Niektóre monitory zbierają dane ze źródeł wewnętrznych komputera. Różnią się one od monitoringu sieciowego poziomem abstrakcji, na którym gromadzone są dane. Monitorowanie oparte na hoście zbiera informacje z poziomu systemu operacyjnego (OS) komputera. Najczęstszymi źródłami danych na poziomie systemu operacyjnego są ścieżki audytu systemu operacyjnego, które są zwykle generowane w jądrze systemu operacyjnego, oraz dzienniki systemowe, które są generowane przez narzędzia systemu operacyjnego
Najpopularniejszym podejściem do monitorowania wykorzystywanym w systemach wykrywania włamań jest sieć. W tym podejściu informacje są gromadzone w postaci pakietów sieciowych, często przy użyciu urządzeń interfejsu sieciowego ustawionych w trybie przechwycenia. (Takie urządzenie działające w trybie promiscuous przechwytuje cały dostępny dla niego ruch sieciowy – zwykle w tym samym segmencie sieci – a nie tylko ruch adresowany do niego). Inne podejścia do wykonywania monitorowania sieciowego obejmują wykorzystanie portów łączących (wyspecjalizowane porty monitorowania, które umożliwiają przechwytywanie ruchu sieciowego ze wszystkich portów przełącznika) na przełącznikach sieciowych lub wyspecjalizowanych zaczepach sieci Ethernet (np. snifferach) w celu przechwytywania ruchu sieciowego.
Źródła informacji stanowią pierwszy etap procesu wykrywania włamań. Dostarczają informacji o zdarzeniach z monitorowanych systemów, na podstawie których proces wykrywania włamań opiera swoje decyzje. Źródła informacji obejmują zarówno surowe dane o zdarzeniach (np. Dane zebrane bezpośrednio z mechanizmów audytu systemu i rejestrowania), jak i dane wyjściowe przez narzędzia do zarządzania systemem (np. Narzędzia do sprawdzania integralności plików, narzędzia do oceny podatności, systemy zarządzania siecią, a nawet inne systemy wykrywania włamań ). W tej sekcji źródła informacji do wykrywania włamań są klasyfikowane według lokalizacji: sieć, host lub aplikacja.
Jak wspomniano, IPS są często uważane za specjalny przypadek IDS, w którym określone są automatyczne odpowiedzi. Jednak wraz z przyjęciem pierwszej generacji produktów sieciowych IPS ewoluowały dodatkowe specyfikacje dla IPS oprócz specyfikacji przypisanych do IDS.
Architektura systemu zapobiegania włamaniom
Podobnie jak w przypadku wykrywania włamań, większość systemów IPS oddziela platformę monitorowania i analizy od monitorowanej platformy docelowej. Wprowadzono dodatkowe rozróżnienia między tymi IPS, które oddzielają platformę monitorowania i analizy od platformy odpowiedzi (są one oznaczone jako „samodzielne” IPS) i tymi, które integrują wszystkie funkcje w pojedynczej jednostce, zwykle zaporze, przełączniku sieciowym lub routerze (są one oznaczone jako „zintegrowane” IPS).
Strategia analizy zapobiegania włamaniom
IPS generalnie używają tego samego strukturalnego podejścia do analizy danych, co IDS, ale nomenklatura strategii analizy jest inna. Schematy analizy IPS dzielą się na dwie ogólne kategorie, oparte na stawkach i oparte na treści. Analiza IPS oparta na szybkościach podejmuje decyzję o zablokowaniu ruchu sieciowego na podstawie wskaźników obciążenia sieci, mierzonych na podstawie statystyk, takich jak szybkości i liczba połączeń. Ta kategoria analizy jest szczególnie przydatna do wykrywania ataków typu „odmowa usługi” (DDoS). Analiza IPS oparta na zawartości podejmuje decyzję o blokowaniu ruchu sieciowego na podstawie wskaźników anomalnych pakietów i określonej zawartości (często reprezentowanej jako sygnatury IDS). To podejście jest przydatne do wykrywania nieprawidłowo sformułowanych pakietów DDoS i innych typów ataków, których nie można łatwo wykryć za pomocą miar ilościowych
Kilka strategii stosowanych w wykrywaniu włamań służy do opisu i rozróżnienia określonych systemów wykrywania włamań. Mają one wpływ na zagrożenia, na które reaguje każdy system i często określają środowiska, w których należy używać określonych systemów. Jak zauważono, zapobieganie włamaniom opiera się przede wszystkim na strategiach wykrywania włamań; w związku z tym czynniki różnicujące zostaną odpowiednio wyróżnione.
Struktura procesu.
Wykrywanie włamań definiuje się jako proces monitorowania i generowania alarmów i jako takie można je opisać za pomocą prostego modelu procesu. Model ten jest tutaj naszkicowany i zostanie użyty do zilustrowania podstawowych koncepcji wykrywania włamań.
Źródła informacji.
Pierwszy etap procesu wykrywania włamań obejmuje jedno lub więcej źródeł informacji, zwanych także generatorami zdarzeń. Źródła informacji do wykrywania włamań można podzielić na kategorie według lokalizacji: sieć, host lub aplikacja.
Silnik analizy
Zebrane informacje o zdarzeniu przechodzą do kolejnego etapu procesu wykrywania włamań, w którym są analizowane pod kątem objawów ataku lub innych problemów związanych z bezpieczeństwem.
Odpowiedź
Gdy silnik analizy diagnozuje ataki lub problemy z bezpieczeństwem, informacje o tych wynikach są ujawniane na etapie reakcji procesu wykrywania włamań. Odpowiedzi obejmują szerokie spektrum możliwości, od prostych raportów lub dzienników po automatyczne odpowiedzi, które zakłócają trwające ataki. Obecność tych automatycznych odpowiedzi definiuje system zapobiegania włamaniom.
Podejście do monitorowania
Pierwszym głównym klasyfikatorem używanym do rozróżniania systemów wykrywania włamań jest podejście do monitorowania systemu. Monitorowanie polega na zbieraniu danych o zdarzeniach ze źródła informacji, a następnie przekazywaniu tych danych do silnika analitycznego. Podejście do monitorowania opisuje perspektywę, z której przeprowadzane jest monitorowanie wykrywania włamań. Podstawowe metody monitorowania stosowane obecnie w systemach wykrywania włamań są oparte na sieci, hostach i aplikacjach.
Architektura wykrywania włamań
Nawet na początku ręcznego audytu bezpieczeństwa badacze zauważyli, że aby informacje audytowe były zaufane, powinny być przechowywane i przetwarzane w środowisku innym niż monitorowane. Wymóg ten ewoluował i obejmuje większość podejść do wykrywania włamań z trzech powodów:
W tej architekturze system, w którym działa system wykrywania włamań, nazywany jest hostem. Monitorowany system lub sieć nazywany jest celem.
Częstotliwość monitorowania
Innym częstym deskryptorem podejść do wykrywania włamań jest czas gromadzenia i analizy danych o zdarzeniach. Zwykle dzieli się to na podejście wsadowe (znane również jako interwałowe) i ciągłe (znane również jako podejście w czasie rzeczywistym). W analizie wsadowej dane o zdarzeniach ze źródła informacji są przekazywane do silnika analizy w postaci pliku lub innego bloku. Jak sama nazwa wskazuje, zdarzenia odpowiadające danemu przedziałowi czasu są przetwarzane (i dostarczane użytkownikowi) po włamaniu. Ten model był najczęściej używany do wczesnego wykrywania włamań, ponieważ zasoby systemowe nie pozwalały na monitorowanie lub analizę w czasie rzeczywistym. W analizie w czasie rzeczywistym dane o zdarzeniach ze źródła informacji są przekazywane do silnika analitycznego w miarę gromadzenia informacji. Informacje są analizowane natychmiast, dając użytkownikowi możliwość zareagowania na wykryte problemy wystarczająco szybko, aby wpłynąć na wynik włamania.
Strategia analizy
W przypadku wykrywania włamań istnieją dwie przeważające strategie analizy: wykrywanie nadużyć i wykrywanie anomalii. W przypadku wykrywania nadużyć silnik analizy filtruje strumienie zdarzeń, dopasowując wzorce aktywności, które charakteryzują znany atak lub naruszenie bezpieczeństwa. W przypadku wykrywania anomalii silnik analityczny wykorzystuje techniki statystyczne lub inne techniki analityczne, aby wykryć wzorce odpowiadające nieprawidłowemu użytkowaniu systemu. Wykrywanie anomalii opiera się na założeniu, że włamania znacznie różnią się od normalnej aktywności systemu. Ogólnie rzecz biorąc, wtargnięcie w systemy wykrywania polega w większym stopniu na wykrywaniu anomalii i pomiarach ilościowych w celu wykrywania i blokowania ataków.
Wykrywanie włamań to automatyzacja ręcznych procesów zapoczątkowanych w pierwszych dniach przetwarzania danych. Joseph Wassermann z Bell Telephone Company udokumentował pochodzenie audytu systemu i bezpieczeństwa już w połowie lat pięćdziesiątych, kiedy projektowano i wdrażano pierwszy skomputeryzowany system biznesowy. Możliwość audytowania była kluczową funkcją bezpieczeństwa od najwcześniejszych dni bezpieczeństwa komputerowego, zgodnie z propozycją badania J. P. Andersona z 1973 r., Zleconego przez Siły Powietrzne Stanów Zjednoczonych. Anderson zaproponował schemat automatyzacji przeglądu ścieżek audytu bezpieczeństwa w 1980 r. W raporcie badawczym uważanym przez wielu za przełomową pracę w zakresie wykrywania włamań. Dorothy Denning i Peter Neumann prowadzili badania nad wykrywaniem włamań, prowadzone w latach 1984–1986, tworząc w 1986 r. Kolejną przełomową pracę dotyczącą wykrywania włamań, w której Denning zaproponował model wykrywania włamań. Instancja modelu wykrywania włamań Denninga została opracowana jako system ekspercki wykrywania włamań (IDES) przez zespół z SRI International. IDES był systemem hybrydowym, który konstruował profile statystyczne zachowań użytkowników na podstawie dzienników kontroli jądra systemu operacyjnego i innych źródeł danych systemu. IDES dostarczył również system ekspercki oparty na regułach, który umożliwiał użytkownikom określanie wzorców zdarzeń do oznaczania jako włamania. IDES i system następnej generacji IDES (NIDES), który nastąpił po nim, zapoczątkowały erę, w której opracowano wiele projektów badawczych i prototypowych systemów wykrywania włamań, w tym Haystack (Haystack Labs i US Air Force), NADIR (Los Alamos National Laboratory), Wisdom i Sense (Los Alamos National Laboratory i Oak Ridge National Laboratory), ISOA (PRC, Inc.), TIM (Digital Equipment Corporation), ComputerWatch (AT&T) i Discovery (TRW, Inc). Pod koniec lat osiemdziesiątych naukowcy z Uniwersytetu Kalifornijskiego w Davis zaprojektowali pierwszy sieciowy system wykrywania włamań (początkowo nazywany Network Security Monitor, ale później przemianowany na NID), który działał tak samo, jak wiele obecnych komercyjnych włamań sieciowych. produkty do wykrywania. Kolejny produkt badawczy finansowany przez siły powietrzne USA, zwany Distributed Intrusion Detection System (DIDS), badał koordynację sieciowych i hostowych systemów wykrywania włamań. DIDS został opracowany przez zespoły z University of California, Davis, Haystack Laboratories i Lawrence Livermore National Laboratory. Zapobieganie włamaniom zostało zaproponowane jako logiczny kolejny krok w kierunku wykrywania włamań niemal od samego początku badań nad wykrywaniem włamań. Wsparcie dla niektórych modeli zapobiegania włamaniom wzrosło, gdy obawy dotyczące ataków na infrastrukturę sieci TCP / IP (np. Zalewanie pakietów i zniekształcone ataki pakietowe) wzrosły w połowie i pod koniec lat 90. Zaproponowano inne typy IPS, aby radzić sobie z hackami na poziomie jądra i problemami z wyciekiem informacji.
Wykrywanie włamań jest niezbędną funkcją większości strategii bezpieczeństwa systemu. To (i jej pochodna, ocena podatności) jest podstawową technologią bezpieczeństwa, która wspiera cel, jakim jest audytowalność. „Możliwość audytu” oznacza zdolność do niezależnego przeglądania i sprawdzania zapisów i działań systemowych w celu:
* Określić adekwatność kontroli systemu
* Zapewnij zgodność z ustaloną polityką bezpieczeństwa i procedurami operacyjnymi
* Wykrywaj naruszenia bezpieczeństwa
* Zaproponuj wszelkie wskazane zmiany
Z kolei obecność silnej funkcji audytu umożliwia i wspiera kilka ważnych funkcji zarządzania bezpieczeństwem, takich jak obsługa incydentów i odzyskiwanie systemu. Wykrywanie włamań pozwala również menedżerom ds. Bezpieczeństwa na elastyczne sposoby dostosowywania się do potrzeb użytkowników, zachowując jednocześnie zdolność do ochrony systemów przed określonymi typami zagrożeń. Trwa dyskusja na temat tego, czy IPS wyprze IDS w składzie zarządzania bezpieczeństwem. To przemieszczenie jest na razie mało prawdopodobne ze względu na powiązania między IDS a audytem. Ponieważ operacje bezpieczeństwa stają się ściślej zintegrowane z tradycyjną administracją i operacjami systemu, funkcje audytowe są niezbędne do wspierania analizy przyczyn źródłowych w diagnozowaniu i usuwaniu awarii systemu. Źle dostrojone urządzenia zabezpieczające mogą powodować problemy w działaniu; ważne jest, aby móc szybko i właściwie zidentyfikować i skorygować takie problemy. Funkcje audytowe są również niezbędne do pomiaru skuteczności środków bezpieczeństwa w ograniczaniu zagrożeń bezpieczeństwa. Chociaż może się wydawać, że przejrzyste wykrywanie i blokowanie ataków jest optymalnym procesem bezpieczeństwa, taka przejrzystość – czyli brak ścieżki audytu – koliduje z wykazaniem skuteczności środków bezpieczeństwa wobec rzeczywistych zagrożeń. Innymi słowy, aby zarządzanie bezpieczeństwem uzasadniało budżet na środki bezpieczeństwa, musi być w stanie udokumentować i określić ilościowo przydatność i skuteczność takich środków. Dlatego, niezależnie od skuteczności IPS w blokowaniu ataków, IDS prawdopodobnie zawsze będzie konieczne do obsługi tych funkcji audytowych. IDS dostarcza podstawowych informacji na temat profili i częstotliwości ataków, które pozwalają menedżerom wykazać skuteczność i zwrot z inwestycji w mechanizmy prewencyjne. Bez twardych dowodów na częstotliwość ataków, menedżerowie ds. Bezpieczeństwa pozostają w pozycji mężczyzny machającego martwym kurczakiem wokół głowy stojąc na rogu ulicy. Zapytany, dlaczego to robi, odpowiada: „Aby trzymać z daleka latające słonie”. „Ale nie ma latających słoni” – protestują obserwatorzy. “Widzieć? To działa!” – odpowiada wariat. Chociaż systemy wykrywania i zapobiegania włamaniom są niezbędne jako funkcje bezpieczeństwa systemu, nie są one wystarczające do ochrony systemów przed wszystkimi zagrożeniami. IDS i IPS muszą być częścią bardziej kompleksowej strategii bezpieczeństwa, która obejmuje ocenę podatności, politykę bezpieczeństwa i kontrole proceduralne, zapory sieciowe, silne mechanizmy identyfikacji i uwierzytelniania, mechanizmy kontroli dostępu, szyfrowanie plików i łączy, sprawdzanie integralności plików, fizyczne środki bezpieczeństwa, i szkolenia w zakresie bezpieczeństwa.
Zapobieganie włamaniom to proces łączenia wykrywania włamań (zgodnie z definicją) z określonymi reakcjami na pewne wykryte scenariusze włamań. Zdarzenia wyzwalające mogą być postrzegane jako szczególny podzbiór włamań i często charakteryzują się bogatszymi kategoriami ilościowymi i jakościowymi niż bardziej ogólne wyzwalacze IDS. Na przykład określony IPS może skupiać się na monitorowaniu określonych typów ruchu sieciowego. Gdy prędkość określonego typu ruchu przekroczy spodziewany próg, IPS zareagowałby w określony z góry sposób (np. Ograniczając szybkość kolejnego ruchu tego typu).
Wykrywanie włamań to proces zbierania informacji o zdarzeniach zachodzących w systemie komputerowym lub sieci i analizowania ich pod kątem oznak włamań. Włamania są definiowane jako naruszenia zasad bezpieczeństwa, zwykle charakteryzowane jako próby naruszenia poufności, integralności lub dostępności komputera lub sieci. Naruszenia te mogą pochodzić od ataków uzyskujących dostęp do systemów z Internetu lub od upoważnionych użytkowników systemów, którzy próbują przekroczyć swoje uprawnione poziomy uprawnień lub którzy wykorzystują swój legalny dostęp do systemu w celu prowadzenia nieautoryzowanej działalności. Systemy wykrywania włamań to oprogramowanie lub sprzęt, które automatyzują ten proces monitorowania i analizy.
Nawet dzisiaj, gdy zapytano ich, jak zabezpieczyliby komputer lub sieć komputerową, większość ludzi wspomina o zaporach ogniowych, pierwszych powszechnie akceptowanych urządzeniach zabezpieczających sieć. Ponieważ bezpieczeństwo sieci stało się nieobowiązkowym aspektem zarządzania systemem, różnego rodzaju mechanizmy zapory ogniowej stały się standardem w wielu sieciach. Podobnie jak w przypadku każdej złożonej funkcji ochrony, zapory są konieczne, ale nie wystarczają, aby całkowicie chronić przedsiębiorstwa przed naruszeniami bezpieczeństwa. Oczekiwanie, że zapory ogniowe zapewnią pełną ochronę, jest równoznaczne z oczekiwaniem, że strażnicy przy bramach kampusów korporacyjnych zapobiegną destruktywnemu zachowaniu ze strony pojazdów obsługujących obiekt. nawet przedmioty, które wydają się niegroźne dla strażników, mogą zostać wykorzystane do przenoszenia niszczycielskich ładunków. Dlatego większość nowoczesnych architektur bezpieczeństwa sieci obejmuje systemy wykrywania włamań i zapobiegania włamaniom. Systemy wykrywania włamań (IDS) to systemy programowe lub sprzętowe, które automatyzują monitorowanie zdarzeń występujących w systemie komputerowym lub sieci. IDS nie tylko gromadzą i synchronizują zapisy tych zdarzeń; analizują je również pod kątem oznak naruszenia bezpieczeństwa. Mówiąc najściślej, systemy oceny podatności (VAS) to specjalna klasa systemów IDS, w których system opiera się na statycznej inspekcji i odtwarzaniu ataków w celu oceny narażenia systemu docelowego na określone luki w zabezpieczeniach. Systemy zapobiegania włamaniom (IPS) to kolejna specjalna klasa systemów wykrywania włamań, w których system jest zaprojektowany do reagowania na określone wykryte ataki w określony z góry sposób. W ostatnich latach dziedzina wykrywania włamań poszerzyła się i pogłębiła, napędzana wieloma czynnikami. Pracownicy ochrony, zarówno architektoniczni, jak i operacyjni, zdobyli większe doświadczenie w zakresie technologii IDS, współpracując z komercyjnymi dostawcami produktów w celu rozszerzenia możliwości produktów i schematów zarządzania, aby dopasować je do aktualnych potrzeb. Ponieważ personel operacyjny stał się bardziej komfortowy w korzystaniu z tych systemów, przeniósł pewne możliwości IDS do centrów zarządzania siecią. Wreszcie, zagrożenia ewoluowały, napędzając potrzeby, którym IDS mają wyjątkowe kwalifikacje. Ewolucja IDS spowodowała pewne zmiany w nazewnictwie i związanym z nim rzemiośle. Jedną z tych zmian jest to, że ocena podatności jest uważana za odrębną dyscyplinę, napędzaną potrzebami rynku, które często różnią się od tych, które mają wpływ na IDS. Innym powodem jest to, że zapobieganie włamaniom wyewoluowało jako samodzielna kategoria produktów, oferująca możliwość automatycznego reagowania na określone klasy ataków.