Principala diferență între sistemele de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS) este că IDS sunt sisteme de monitorizare, iar IPS sunt sisteme de control. IDS nu va modifica traficul de rețea, în timp ce IPS împiedică livrarea pachetelor pe baza conținutului pachetului, similar cu modul în care un firewall împiedică traficul în funcție de adresa IP.
IDS sunt utilizate pentru a monitoriza rețelele și trimit alerte atunci când este detectată o activitate suspectă pe un sistem sau o rețea, în timp ce un IPS reacționează la atacurile cibernetice în timp real, cu scopul de a le împiedica să ajungă la sistemele și rețelele vizate.
În concluzie, IDS și IPS au capacitatea de a detecta semnăturile de atac, principala diferență fiind răspunsul lor la atac. Cu toate acestea, este important de reținut că atât IDS, cât și IPS pot implementa aceleași metode de monitorizare și detectare.
În acest articol, am prezentat caracteristicile unei intruziuni, diferiții vectori de atac pe care infractorii cibernetici îi pot folosi pentru a compromite securitatea rețelei, definiția IDS/IPS și modul în care acestea vă pot proteja rețeaua și îmbunătăți securitatea cibernetică.
- Ce este o intruziune în rețea?
- Ce este un sistem de detectare a intruziunilor (IDS)?
- Cum funcționează un sistem de detectare a intruziunilor (IDS)?
- Care sunt diferitele tipuri de sisteme de detectare a intruziunilor (IDS)?
- Ce este un sistem de prevenire a intruziunilor (IPS)?
- Cum funcționează un sistem de prevenire a intruziunilor (IPS)?
- Care sunt diferitele tipuri de sisteme de prevenire a intruziunilor (IPS)?
- Care sunt limitările sistemelor de detectare a intruziunilor (IDS) și ale sistemelor de prevenire a intruziunilor (IPS)?
- Care sunt diferențele dintre sistemele de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS)?
- Pot funcționa IDS și IPS împreună?
- Cum diferă sistemele de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS) de firewall-uri?
- De ce sunt importante IDS și IPS?
- Cum poate UpGuard să completeze tehnologia IDS și IPS
Ce este o intruziune în rețea?
O intruziune în rețea este orice activitate neautorizată într-o rețea de calculatoare. Detectarea unei intruziuni depinde de înțelegerea clară a activității din rețea și a amenințărilor comune de securitate. Un sistem de detectare a intruziunilor în rețea și un sistem de prevenire a intruziunilor în rețea, concepute și implementate în mod corespunzător, pot ajuta la blocarea intrușilor care urmăresc să fure date sensibile, să provoace încălcări ale datelor și să instaleze programe malware.
Rețelele și punctele finale pot fi vulnerabile la intruziuni din partea unor actori de amenințare care pot fi localizați oriunde în lume și care caută să vă exploateze suprafața de atac.
Vulnerabilitățile comune ale rețelelor includ:
- Malware: Malware, sau software malițios, este orice program sau fișier care este dăunător pentru un utilizator de calculator. Tipurile de malware includ viruși de calculator, viermi, cai troieni, spyware, adware și ransomware. Citiți postul nostru complet despre malware aici.
- Atacuri de inginerie socială: Ingineria socială este un vector de atac care exploatează psihologia și susceptibilitatea umană pentru a manipula victimele să divulge informații confidențiale și date sensibile sau să efectueze o acțiune care încalcă standardele obișnuite de securitate. Printre exemplele comune de inginerie socială se numără atacurile de phishing, spear phishing și whaling. Citiți aici postarea noastră completă despre ingineria socială.
- Software și hardware învechit sau fără patch-uri: Software-ul și hardware-ul neactualizat sau fără patch-uri pot avea vulnerabilități cunoscute, cum ar fi cele enumerate în CVE. O vulnerabilitate este o slăbiciune care poate fi exploatată de un atac cibernetic pentru a obține acces neautorizat sau pentru a efectua acțiuni neautorizate pe un sistem informatic. Vulnerabilitățile de tip Wormable, precum cea care a dus la apariția WannaCryransomware, prezintă un risc deosebit de ridicat. Citiți postarea noastră completă despre vulnerabilități pentru mai multe informații.
- Dispozitive de stocare a datelor: Dispozitivele de stocare portabile, cum ar fi USB și hard disk-urile externe, pot introduce programe malware în rețeaua dumneavoastră.
Ce este un sistem de detectare a intruziunilor (IDS)?
Un sistem de detectare a intruziunilor (IDS) este un dispozitiv sau o aplicație software care monitorizează o rețea sau un sistem pentru activități malițioase și încălcări ale politicilor. Orice trafic malițios sau încălcare este de obicei raportată unui administrator sau colectată la nivel central cu ajutorul unui sistem de gestionare a informațiilor și evenimentelor de securitate (SIEM).
Cum funcționează un sistem de detectare a intruziunilor (IDS)?
Există trei variante comune de detectare pe care IDS le utilizează pentru a monitoriza intruziunile:
- Detecția bazată pe semnături: Detectează atacurile prin căutarea unor tipare specifice, cum ar fi secvențe de octeți în traficul de rețea sau utilizarea semnăturilor (secvențe de instrucțiuni malițioase cunoscute) utilizate de malware. Această terminologie provine de la software-ul antivirus care se referă la aceste modele ca semnături. În timp ce IDS-urile bazate pe semnături pot detecta cu ușurință atacurile cibernetice cunoscute, acestea întâmpină dificultăți în detectarea atacurilor noi, în cazul în care nu există niciun model disponibil.
- Detecție bazată pe anomalii: Un sistem de detectare a intruziunilor pentru detectarea atât a intruziunilor în rețea, cât și a intruziunilor informatice și a utilizării abuzive prin monitorizarea activității sistemului și clasificarea acesteia ca fiind normală sau anormală. Acest tip de sistem de securitate a fost dezvoltat pentru a detecta atacurile necunoscute, în parte datorită dezvoltării rapide a programelor malware. Abordarea de bază constă în utilizarea învățării automate pentru a crea un model de activitate demnă de încredere și compararea noului comportament cu modelul. Deoarece aceste modele pot fi antrenate în funcție de configurații specifice de aplicații și hardware, ele au proprietăți mai bine generalizate în comparație cu IDS-urile tradiționale bazate pe semnături. Cu toate acestea, ele suferă, de asemenea, de mai multe falsuri pozitive.
- Detecție bazată pe reputație: Recunoaște potențialele amenințări cibernetice în funcție de scorurile de reputație.
Care sunt diferitele tipuri de sisteme de detectare a intruziunilor (IDS)?
Sistemele IDS pot avea un domeniu de aplicare de la un singur calculator la rețele mari și sunt în mod obișnuit clasificate în două tipuri:
- Network intrusion detection system (NIDS): Un sistem care analizează traficul de intrare în rețea. NIDS sunt plasate în puncte strategice în cadrul rețelelor pentru a monitoriza traficul către și de la dispozitive. Acesta efectuează o analiză a traficului care trece pe întreaga subrețea și potrivește traficul care este transmis pe subrețele cu o bibliotecă de atacuri cunoscute. Atunci când este identificat un atac, poate fi trimisă o alertă unui administrator.
- Sistem de detectare a intruziunilor bazat pe gazdă (HIDS): Un sistem care rulează și monitorizează fișierele importante ale sistemului de operare pe gazde sau dispozitive individuale. Un HIDS monitorizează pachetele de intrare și de ieșire din dispozitiv și alertează utilizatorul sau administratorul în cazul în care este detectată o activitate suspectă. Acesta realizează un instantaneu al fișierelor de sistem existente și le potrivește cu instantaneele anterioare, în cazul în care fișierele critice au fost modificate sau șterse, se declanșează o alertă.
Ce este un sistem de prevenire a intruziunilor (IPS)?
Un sistem de prevenire a intruziunilor (IPS) sau sisteme de detectare și prevenire a intruziunilor (IDPS) sunt aplicații de securitate a rețelelor care se concentrează pe identificarea posibilelor activități malițioase, pe înregistrarea informațiilor, pe raportarea încercărilor și pe încercarea de a le preveni. Sistemele IPS se află adesea direct în spatele firewall-ului.
În plus, soluțiile IPS pot fi utilizate pentru a identifica problemele legate de strategiile de securitate, pentru a documenta amenințările existente și pentru a descuraja persoanele să încalce politicile de securitate.
Pentru a face stoparea atacurilor, un IPS poate schimba mediul de securitate, prin reconfigurarea unui firewall sau prin schimbarea conținutului atacului.
Mulți consideră că sistemele de prevenire a intruziunilor sunt extensii ale sistemelor de detectare a intruziunilor, deoarece ambele monitorizează traficul de rețea și/sau activitățile sistemului pentru a detecta activități rău intenționate.
Cum funcționează un sistem de prevenire a intruziunilor (IPS)?
Sistemele de prevenire a intruziunilor (IPS) funcționează prin scanarea întregului trafic de rețea prin intermediul uneia sau mai multora dintre următoarele metode de detecție:
- Detecție bazată pe semnături: IPS-ul bazat pe semnături monitorizează pachetele dintr-o rețea și le compară cu modele de atac preconfigurate și predeterminate, cunoscute sub numele de semnături.
- Detecția statistică bazată pe anomalii: Un IPS care se bazează pe anomalii monitorizează traficul de rețea și îl compară cu o linie de bază stabilită. Această linie de bază este utilizată pentru a identifica ceea ce este „normal” într-o rețea, de exemplu, câtă lățime de bandă este utilizată și ce protocoale sunt folosite. Deși acest tip de detectare a anomaliilor este bun pentru identificarea de noi amenințări, poate genera, de asemenea, falsuri pozitive atunci când utilizările legitime ale lățimii de bandă depășesc o linie de bază sau când liniile de bază sunt configurate necorespunzător.
- Detectarea analizei protocolului de stat: Această metodă identifică abaterile în stările de protocol prin compararea evenimentelor observate cu profiluri prestabilite de definiții general acceptate ale activității benigne.
După ce este detectat, un IPS efectuează o inspecție în timp real a fiecărui pachet care circulă în rețea și, dacă este considerat suspect, IPS va efectua una dintre următoarele acțiuni:
- Termina sesiunea TCP care a fost exploatată
- Blochează adresa IP sau contul de utilizator incriminat să acceseze orice aplicație, gazdă sau resursă de rețea
- Reprogramează sau reconfigurează firewall-ul pentru a preveni un atac similar la o dată ulterioară
- Îndepărtează sau înlocuiește conținutul malițios care rămâne după un atac prin reambalarea încărcăturii utile, eliminarea informațiilor din antet sau distrugerea fișierelor infectate
Când este implementat corect, acest lucru permite unui IPS să prevină daunele grave cauzate de pachete malițioase sau nedorite și de o serie de alte amenințări cibernetice, inclusiv:
- Denegarea distribuită a serviciului (DDOS)
- Exploatații
- Lumi de calculator
- Virusuri
- Atacurile de forță brută
Care sunt diferitele tipuri de sisteme de prevenire a intruziunilor (IPS)?
Sistemele de prevenire a intruziunilor sunt, în general, clasificate în patru tipuri:
- Sistem de prevenire a intruziunilor bazat pe rețea (NIPS): NIPS detectează și previn activitățile malițioase sau suspecte prin analizarea pachetelor din întreaga rețea. Odată instalate, NIPS adună informații de la gazdă și rețea pentru a identifica gazdele, aplicațiile și sistemele de operare permise în rețea. De asemenea, acestea înregistrează informații despre traficul normal pentru a identifica modificările față de linia de bază. Acestea pot preveni atacurile prin trimiterea unei conexiuni TCP, limitarea utilizării lățimii de bandă sau respingerea pachetelor. Deși sunt utile, de obicei nu pot analiza traficul de rețea criptat, nu pot gestiona sarcini mari de trafic sau atacuri directe împotriva lor.
- Sistem de prevenire a intruziunilor fără fir (WIPS): WIPS monitorizează spectrul radio pentru a detecta prezența unor puncte de acces neautorizate și iau automat contramăsuri pentru a le elimina. Aceste sisteme sunt de obicei implementate ca o suprapunere la o infrastructură LAN fără fir existentă, deși pot fi implementate de sine stătător pentru a impune politici de interzicere a accesului fără fir în cadrul unei organizații. Unele infrastructuri wireless avansate dispun de capacități WIPS integrate. Următoarele tipuri de amenințări pot fi prevenite de un WIPS bun: puncte de acces necinstite, puncte de acces configurate greșit, atacuri man-in-the-middle, MAC spoofing, honeypot și atacuri de negare a serviciului.
- Analiza comportamentului rețelei (NBA): Acest tip de sistem de prevenire a intruziunilor se bazează pe detectarea bazată pe anomalii și caută abateri de la ceea ce este considerat comportament normal într-un sistem sau într-o rețea. Aceasta înseamnă că necesită o perioadă de pregătire pentru a stabili profilul a ceea ce este considerat normal. Odată ce perioada de pregătire s-a încheiat, neconcordanțele sunt marcate ca fiind rău intenționate. Deși acest lucru este bun pentru detectarea noilor amenințări, pot apărea probleme dacă rețeaua a fost compromisă în timpul perioadei de pregătire, deoarece comportamentul rău intenționat poate fi considerat normal. În plus, aceste instrumente de securitate pot produce rezultate fals pozitive.
- Sistem de prevenire a intruziunilor bazat pe gazdă (HIPS): Un sistem sau program utilizat pentru a proteja sistemele informatice critice. HIPS analizează activitatea pe o singură gazdă pentru a detecta și preveni activitatea rău intenționată, în principal prin analiza comportamentului codului. Ele sunt adesea lăudate pentru că sunt capabile să prevină atacurile care utilizează criptarea. HIPS pot fi, de asemenea, utilizate pentru a preveni extragerea de pe gazdă a informațiilor sensibile, cum ar fi informațiile de identificare personală (PII) sau informațiile medicale protejate (PHI). Deoarece HIPS trăiesc pe o singură mașină, acestea sunt cel mai bine utilizate alături de IDS și IPS bazate pe rețea, precum și de IPS.
Care sunt limitările sistemelor de detectare a intruziunilor (IDS) și ale sistemelor de prevenire a intruziunilor (IPS)?
Limitările IDS și IPS includ:
- Zgomot: Pachetele proaste generate de bug-uri, datele DNS corupte și pachetele locale care evadează pot limita eficacitatea sistemelor de detectare a intruziunilor și pot cauza o rată ridicată de alarme false.
- Falsi pozitivi: Nu este neobișnuit ca numărul de atacuri reale să fie eclipsat de numărul de alarme false. Acest lucru poate face ca atacurile reale să fie ratate sau ignorate.
- Baze de date de semnături neactualizate: Multe atacuri exploatează vulnerabilități cunoscute, ceea ce înseamnă că biblioteca de semnături trebuie să rămână actualizată pentru a fi eficientă. Bazele de date de semnături neactualizate vă pot lăsa vulnerabil la noile strategii.
- Decalajul dintre descoperire și aplicare: Pentru detectarea bazată pe semnături, poate exista un decalaj între descoperirea unui nou tip de atac și adăugarea semnăturii în baza de date de semnături. În acest interval de timp, IDS-ul nu va fi capabil să identifice atacul.
- Protecție limitată împotriva identificării sau autentificării slabe: Dacă un atacator obține acces din cauza unei securități slabe a parolelor, atunci un IDS s-ar putea să nu fie capabil să împiedice adversarul de la orice malpraxis.
- Lipsa de procesare a pachetelor criptate: Majoritatea IDS-urilor nu vor procesa pachetele criptate, ceea ce înseamnă că acestea pot fi folosite pentru intruziunea într-o rețea și pot să nu fie descoperite.
- Dependența de atributul IP: Multe IDS-uri furnizează informații pe baza adresei de rețea care este asociată pachetului IP trimis în rețea. Acest lucru este benefic dacă pachetul IP este precis, dar acesta poate fi falsificat sau bruiat. Pentru mai multe informații, consultați postarea noastră despre limitările atribuirii IP.
- Susceptibile la aceleași atacuri bazate pe protocol împotriva cărora sunt proiectate să se protejeze: Din cauza naturii NIDS și a necesității de a analiza protocoalele pe care le captează, acestea pot fi vulnerabile la anumite tipuri de atacuri. De exemplu, datele invalide și atacurile asupra stivei TCP/IP pot provoca blocarea NIDS.
Care sunt diferențele dintre sistemele de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS)?
Principala diferență este că un IDS este un sistem de monitorizare, iar un IPS este un sistem de control. Ambele IDS/IPS citesc pachetele de rețea și compară conținutul acestora cu o bază de date cu amenințări cunoscute sau cu activitatea de bază. Cu toate acestea, IDS nu modifică pachetele de rețea, în timp ce IPS pot împiedica livrarea pachetelor în funcție de conținutul lor, la fel cum face un firewall cu o adresă IP:
- Sisteme de detectare a intruziunilor (IDS): Analizează și monitorizează traficul pentru indicatorii de compromitere care pot indica o intruziune sau un furt de date. IDS compară activitatea curentă a rețelei cu amenințările cunoscute, încălcările politicilor de securitate și scanarea porturilor deschise. IDS au nevoie de oameni sau de un alt sistem care să analizeze rezultatele și să determine cum să răspundă, ceea ce le face mai bune ca instrumente de criminalistică digitală post-mortem. De asemenea, IDS nu este în linie, deci traficul nu trebuie să treacă prin el.
- Sisteme de prevenire a intruziunilor (IPS): IPS au și ele capacități de detectare, dar vor refuza proactiv traficul de rețea dacă consideră că acesta reprezintă o amenințare de securitate cunoscută.
Pot funcționa IDS și IPS împreună?
Da, IDS și IPS funcționează împreună. Mulți furnizori moderni combină IDS și IPS cu firewall-urile. Acest tip de tehnologie se numește Next-Generation Firewall (NGFW) sau Unified Threat Management (UTM).
Cum diferă sistemele de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS) de firewall-uri?
Firewall-urile de rețea tradiționale utilizează un set static de reguli pentru a permite sau refuza conexiunile de rețea. Acest lucru poate preveni intruziunile, presupunând că au fost definite reguli adecvate. În esență, firewall-urile sunt concepute pentru a limita accesul între rețele pentru a preveni intruziunile, dar nu previn atacurile din interiorul unei rețele.
IDS și IPS trimit alerte atunci când suspectează o intruziune și monitorizează, de asemenea, atacurile din interiorul unei rețele. Rețineți că firewall-urile de generație următoare combină, în general, tehnologia firewall tradițională cu inspecția profundă a pachetelor, IDS și IPS.
De ce sunt importante IDS și IPS?
Echipele de securitate se confruntă cu o listă din ce în ce mai mare de preocupări legate de securitate, de la ramificații și scurgeri de date la amenzi de conformitate, fiind în același timp constrânse de bugete și politici corporative. Tehnologia IDS și IPS poate ajuta la acoperirea unor părți specifice și importante ale programului dumneavoastră de management al securității:
- Automatizare: Odată configurate, IDS și IPS sunt, în general, hands-off, ceea ce înseamnă că sunt o modalitate excelentă de a îmbunătăți securitatea rețelei fără a fi nevoie de persoane suplimentare.
- Conformitate: Multe reglementări vă cer să dovediți că ați investit în tehnologie pentru a proteja datele sensibile. Implementarea unui IDS sau IPS vă poate ajuta să abordați o serie de controale CIS. Mai important, acestea vă pot ajuta să protejați cele mai sensibile date ale dumneavoastră și ale clienților dumneavoastră și să îmbunătățiți securitatea datelor.
- Aplicarea politicilor: IDS și IPS sunt configurabile pentru a vă ajuta să vă aplicați politicile de securitate a informațiilor la nivel de rețea. De exemplu, dacă nu suportați decât un singur sistem de operare, puteți folosi un IPS pentru a bloca traficul provenit de la altele.
Cum poate UpGuard să completeze tehnologia IDS și IPS
Companii precum Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar și NASA folosesc ratingurile de securitate ale UpGuard pentru a-și proteja datele, pentru a preveni breșele de date și pentru a-și evalua operațiunile de securitate.
Pentru evaluarea controalelor dvs. de securitate a informațiilor, UpGuard BreachSight poate monitoriza organizația dvs. pentru peste 70 de controale de securitate care oferă un rating de securitate cibernetică simplu și ușor de înțeles și detectează automat acreditările scurse și expunerile de date în S3 buckets, servere Rsync, depozite GitHub și altele.
UpGuard Vendor Risk poate minimiza timpul pe care organizația dvs. îl petrece evaluând controalele de securitate a informațiilor conexe și ale terților prin automatizarea chestionarelor furnizorilor și prin furnizarea de modele de chestionare pentru furnizori.
Vă putem ajuta, de asemenea, să vă comparați instantaneu furnizorii dvs. actuali și potențiali cu industria lor, astfel încât să puteți vedea cum se situează.
Diferența majoră dintre UpGuard și alți furnizori de ratinguri de securitate este că există dovezi foarte publice ale expertizei noastre în prevenirea încălcărilor de date și a scurgerilor de date.
Expertiza noastră a fost prezentată în publicații precum The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters și TechCrunch.
Puteți citi mai multe despre ce spun clienții noștri în recenziile Gartner.
Dacă doriți să vedeți ratingul de securitate al organizației dvs., faceți clic aici pentru a solicita evaluarea gratuită a securității cibernetice.
Obțineți astăzi o versiune de încercare gratuită de 7 zile a platformei UpGuard.