Główna różnica między systemami wykrywania włamań (IDS) a systemami zapobiegania włamaniom (IPS) polega na tym, że IDS to systemy monitorowania, a IPS to systemy kontroli. IDS nie zmieni ruchu sieciowego, podczas gdy IPS zapobiega dostarczaniu pakietów na podstawie zawartości pakietu, podobnie jak firewall zapobiega ruchowi na podstawie adresu IP.
IDS są używane do monitorowania sieci i wysyłania alertów w przypadku wykrycia podejrzanej aktywności w systemie lub sieci, podczas gdy IPS reaguje na cyberataki w czasie rzeczywistym w celu uniemożliwienia im dotarcia do docelowych systemów i sieci.
W skrócie IDS i IPS mają zdolność do wykrywania sygnatur ataków, a główną różnicą jest ich reakcja na atak. Należy jednak pamiętać, że zarówno IDS, jak i IPS mogą wdrażać te same metody monitorowania i wykrywania.
W tym artykule przedstawiamy charakterystykę włamania, różne wektory ataku, które cyberprzestępcy mogą wykorzystać do naruszenia bezpieczeństwa sieci, definicję systemów IDS/IPS oraz sposób, w jaki mogą one chronić Twoją sieć i poprawić bezpieczeństwo cybernetyczne.
- Co to jest włamanie do sieci?
- Co to jest system wykrywania włamań (IDS)?
- Jak działa system wykrywania włamań (IDS)?
- Jakie są różne typy systemów wykrywania włamań (IDS)?
- Co to jest system zapobiegania włamaniom (IPS)?
- Jak działa system zapobiegania włamaniom (IPS)?
- Jakie są różne typy systemów zapobiegania włamaniom (IPS)?
- Jakie są ograniczenia systemów wykrywania włamań (IDS) i systemów zapobiegania włamaniom (IPS)?
- Jakie są różnice między systemami wykrywania włamań (IDS) a systemami zapobiegania włamaniom (IPS)?
- Czy systemy IDS i IPS mogą pracować razem?
- Jak systemy wykrywania włamań (IDS) i systemy zapobiegania włamaniom (IPS) różnią się od zapór sieciowych?
- Dlaczego systemy IDS i IPS są ważne?
- Jak UpGuard może uzupełnić technologie IDS i IPS
Co to jest włamanie do sieci?
Włamanie do sieci to każde nieautoryzowane działanie w sieci komputerowej. Wykrycie włamania zależy od dokładnego zrozumienia aktywności sieciowej i typowych zagrożeń bezpieczeństwa. Odpowiednio zaprojektowany i wdrożony system wykrywania włamań do sieci oraz system zapobiegania włamaniom do sieci może pomóc w zablokowaniu intruzów, których celem jest kradzież poufnych danych, spowodowanie naruszenia danych i zainstalowanie złośliwego oprogramowania.
Sieci i punkty końcowe mogą być narażone na włamania ze strony podmiotów stanowiących zagrożenie, które mogą znajdować się w dowolnym miejscu na świecie i dążyć do wykorzystania powierzchni ataku.
Powszechne luki w zabezpieczeniach sieci obejmują:
- Złośliwe oprogramowanie: Malware, czyli złośliwe oprogramowanie, to każdy program lub plik, który jest szkodliwy dla użytkownika komputera. Rodzaje złośliwego oprogramowania obejmują wirusy komputerowe, robaki, konie trojańskie, oprogramowanie szpiegujące, adware i ransomware. Przeczytaj nasz pełny post o złośliwym oprogramowaniu tutaj.
- Ataki socjotechniczne: Inżynieria społeczna to wektor ataku wykorzystujący ludzką psychologię i podatność na manipulację, aby zmanipulować ofiary do ujawnienia poufnych informacji i wrażliwych danych lub wykonania działania, które narusza zwykłe standardy bezpieczeństwa. Typowe przykłady ataków socjotechnicznych to phishing, spear phishing oraz ataki typu whaling. Przeczytaj nasz pełny post na temat inżynierii społecznej tutaj.
- Przestarzałe lub niezałatane oprogramowanie i sprzęt: Przestarzałe lub niezałatane oprogramowanie i sprzęt mogą mieć znane podatności, takie jak te wymienione w CVE. Podatność to słaby punkt, który może zostać wykorzystany przez cyberatak w celu uzyskania nieautoryzowanego dostępu do systemu komputerowego lub wykonania w nim nieautoryzowanych działań. Robakowate podatności, takie jak ta, która doprowadziła do powstania oprogramowania WannaCryransomware, stanowią szczególnie wysokie ryzyko. Przeczytaj nasz pełny post na temat podatności, aby uzyskać więcej informacji.
- Urządzenia do przechowywania danych: Przenośne urządzenia pamięci masowej, takie jak dyski USB i zewnętrzne dyski twarde, mogą wprowadzić do sieci złośliwe oprogramowanie.
Co to jest system wykrywania włamań (IDS)?
System wykrywania włamań (IDS) to urządzenie lub aplikacja programowa, która monitoruje sieć lub system pod kątem złośliwej aktywności i naruszeń zasad. Każdy złośliwy ruch lub naruszenie jest zazwyczaj zgłaszane administratorowi lub gromadzone centralnie za pomocą systemu zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM).
Jak działa system wykrywania włamań (IDS)?
Istnieją trzy typowe warianty wykrywania, które IDS wykorzystują do monitorowania włamań:
- Wykrywanie oparte na sygnaturach: Wykrywa ataki poprzez poszukiwanie określonych wzorców, takich jak sekwencje bajtów w ruchu sieciowym lub stosowanie sygnatur (znanych złośliwych sekwencji instrukcji) wykorzystywanych przez złośliwe oprogramowanie. Terminologia ta wywodzi się z oprogramowania antywirusowego, które określa te wzorce mianem sygnatur. Podczas gdy systemy IDS oparte na sygnaturach mogą z łatwością wykrywać znane cyberataki, mają trudności z wykrywaniem nowych ataków, w przypadku których nie jest dostępny żaden wzorzec.
- Wykrywanie oparte na anomalii: System wykrywania włamań służący do wykrywania zarówno włamań do sieci i komputerów, jak i nadużyć poprzez monitorowanie aktywności systemu i klasyfikowanie jej jako normalnej lub anomalnej. Ten rodzaj systemu bezpieczeństwa został opracowany w celu wykrywania nieznanych ataków, częściowo ze względu na szybki rozwój złośliwego oprogramowania. Podstawowe podejście polega na wykorzystaniu uczenia maszynowego do stworzenia modelu godnej zaufania aktywności i porównania nowego zachowania z tym modelem. Ponieważ modele te mogą być trenowane zgodnie z konkretnymi konfiguracjami aplikacji i sprzętu, mają one lepiej uogólnione właściwości w porównaniu do tradycyjnych IDS opartych na sygnaturach. Jednakże, cierpią one również z powodu większej liczby fałszywych pozytywów.
- Wykrywanie oparte na reputacji: Rozpoznaje potencjalne zagrożenia cybernetyczne na podstawie wyników reputacji.
Jakie są różne typy systemów wykrywania włamań (IDS)?
Systemy IDS mogą obejmować zakres od pojedynczych komputerów do dużych sieci i są powszechnie klasyfikowane w dwóch typach:
- Sieciowy system wykrywania włamań (NIDS): System, który analizuje przychodzący ruch sieciowy. NIDS są umieszczane w strategicznych punktach sieci w celu monitorowania ruchu do i z urządzeń. Wykonuje on analizę ruchu przechodzącego przez całą podsieć i dopasowuje ruch przechodzący przez podsieć do biblioteki znanych ataków. Gdy atak zostanie zidentyfikowany, alert może zostać wysłany do administratora.
- System wykrywania włamań oparty na hoście (HIDS): System, który uruchamia i monitoruje ważne pliki systemu operacyjnego na poszczególnych hostach lub urządzeniach. HIDS monitoruje pakiety przychodzące i wychodzące z urządzenia i alarmuje użytkownika lub administratora w przypadku wykrycia podejrzanej aktywności. Wykonuje migawkę istniejących plików systemowych i porównuje je z poprzednimi migawkami, jeśli krytyczne pliki zostały zmodyfikowane lub usunięte, podnoszony jest alarm.
Co to jest system zapobiegania włamaniom (IPS)?
System zapobiegania włamaniom (IPS) lub systemy wykrywania i zapobiegania włamaniom (IDPS) to aplikacje bezpieczeństwa sieciowego, które koncentrują się na identyfikowaniu możliwych złośliwych działań, rejestrowaniu informacji, zgłaszaniu prób i próbach zapobiegania im. Systemy IPS często znajdują się bezpośrednio za zaporą ogniową.
Dodatkowo, rozwiązania IPS mogą być wykorzystywane do identyfikowania problemów ze strategiami bezpieczeństwa, dokumentowania istniejących zagrożeń oraz do powstrzymywania osób przed naruszaniem zasad bezpieczeństwa.
Aby powstrzymać ataki, system IPS może zmienić środowisko zabezpieczeń, poprzez rekonfigurację zapory sieciowej lub zmianę treści ataku.
Wielu uważa systemy zapobiegania wtargnięciom za rozszerzenia systemów wykrywania wtargnięć, ponieważ oba monitorują ruch sieciowy i/lub działania systemowe pod kątem złośliwej aktywności.
Jak działa system zapobiegania włamaniom (IPS)?
Systemy zapobiegania włamaniom (IPS) działają poprzez skanowanie całego ruchu sieciowego za pomocą jednej lub więcej z następujących metod wykrywania:
- Wykrywanie oparte na sygnaturach: IPS oparty na sygnaturach monitoruje pakiety w sieci i porównuje je ze wstępnie skonfigurowanymi i wcześniej ustalonymi wzorcami ataków znanymi jako sygnatury.
- Wykrywanie oparte na anomaliach statystycznych: System IPS, który jest oparty na anomaliach, monitoruje ruch w sieci i porównuje go z ustaloną linią bazową. Ta linia bazowa jest wykorzystywana do określenia, co jest „normalne” w sieci, np. jak duża przepustowość jest wykorzystywana i jakie protokoły są używane. Chociaż ten rodzaj wykrywania anomalii jest dobry do identyfikowania nowych zagrożeń, może również generować fałszywe wyniki pozytywne, gdy uzasadnione wykorzystanie przepustowości przekracza linię bazową lub gdy linie bazowe są źle skonfigurowane.
- Wykrywanie analizy protokołów typu stateful: Ta metoda identyfikuje odchylenia w stanach protokołów poprzez porównywanie zaobserwowanych zdarzeń z wcześniej ustalonymi profilami ogólnie przyjętych definicji łagodnej aktywności.
Po wykryciu, IPS wykonuje inspekcję pakietów w czasie rzeczywistym na każdym pakiecie, który przemieszcza się przez sieć i jeśli zostanie uznany za podejrzany, IPS wykona jedno z następujących działań:
- Unieważnij sesję TCP, która została wykorzystana
- Zablokuj obraźliwemu adresowi IP lub kontu użytkownika dostęp do dowolnej aplikacji, hosta lub zasobu sieciowego
- Przeprogramuj lub przekonfiguruj zaporę, aby zapobiec podobnemu atakowi w późniejszym terminie
- Usuń lub zastąp złośliwą zawartość, która pozostała po ataku, poprzez przepakowanie ładunku, usuwanie informacji nagłówkowych lub niszczenie zainfekowanych plików
W przypadku prawidłowego wdrożenia, pozwala to systemowi IPS zapobiegać poważnym szkodom powodowanym przez złośliwe lub niechciane pakiety oraz szereg innych zagrożeń cybernetycznych, w tym:
- Distributed Denial of Service (DDOS)
- Exploity
- Robaki komputerowe
- Wirusy
- Ataki Brute Force
Jakie są różne typy systemów zapobiegania włamaniom (IPS)?
Systemy zapobiegania włamaniom są ogólnie klasyfikowane w czterech typach:
- Systemy zapobiegania włamaniom oparte na sieci (NIPS): NIPS wykrywa i zapobiega złośliwej aktywności lub podejrzanej aktywności poprzez analizę pakietów w całej sieci. Po zainstalowaniu, NIPS zbiera informacje z hosta i sieci w celu identyfikacji dozwolonych hostów, aplikacji i systemów operacyjnych w sieci. Rejestrują również informacje o normalnym ruchu w celu zidentyfikowania zmian w stosunku do stanu wyjściowego. Mogą zapobiegać atakom, wysyłając połączenie TCP, ograniczając wykorzystanie pasma lub odrzucając pakiety. Chociaż są przydatne, zazwyczaj nie mogą analizować zaszyfrowanego ruchu sieciowego, obsługiwać dużych obciążeń ruchu lub obsługiwać bezpośrednich ataków przeciwko nim.
- Bezprzewodowy system zapobiegania włamaniom (WIPS): Systemy WIPS monitorują widmo radiowe pod kątem obecności nieautoryzowanych punktów dostępu i automatycznie podejmują środki zaradcze w celu ich usunięcia. Systemy te są zazwyczaj wdrażane jako nakładka na istniejącą infrastrukturę bezprzewodowej sieci LAN, chociaż mogą być wdrażane samodzielnie w celu egzekwowania zasad zakazu korzystania z sieci bezprzewodowej w organizacji. Niektóre zaawansowane rozwiązania infrastruktury bezprzewodowej posiadają zintegrowane funkcje WIPS. Dobry system WIPS może zapobiec następującym rodzajom zagrożeń: nieuczciwe punkty dostępu, źle skonfigurowane punkty dostępu, ataki typu man-in-the-middle, MAC spoofing, honeypot oraz ataki typu denial of service.
- Analiza zachowania sieci (NBA): Ten rodzaj systemu zapobiegania włamaniom opiera się na wykrywaniu opartym na anomaliach i szuka odstępstw od tego, co jest uważane za normalne zachowanie w systemie lub sieci. Oznacza to, że wymaga on okresu szkoleniowego, aby określić, co jest uważane za normalne. Po zakończeniu okresu szkoleniowego niespójności są oznaczane jako złośliwe. Chociaż jest to dobre rozwiązanie do wykrywania nowych zagrożeń, mogą pojawić się problemy, jeśli sieć została naruszona podczas okresu szkoleniowego, ponieważ złośliwe zachowanie może zostać uznane za normalne. Dodatkowo, te narzędzia bezpieczeństwa mogą dawać fałszywe wyniki pozytywne.
- System zapobiegania włamaniom oparty na hoście (HIPS): System lub program stosowany do ochrony krytycznych systemów komputerowych. Systemy HIPS analizują aktywność na pojedynczym hoście w celu wykrycia i zapobiegania złośliwym działaniom, głównie poprzez analizę zachowania kodu. Często są one chwalone za możliwość zapobiegania atakom wykorzystującym szyfrowanie. Systemy HIPS mogą być również wykorzystywane do zapobiegania wydobywaniu z hosta poufnych informacji, takich jak informacje umożliwiające identyfikację osoby (PII) lub chronione informacje zdrowotne (PHI). Ponieważ systemy HIPS działają na pojedynczej maszynie, najlepiej stosować je wraz z sieciowymi systemami IDS i IPS, a także IPS.
Jakie są ograniczenia systemów wykrywania włamań (IDS) i systemów zapobiegania włamaniom (IPS)?
Ograniczenia systemów IDS i IPS obejmują:
- Szumy: Złe pakiety generowane przez błędy, uszkodzone dane DNS i lokalne pakiety, które uciekają, mogą ograniczać skuteczność systemów wykrywania włamań i powodować wysoki wskaźnik fałszywych alarmów.
- Fałszywe pozytywy: Nierzadko zdarza się, że liczba prawdziwych ataków jest karłowata w stosunku do liczby fałszywych alarmów. Może to spowodować, że prawdziwe ataki zostaną przeoczone lub zignorowane.
- Nieaktualne bazy sygnatur: Wiele ataków wykorzystuje znane podatności, co oznacza, że biblioteka sygnatur musi pozostać aktualna, aby była skuteczna. Nieaktualne bazy sygnatur mogą sprawić, że będziesz podatny na nowe strategie.
- Opóźnienie między wykryciem a zastosowaniem: W przypadku wykrywania opartego na sygnaturach może wystąpić opóźnienie między odkryciem nowego typu ataku a dodaniem sygnatury do bazy sygnatur. W tym czasie system IDS nie będzie w stanie zidentyfikować ataku.
- Ograniczona ochrona przed słabą identyfikacją lub uwierzytelnianiem: Jeśli atakujący uzyska dostęp z powodu słabego zabezpieczenia hasłem, wówczas system IDS może nie być w stanie zapobiec złym praktykom przeciwnika.
- Brak przetwarzania zaszyfrowanych pakietów: Większość systemów IDS nie będzie przetwarzać zaszyfrowanych pakietów, co oznacza, że mogą one zostać wykorzystane do włamania do sieci i mogą nie zostać wykryte.
- Poleganie na atrybucie IP: Wiele systemów IDS dostarcza informacji na podstawie adresu sieciowego, który jest powiązany z pakietem IP wysyłanym do sieci. Jest to korzystne, jeśli pakiet IP jest dokładny, ale może on być sfałszowany lub zakodowany. Zobacz nasz post na temat ograniczeń atrybucji IP, aby uzyskać więcej informacji.
- Podatne na te same ataki oparte na protokołach, przed którymi są zaprojektowane do ochrony: Ze względu na naturę NIDS i konieczność analizowania protokołów, które przechwytują, mogą one być podatne na pewne typy ataków. Na przykład, nieprawidłowe dane i ataki stosu TCP/IP mogą spowodować awarię NIDS.
Jakie są różnice między systemami wykrywania włamań (IDS) a systemami zapobiegania włamaniom (IPS)?
Główną różnicą jest to, że IDS jest systemem monitorującym, a IPS jest systemem kontrolnym. Oba systemy IDS/IPS odczytują pakiety sieciowe i porównują ich zawartość z bazą danych znanych zagrożeń lub aktywności bazowej. Jednak systemy IDS nie zmieniają pakietów sieciowych, podczas gdy systemy IPS mogą zapobiegać dostarczaniu pakietów na podstawie ich zawartości, podobnie jak zapora ogniowa robi to z adresem IP:
- Systemy wykrywania włamań (IDS): Analizują i monitorują ruch w poszukiwaniu wskaźników kompromisu, które mogą wskazywać na włamanie lub kradzież danych. Systemy IDS porównują bieżącą aktywność sieciową ze znanymi zagrożeniami, naruszeniami zasad bezpieczeństwa i skanowaniem otwartych portów. Systemy IDS wymagają, aby człowiek lub inny system zapoznał się z wynikami i określił sposób reakcji, co sprawia, że lepiej sprawdzają się jako pośmiertne narzędzia cyfrowego kryminalistyki. Ponadto, IDS nie jest inline, więc ruch nie musi przez niego przepływać.
- Systemy zapobiegania włamaniom (IPS): IPS również mają możliwości wykrywania, ale będą proaktywnie odmawiać ruchu sieciowego, jeśli uznają, że stanowi on znane zagrożenie bezpieczeństwa.
Czy systemy IDS i IPS mogą pracować razem?
Tak IDS i IPS pracują razem. Wielu współczesnych producentów łączy IDS i IPS z zaporami ogniowymi. Ten typ technologii nazywany jest Next-Generation Firewall (NGFW) lub Unified Threat Management (UTM).
Jak systemy wykrywania włamań (IDS) i systemy zapobiegania włamaniom (IPS) różnią się od zapór sieciowych?
Tradycyjne zapory sieciowe wykorzystują statyczny zestaw reguł do zezwalania lub odmawiania połączeń sieciowych. Może to zapobiec włamaniom, zakładając, że odpowiednie reguły zostały zdefiniowane. Zasadniczo zapory sieciowe są przeznaczone do ograniczania dostępu między sieciami w celu zapobiegania włamaniom, ale nie zapobiegają atakom z wnętrza sieci.
IDS i IPS wysyłają alerty, gdy podejrzewają włamanie, a także monitorują ataki z wewnątrz sieci. Należy pamiętać, że zapory nowej generacji zazwyczaj łączą tradycyjną technologię zapory z głęboką inspekcją pakietów, IDS i IPS.
Dlaczego systemy IDS i IPS są ważne?
Zespoły ds. bezpieczeństwa borykają się z coraz większą listą problemów związanych z bezpieczeństwem, począwszy od gałęzi danych i wycieków danych, a skończywszy na karach za zgodność z przepisami, a jednocześnie są ograniczane przez budżet i politykę korporacyjną. Technologie IDS i IPS mogą pomóc w pokryciu specyficznych i ważnych części programu zarządzania bezpieczeństwem:
- Automatyzacja: Po skonfigurowaniu systemy IDS i IPS są zazwyczaj bezobsługowe, co oznacza, że są doskonałym sposobem na poprawę bezpieczeństwa sieci bez konieczności angażowania dodatkowych osób.
- Zgodność z przepisami: Wiele przepisów wymaga, abyś udowodnił, że zainwestowałeś w technologię chroniącą wrażliwe dane. Wdrożenie systemu IDS lub IPS może pomóc w rozwiązaniu wielu problemów związanych z kontrolą CIS. Co ważniejsze, mogą one pomóc w ochronie najbardziej wrażliwych danych firmy i jej klientów oraz poprawić bezpieczeństwo danych.
- Egzekwowanie zasad: Systemy IDS i IPS są konfigurowalne, aby pomóc w egzekwowaniu polityk bezpieczeństwa informacji na poziomie sieci. Na przykład, jeśli obsługujesz tylko jeden system operacyjny, możesz użyć systemu IPS do zablokowania ruchu pochodzącego z innych systemów.
Jak UpGuard może uzupełnić technologie IDS i IPS
Firmy takie jak Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar i NASA używają ocen bezpieczeństwa UpGuard do ochrony swoich danych, zapobiegania naruszeniom danych i oceny swoich operacji bezpieczeństwa.
W celu oceny kontroli bezpieczeństwa informacji firma UpGuard BreachSight może monitorować organizację pod kątem ponad 70 kontroli bezpieczeństwa, zapewniając prostą, łatwą do zrozumienia ocenę bezpieczeństwa cybernetycznego, oraz automatycznie wykrywać wyciek danych uwierzytelniających i narażenie danych w wiadrach S3, serwerach Rsync, repozytoriach GitHub i innych.
UpGuard Vendor Risk może zminimalizować ilość czasu, jaki Twoja organizacja poświęca na ocenę powiązanych i zewnętrznych kontroli bezpieczeństwa informacji, automatyzując kwestionariusze dostawców i dostarczając szablony kwestionariuszy dostawców.
Możemy również pomóc w natychmiastowym porównaniu obecnych i potencjalnych dostawców z ich branżą, dzięki czemu można zobaczyć, jak się trzymają.
Główną różnicą między UpGuard a innymi dostawcami ratingów bezpieczeństwa jest to, że istnieją bardzo publiczne dowody naszej wiedzy specjalistycznej w zakresie zapobiegania naruszeniom danych i wyciekom danych.
Nasza ekspertyza została przedstawiona w takich gazetach jak The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters i TechCrunch.
Możesz przeczytać więcej o tym, co mówią nasi klienci w recenzjach firmy Gartner.
Jeśli chcesz sprawdzić ocenę bezpieczeństwa swojej organizacji, kliknij tutaj, aby poprosić o bezpłatną ocenę cyberbezpieczeństwa.
Zdobądź 7-dniową bezpłatną wersję próbną platformy UpGuard już dziś.