Den största skillnaden mellan system för upptäckt av intrång (IDS) och system för förebyggande av intrång (IPS) är att IDS är övervakningssystem och IPS är kontrollsystem. IDS ändrar inte nätverkstrafiken medan IPS förhindrar paket från att levereras baserat på paketets innehåll, på samma sätt som en brandvägg förhindrar trafik efter IP-adress.
IDS används för att övervaka nätverk och skicka varningar när misstänkt aktivitet i ett system eller nätverk upptäcks medan ett IPS reagerar på cyberattacker i realtid med målet att hindra dem från att nå de målinriktade systemen och nätverken.
Kort sagt har IDS och IPS förmågan att upptäcka attacksignaturer med den huvudsakliga skillnaden är deras reaktion på attacken. Det är dock viktigt att notera att både IDS och IPS kan implementera samma övervaknings- och upptäcktsmetoder.
I den här artikeln beskriver vi egenskaperna hos ett intrång, de olika angreppsvektorerna som cyberkriminella kan använda för att äventyra nätverkssäkerheten, definitionen av IDS/IPS och hur de kan skydda ditt nätverk och förbättra cybersäkerheten.
- Vad är ett nätverksintrång?
- Vad är ett intrångsdetekteringssystem (IDS)?
- Hur fungerar ett system för upptäckt av intrång (IDS)?
- Vad är de olika typerna av intrångsdetekteringssystem (IDS)
- Vad är ett intrångsförhindrande system (IPS)?
- Hur fungerar ett intrångsförebyggande system (IPS)?
- Vad är de olika typerna av intrångsavvärjande system (IPS)?
- Vilka begränsningar har intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS)?
- Vad är skillnaderna mellan intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS)?
- Kan IDS och IPS fungera tillsammans?
- Hur skiljer sig intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS) från brandväggar?
- Varför är IDS och IPS viktiga?
- Hur UpGuard kan komplettera IDS- och IPS-teknik
Vad är ett nätverksintrång?
Ett nätverksintrång är varje obehörig aktivitet i ett datornätverk. Att upptäcka ett intrång beror på att man har en tydlig förståelse för nätverksaktivitet och vanliga säkerhetshot. Ett korrekt utformat och installerat system för upptäckt av nätverksintrång och ett system för förebyggande av nätverksintrång kan hjälpa till att blockera inkräktare som syftar till att stjäla känsliga data, orsaka dataintrång och installera skadlig programvara.
Nätverk och slutpunkter kan vara sårbara för intrång från hotaktörer som kan befinna sig var som helst i världen och som försöker utnyttja din angreppsyta.
De vanligaste sårbarheterna i nätverk är:
- Skadlig programvara: Malware, eller skadlig programvara, är ett program eller en fil som är skadlig för en datoranvändare. Typer av skadlig programvara är datorvirus, maskar, trojanska hästar, spionprogram, adware och utpressningstrojaner. Läs hela vårt inlägg om skadlig kod här.
- Sociala attacker: Social ingenjörskonst är en angreppsvektor som utnyttjar mänsklig psykologi och känslighet för att manipulera offer till att avslöja konfidentiell information och känsliga uppgifter eller utföra en åtgärd som bryter mot vanliga säkerhetsnormer. Vanliga exempel på social ingenjörskonst är phishing, spear phishing och whaling-attacker. Läs hela vårt inlägg om social ingenjörskonst här.
- Föråldrad eller okontrollerad programvara och hårdvara: Föråldrad eller okontrollerad programvara och maskinvara kan ha kända sårbarheter som de som anges i CVE. En sårbarhet är en svaghet som kan utnyttjas av en cyberattack för att få obehörig åtkomst till eller utföra obehöriga åtgärder i ett datorsystem. Sårbarheter som kan maskas, som den som ledde till WannaCryransomware, är särskilt riskfyllda. Läs vårt fullständiga inlägg om sårbarheter för mer information.
- Datalagringsenheter: Bärbara lagringsenheter som USB-enheter och externa hårddiskar kan föra in skadlig kod i ditt nätverk.
Vad är ett intrångsdetekteringssystem (IDS)?
Ett intrångsdetekteringssystem (IDS) är en enhet eller ett programvaruprogram som övervakar ett nätverk eller system för att upptäcka skadlig aktivitet och överträdelser av policyer. All skadlig trafik eller överträdelse rapporteras vanligtvis till en administratör eller samlas in centralt med hjälp av ett SIEM-system (Security Information and Event Management).
Hur fungerar ett system för upptäckt av intrång (IDS)?
Det finns tre vanliga upptäcktsvarianter som IDS använder för att övervaka intrång:
- Signaturbaserad detektion: Detekterar attacker genom att leta efter specifika mönster, t.ex. byte-sekvenser i nätverkstrafik eller använda signaturer (kända skadliga instruktionssekvenser) som används av skadlig kod. Denna terminologi har sitt ursprung i antivirusprogram som hänvisar till dessa mönster som signaturer. Signaturbaserade IDS kan lätt upptäcka kända cyberattacker, men de har svårt att upptäcka nya attacker där det inte finns något mönster.
- Anomalibaserad upptäckt: Ett intrångsdetekteringssystem för att upptäcka både nätverks- och datorintrång och missbruk genom att övervaka systemaktivitet och klassificera den som antingen normal eller avvikande. Denna typ av säkerhetssystem utvecklades för att upptäcka okända attacker, delvis på grund av den snabba utvecklingen av skadlig kod. Det grundläggande tillvägagångssättet är att använda maskininlärning för att skapa en modell av pålitlig aktivitet och jämföra nytt beteende med modellen. Eftersom dessa modeller kan tränas enligt specifika program- och hårdvarukonfigurationer har de bättre generaliserade egenskaper jämfört med traditionella signaturbaserade IDS. De lider dock också av fler falska positiva resultat.
- Reputationsbaserad upptäckt:
Vad är de olika typerna av intrångsdetekteringssystem (IDS)
IDS-system kan ha en räckvidd som sträcker sig från enskilda datorer till stora nätverk och klassificeras vanligen i två typer:
- Network intrusion detection system (NIDS): Ett system som analyserar inkommande nätverkstrafik. NIDS placeras på strategiska punkter i nätverken för att övervaka trafiken till och från enheter. Det utför en analys av den passerande trafiken på hela delnätet och matchar den trafik som passerar på delnäten med ett bibliotek av kända attacker. När en attack identifieras kan en varning skickas till en administratör.
- Värdbaserat system för upptäckt av intrång (HIDS): Ett system som kör och övervakar viktiga operativsystemfiler på enskilda värdar eller enheter. En HIDS övervakar inkommande och utgående paket från enheten och varnar användaren eller administratören om misstänkt aktivitet upptäcks. Den tar en ögonblicksbild av befintliga systemfiler och jämför dem med tidigare ögonblicksbilder om kritiska filer har ändrats eller raderats, vilket ger upphov till en varning.
Vad är ett intrångsförhindrande system (IPS)?
Ett intrångsförhindrande system (IPS) eller system för upptäckt och förhindrande av intrång (IDPS) är nätverkssäkerhetstillämpningar som fokuserar på att identifiera möjlig skadlig aktivitet, logga information, rapportera försök och försöka förhindra dem. IPS-system sitter ofta direkt bakom brandväggen.
Ipslösningar kan dessutom användas för att identifiera problem med säkerhetsstrategier, dokumentera befintliga hot och avskräcka personer från att bryta mot säkerhetsprinciper.
För att stoppa attacker kan en IPS ändra säkerhetsmiljön, genom att konfigurera om en brandvägg eller genom att ändra attackens innehåll.
Många betraktar intrångsförebyggande system som en förlängning av intrångsdetekteringssystem eftersom båda övervakar nätverkstrafik och/eller systemaktiviteter för att upptäcka skadlig verksamhet.
Hur fungerar ett intrångsförebyggande system (IPS)?
Intrångsförebyggande system (IPS) fungerar genom att skanna all nätverkstrafik via en eller flera av följande detektionsmetoder:
- Signaturbaserad detektion: Signaturbaserad IPS: Signaturbaserad IPS övervakar paket i ett nätverk och jämför dem med förkonfigurerade och förutbestämda angreppsmönster, så kallade signaturer.
- Statistisk anomalibaserad detektion: En IPS som är anomalibaserad övervakar nätverkstrafik och jämför den mot en etablerad baslinje. Denna baslinje används för att identifiera vad som är ”normalt” i ett nätverk, t.ex. hur mycket bandbredd som används och vilka protokoll som används. Den här typen av anomalidetektering är bra för att identifiera nya hot, men den kan också generera falska positiva resultat när legitim användning av bandbredd överskrider en baslinje eller när baslinjerna är dåligt konfigurerade.
- Detektering av tillståndspåverkande protokollanalys: Denna metod identifierar avvikelser i protokolltillstånd genom att jämföra observerade händelser med förutbestämda profiler av allmänt accepterade definitioner av godartad aktivitet.
När det upptäcks utför en IPS en paketinspektion i realtid på varje paket som passerar genom nätverket och om det bedöms som misstänkt utför IPS en av följande åtgärder:
- Terminera TCP-sessionen som har utnyttjats
- Blocka den felande IP-adressen eller användarkontot från att få tillgång till något program, värddator eller nätverksresurs
- Programmera om eller omkonfigurera brandväggen för att förhindra att ett liknande angrepp inträffar vid ett senare tillfälle
- Föra bort eller ersätta skadligt innehåll som återstår efter ett angrepp genom att packa om nyttolasten, ta bort headerinformation eller förstöra infekterade filer
Om det används på rätt sätt kan en IPS förhindra att allvarliga skador orsakas av skadliga eller oönskade paket och en rad andra cyberhot, t.ex:
- Distributed denial of service (DDOS)
- Exploits
- Datormaskar
- Virus
- Brute force-attacker
Vad är de olika typerna av intrångsavvärjande system (IPS)?
Intrångsskyddssystem klassificeras generellt i fyra typer:
- Nätverksbaserade intrångsskyddssystem (NIPS): NIPS upptäcker och förhindrar skadlig aktivitet eller misstänkt aktivitet genom att analysera paket i hela nätverket. När de väl är installerade samlar NIPS in information från värddatorn och nätverket för att identifiera tillåtna värddatorer, program och operativsystem i nätverket. De loggar också information om normal trafik för att identifiera förändringar från baslinjen. De kan förhindra attacker genom att skicka en TCP-anslutning, begränsa bandbreddsanvändningen eller avvisa paket. Även om de är användbara kan de vanligtvis inte analysera krypterad nätverkstrafik, hantera hög trafikbelastning eller hantera direkta attacker mot dem.
- System för förebyggande av trådlösa intrång (WIPS): WIPS övervakar radiospektrumet för att upptäcka obehöriga åtkomstpunkter och vidtar automatiskt motåtgärder för att avlägsna dem. Dessa system implementeras vanligtvis som ett overlay till en befintlig trådlös LAN-infrastruktur, även om de kan användas fristående för att upprätthålla en policy om att inte använda trådlösa nätverk inom en organisation. Vissa avancerade trådlösa infrastrukturer har integrerade WIPS-funktioner. Följande typer av hot kan förhindras av en bra WIPS: oseriösa åtkomstpunkter, felkonfigurerade åtkomstpunkter, man-in-the-middle-attacker, MAC-spoofing, honeypot- och överbelastningsattacker.
- Nätverksbeteendeanalys (NBA): Denna typ av intrångsskyddssystem bygger på anomalibaserad upptäckt och letar efter avvikelser från vad som anses vara normalt beteende i ett system eller nätverk. Detta innebär att det krävs en träningsperiod för att profilera vad som anses vara normalt. När träningsperioden är över flaggas avvikelser som skadliga. Detta är bra för att upptäcka nya hot, men problem kan uppstå om nätverket har äventyrats under träningsperioden, eftersom skadligt beteende kan betraktas som normalt. Dessutom kan dessa säkerhetsverktyg ge falska positiva resultat.
- Värdbaserat system för förebyggande av intrång (HIPS): Ett system eller program som används för att skydda kritiska datorsystem. HIPS analyserar aktivitet på en enskild värd för att upptäcka och förhindra skadlig aktivitet, främst genom att analysera kodbeteende. De får ofta beröm för att de kan förhindra attacker som använder kryptering. HIPS kan också användas för att förhindra att känslig information som personligt identifierbar information (PII) eller skyddad hälsoinformation (PHI) utvinns från värddatorn. Eftersom HIPS lever på en enda maskin används de bäst tillsammans med nätverksbaserade IDS och IPS samt IPS.
Vilka begränsningar har intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS)?
Begränsningarna för IDS och IPS är bland annat följande:
- Buller: Dåliga paket som genereras av buggar, korrupta DNS-uppgifter och lokala paket som flyr kan begränsa intrångsdetekteringssystemens effektivitet och orsaka en hög andel falska larm.
- Falska positiva: Det är inte ovanligt att antalet verkliga attacker är dvärgstort i förhållande till antalet falska larm. Detta kan leda till att verkliga attacker missas eller ignoreras.
- Föråldrade signaturdatabaser: Många attacker utnyttjar kända sårbarheter, vilket innebär att signaturbiblioteket måste vara uppdaterat för att vara effektivt. Föråldrade signaturdatabaser kan göra dig sårbar för nya strategier.
- Fördröjning mellan upptäckt och tillämpning: För signaturbaserad upptäckt kan det finnas en fördröjning mellan upptäckten av en ny typ av angrepp och att signaturen läggs till i signaturdatabasen. Under denna tid kan IDS inte identifiera attacken.
- Begränsat skydd mot svag identifiering eller autentisering: Om en angripare får tillgång på grund av dålig lösenordssäkerhet kan ett IDS kanske inte hindra motståndaren från att begå något oegentligt.
- Bristande behandling av krypterade paket: De flesta IDS behandlar inte krypterade paket, vilket innebär att de kan användas för intrång i ett nätverk och kanske inte upptäcks.
- Förlitar sig på IP-attribut: Många IDS ger information baserat på den nätverksadress som är kopplad till det IP-paket som skickas till nätverket. Detta är fördelaktigt om IP-paketet är korrekt, men det kan förfalskas eller förvrängas. Se vårt inlägg om begränsningarna med IP-attribut för mer information.
- Mottagliga för samma protokollbaserade attacker som de är utformade för att skydda mot: På grund av NIDS natur och behovet av att analysera de protokoll som de fångar kan de vara sårbara för vissa typer av attacker. Exempelvis kan ogiltiga data och attacker mot TCP/IP-stacken få NIDS att krascha.
Vad är skillnaderna mellan intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS)?
Den största skillnaden är att ett IDS är ett övervakningssystem och ett IPS är ett kontrollsystem. Båda IDS/IPS läser nätverkspaket och jämför deras innehåll med en databas med kända hot eller baslinjeaktivitet. IDS ändrar dock inte nätverkspaketen medan IPS kan förhindra att paket levereras baserat på deras innehåll, ungefär som en brandvägg gör med en IP-adress:
- Intrångsdetekteringssystem (IDS): Analyserar och övervakar trafiken för att hitta indikatorer på kompromiss som kan tyda på intrång eller datastöld. IDS jämför aktuell nätverksaktivitet med kända hot, överträdelser av säkerhetsprinciper och skanning av öppna portar. IDS kräver att människor eller ett annat system tittar på resultaten och bestämmer hur de ska reagera, vilket gör dem bättre som verktyg för digital kriminalteknik i efterhand. IDS är inte heller inline, så trafiken behöver inte passera genom den.
- Intrusionspreventionssystem (IPS): IPS: IPS har också detekteringsfunktioner, men nekar proaktivt nätverkstrafik om de anser att den utgör ett känt säkerhetshot.
Kan IDS och IPS fungera tillsammans?
Ja, IDS och IPS fungerar tillsammans. Många moderna leverantörer kombinerar IDS och IPS med brandväggar. Denna typ av teknik kallas Next-Generation Firewall (NGFW) eller Unified Threat Management (UTM).
Hur skiljer sig intrångsdetekteringssystem (IDS) och intrångsförebyggande system (IPS) från brandväggar?
Traditionella nätverksbrandväggar använder en statisk uppsättning regler för att tillåta eller neka nätverksanslutningar. Detta kan förhindra intrång, förutsatt att lämpliga regler har definierats. I huvudsak är brandväggar utformade för att begränsa åtkomsten mellan nätverk för att förhindra intrång, men de förhindrar inte attacker inifrån ett nätverk.
IDS och IPS skickar varningar när de misstänker intrång och övervakar även angrepp från ett nätverk. Observera att nästa generations brandväggar i allmänhet kombinerar traditionell brandväggsteknik med djup paketinspektion, IDS och IPS.
Varför är IDS och IPS viktiga?
Säkerhetsteam står inför en ständigt växande lista av säkerhetsproblem, från dataförgreningar och dataläckage till böter för bristande efterlevnad, samtidigt som de begränsas av budgetar och företagspolitik. IDS- och IPS-teknik kan hjälpa till att täcka specifika och viktiga delar av ditt säkerhetshanteringsprogram:
- Automatisering: När IDS och IPS väl är konfigurerade är de i allmänhet hands-off, vilket innebär att de är ett utmärkt sätt att förbättra nätverkssäkerheten utan att det behövs ytterligare personal.
- Överensstämmelse: IDS och IPS kan användas för att förbättra nätverkssäkerheten utan att det behövs ytterligare personal: Många bestämmelser kräver att du bevisar att du har investerat i teknik för att skydda känsliga data. Genom att implementera ett IDS eller IPS kan du hjälpa dig att hantera ett antal CIS-kontroller. Ännu viktigare är att de kan hjälpa till att skydda dina och dina kunders mest känsliga data och förbättra datasäkerheten.
- Genomdrivande av policy: IDS och IPS är konfigurerbara för att hjälpa dig att upprätthålla dina informationssäkerhetsprinciper på nätverksnivå. Om du till exempel bara stöder ett operativsystem kan du använda en IPS för att blockera trafik som kommer från andra system.
Hur UpGuard kan komplettera IDS- och IPS-teknik
Företag som Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar och NASA använder UpGuards säkerhetsbetyg för att skydda sina data, förhindra dataintrång och bedöma sin säkerhetsverksamhet.
För bedömningen av dina informationssäkerhetskontroller kan UpGuard BreachSight övervaka din organisation för 70+ säkerhetskontroller som ger ett enkelt, lättförståeligt cybersäkerhetsbetyg och automatiskt upptäcka läckta autentiseringsuppgifter och dataexponeringar i S3-hinkar, Rsync-servrar, GitHub-repos med mera.
UpGuard Vendor Risk kan minimera den tid som din organisation spenderar på att bedöma relaterade och tredje parts informationssäkerhetskontroller genom att automatisera frågeformulär för leverantörer och tillhandahålla mallar för frågeformulär för leverantörer.
Vi kan också hjälpa dig att omedelbart jämföra dina nuvarande och potentiella leverantörer med deras bransch, så att du kan se hur de står sig.
Den stora skillnaden mellan UpGuard och andra leverantörer av säkerhetsklassificeringar är att det finns mycket offentliga bevis för vår expertis när det gäller att förhindra dataintrång och dataläckage.
Vår expertis har presenterats i bland annat New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters och TechCrunch.
Du kan läsa mer om vad våra kunder säger på Gartner reviews.
Om du vill se din organisations säkerhetsklassning, klicka här för att begära din kostnadsfria Cyber Security Rating.
Få en kostnadsfri 7-dagars testversion av UpGuard-plattformen idag.