en de noodzaak om de protocollen die ze vastleggen te analyseren, kunnen ze kwetsbaar zijn voor bepaalde soorten aanvallen. Bijvoorbeeld, ongeldige gegevens en TCP/IP stack aanvallen kunnen NIDS doen crashen.

Wat zijn de verschillen tussen intrusion detection systems (IDS) en intrusion prevention systems (IPS)?

Het belangrijkste verschil is dat een IDS een monitoringsysteem is en een IPS een controlesysteem. Beide IDS/IPS lezen netwerkpakketten en vergelijken de inhoud ervan met een database van bekende bedreigingen of basislijnactiviteit. IDS veranderen netwerkpakketten echter niet, terwijl IPS kan voorkomen dat pakketten worden afgeleverd op basis van hun inhoud, ongeveer zoals een firewall dat doet met een IP-adres:

  • Intrusiedetectiesystemen (IDS): Analyseren en bewaken het verkeer op indicatoren van compromittering die kunnen wijzen op een inbraak of gegevensdiefstal. IDS vergelijkt de huidige netwerkactiviteit met bekende bedreigingen, schendingen van het beveiligingsbeleid en het scannen van open poorten. IDS vereisen mensen of een ander systeem om naar de resultaten te kijken en te bepalen hoe moet worden gereageerd, waardoor ze beter geschikt zijn als post-mortem digitale forensische tools. IDS zijn ook niet inline, dus het verkeer hoeft er niet doorheen te stromen.
  • Intrusiepreventiesystemen (IPS): IPS hebben ook detectiemogelijkheden, maar zullen proactief netwerkverkeer weigeren als ze denken dat het een bekende bedreiging voor de veiligheid vormt.

Kunnen IDS en IPS samenwerken?

Ja IDS en IPS werken samen. Veel moderne leveranciers combineren IDS en IPS met firewalls. Dit type technologie wordt Next-Generation Firewall (NGFW) of Unified Threat Management (UTM) genoemd.

Waarin verschillen intrusion detection systems (IDS) en intrusion prevention systems (IPS) van firewalls?

Traditionele netwerkfirewalls maken gebruik van een statische set regels om netwerkverbindingen toe te staan of te weigeren. Dit kan inbraken voorkomen, ervan uitgaande dat de juiste regels zijn gedefinieerd. In wezen zijn firewalls ontworpen om de toegang tussen netwerken te beperken om inbraak te voorkomen, maar zij voorkomen geen aanvallen van binnen een netwerk.

IDS en IPS sturen waarschuwingen wanneer ze inbraak vermoeden en controleren ook op aanvallen vanuit een netwerk. Merk op dat firewalls van de volgende generatie over het algemeen traditionele firewalltechnologie combineren met deep packet inspection, IDS en IPS.

Waarom zijn IDS en IPS belangrijk?

Beveiligingsteams worden geconfronteerd met een steeds groeiende lijst van beveiligingsproblemen, van gegevensvertakkingen en datalekken tot nalevingsboetes, terwijl ze nog steeds worden beperkt door budgetten en bedrijfspolitiek. IDS- en IPS-technologie kan specifieke en belangrijke onderdelen van uw beveiligingsbeheerprogramma helpen afdekken:

  • Automatisering: Eenmaal geconfigureerd zijn IDS en IPS over het algemeen hands-off, wat betekent dat ze een geweldige manier zijn om de netwerkbeveiliging te verbeteren zonder dat er extra mensen nodig zijn.
  • Compliance: Veel voorschriften vereisen dat u aantoont dat u hebt geïnvesteerd in technologie om gevoelige gegevens te beschermen. De implementatie van een IDS of IPS kan u helpen bij een aantal CIS-controles. Belangrijker nog, ze kunnen u helpen de meest gevoelige gegevens van u en uw klanten te beschermen en de gegevensbeveiliging te verbeteren.
  • Beleidshandhaving: IDS en IPS zijn configureerbaar om u te helpen uw informatiebeveiligingsbeleid op netwerkniveau af te dwingen. Als u bijvoorbeeld slechts één besturingssysteem ondersteunt, kunt u een IPS gebruiken om verkeer te blokkeren dat afkomstig is van andere besturingssystemen.

Hoe UpGuard IDS- en IPS-technologie kan aanvullen

Bedrijven als Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar en NASA gebruiken de beveiligingsbeoordelingen van UpGuard om hun gegevens te beschermen, inbreuken op gegevens te voorkomen en hun beveiligingsactiviteiten te beoordelen.

Voor de beoordeling van uw informatiebeveiligingscontroles kan UpGuard BreachSight uw organisatie monitoren op 70+ beveiligingscontroles die een eenvoudige, gemakkelijk te begrijpen cyberbeveiligingsbeoordeling opleveren en automatisch gelekte credentials en blootgestelde gegevens detecteren in S3-buckets, Rsync-servers, GitHub-repos en meer.

UpGuard Vendor Risk kan de hoeveelheid tijd die uw organisatie besteedt aan het beoordelen van gerelateerde en informatiebeveiligingscontroles van derden minimaliseren door vragenlijsten voor leveranciers te automatiseren en sjablonen voor vragenlijsten voor leveranciers te bieden.

We kunnen u ook helpen uw huidige en potentiële leveranciers onmiddellijk te benchmarken ten opzichte van hun industrie, zodat u kunt zien hoe ze stapelen.

Het grote verschil tussen UpGuard en andere leveranciers van beveiligingsbeoordelingen is dat er zeer openbaar bewijs is van onze expertise in het voorkomen van datalekken en datalekken.

Onze expertise is onder de aandacht gebracht in onder meer The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters en TechCrunch.

U kunt meer lezen over wat onze klanten zeggen op Gartner reviews.

Als u de beveiligingsbeoordeling van uw organisatie wilt zien, klik dan hier om uw gratis Cyber Security Rating aan te vragen.

Krijg vandaag nog een 7-daagse gratis proefversie van het UpGuard-platform.

By: adminPosted on

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.