Ustawienia alarmu

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Systemy IDS charakteryzują się znacznymi wskaźnikami fałszywych alarmów, w niektórych sytuacjach nawet 80 procent. Wielu doświadczonych integratorów IDS zaleca zawieszenie alarmów na okres tygodni, nawet miesiące, gdy operatorzy zapoznają się z systemem IDS i systemami docelowymi. Szczególnie rozsądne jest opóźnienie aktywacji automatycznych odpowiedzi na ataki, dopóki operatorzy i administratorzy systemu nie zapoznają się z IDS i nie dostosują go do środowiska docelowego

Harmonogram integracji IDS

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Wczesne generacje produktów do wykrywania włamań udowodniły, że nie wolno przyspieszać procesów integracji. Systemy IDS nadal polegają na interakcjach operatora w celu eliminowania fałszywych alarmów i reagowania na uzasadnione alarmy. W związku z tym niezwykle ważne jest, aby procesy zapewniały personelowi operacyjnemu odpowiednią ilość czasu na poznanie zachowania IDS w systemach docelowych, rozwijając poczucie, w jaki sposób IDS współpracuje z poszczególnymi komponentami systemu w różnych sytuacjach. Ta mądrość odnosi się jeszcze bardziej do instalacji IPS, gdzie błąd w określeniu odpowiedzi może mieć katastrofalne skutki dla funkcjonowania sieci o znaczeniu krytycznym.

Lokalizacja czujników

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Istnieją cztery ogólne lokalizacje czujników IDS:

  1. Poza główną zaporą organizacyjną
  2. W sieci DMZ (wewnątrz głównej zapory, ale poza wewnętrznymi zaporami)
  3. Za wewnętrznymi zaporami ogniowymi
  4. W krytycznych podsieciach, w których znajdują się krytyczne systemy i dane

Jak wspomniano, czujniki IDS umieszczone poza główną zaporą organizacyjną są przydatne do określenia poziomu zagrożenia dla danej sieci. Czujniki umieszczone w DMZ13 mogą monitorować próby penetracji serwerów internetowych. Monitory IDS do użytku wewnętrznego

ataki są przeprowadzane na wewnętrzne segmenty sieci, za wewnętrznymi zaporami ogniowymi. W przypadku krytycznych podsieci czujniki IDS są zwykle umieszczane w przepustach, w których podsieci są połączone z resztą sieci firmowej. W przypadku sieci bezprzewodowych wyspecjalizowane urządzenia IPS służą do wykrywania i zgłaszania nieautoryzowanego dostępu do sieci za pośrednictwem punktów dostępu WLAN lub punktów dostępu otwartego oprogramowania, poprzez źle skonfigurowane interfejsy WLAN w laptopach i innych urządzeniach WLAN. Te urządzenia IPS są zwykle umieszczane za zaporami i rozmieszczone w przestrzeni fizycznej zajmowanej przez organizację i jej użytkowników.

Wdrażanie produktów IDS

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Pierwsze generacje instalacji IDS dostarczyły pewnych spostrzeżeń związanych z wdrażaniem IDS. Kluczowe punkty to lokalizacja czujników, planowanie integracji IDS, dostosowywanie ustawień alarmów i outsourcing usług IDS / IPS.

Integracja produktów IDS z infrastrukturą bezpieczeństwa

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Jak wspomniano, IDS nie zastępuje zapory, wirtualnej sieci prywatnej, pakietu do identyfikacji i uwierzytelniania ani żadnego innego produktu punktu bezpieczeństwa. Jednak system IDS może poprawić jakość ochrony zapewnianej przez inne produkty punktowe, monitorując ich działanie, odnotowując oznaki nieprawidłowego działania lub obejścia. Ponadto IPS może współdziałać z pozostałymi produktami punktowymi, aby pomóc zablokować trwający atak.

 

Scenariusze szczególne

“Wspomóż rozwój naszego Bloga. Kliknij w Reklamę. Nic nie tracisz a zyskujesz  naszą wdzięczność … oraz lepsze, ciekawsze TEKSTY. Dziękujemy”

Nie ma powszechnie stosowanego opisu sieci komputerowych lub systemów IDS, które je chronią. Istnieją jednak pewne typowe scenariusze, biorąc pod uwagę aktualne trendy w korzystaniu z sieci i systemu. Popularnym uzasadnieniem stosowania IDS na wczesnym etapie cyklu życia bezpieczeństwa organizacji jest ustalenie poziomu zagrożenia dla danej enklawy sieciowej. W tym celu często wykorzystuje się sieciowe systemy IDS, z monitorami umieszczonymi poza zaporą organizacyjną. Ci, którzy są odpowiedzialni za zdobycie wsparcia zarządzania dla wysiłków związanych z bezpieczeństwem, często uważają to użycie IDS za bardzo pomocne. Wiele organizacji używa IDS do ochrony serwerów WWW. W takim przypadku charakter interakcji między serwerem WWW a użytkownikami wpłynie na wybór i konfigurację IDS. Większość serwerów Web pełni dwa rodzaje funkcji: (1) informacyjne (np. Serwery WWW obsługujące proste zapytania HTTP i FTP od użytkowników) i (2) transakcyjne (np. Serwery WWW, które umożliwiają interakcję użytkownika wykraczającą poza zwykły ruch HTTP lub FTP). Transakcyjne serwery WWW są zwykle trudniejsze do monitorowania niż serwery informacyjne, ponieważ zakres interakcji między użytkownikami a serwerami jest szerszy. W przypadku krytycznych transakcyjnych serwerów WWW kierownicy ds. Bezpieczeństwa mogą chcieć rozważyć wiele IDS, monitorując serwery na wielu poziomach abstrakcji (tj. Aplikacji, hosta i sieci). Trzeci scenariusz obejmuje organizacje, które chcą używać IDS jako dodatkowej ochrony określonych części swoich systemów sieciowych. Przykładem tego jest organizacja medyczna, która chce chronić systemy baz danych pacjentów przed naruszeniami prywatności. W tej sytuacji, jak w podanym właśnie przykładzie serwera WWW, może być wskazane użycie wielu IDS, monitorujących interakcje na wielu poziomach abstrakcji. Dane wyjściowe tych wielu systemów można zsynchronizować, a niespójności można zauważyć w celu wiarygodnego wskazania poziomów zagrożenia. Innym przykładem, który jest coraz bardziej powszechny, jest organizacja, która troszczy się o łączność bezprzewodową. W tym przypadku monitoringu WiFi produkty są dostępne na rynku, z funkcjami gromadzenia informacji i monitorowania podobnymi do tych, które mają klasyczne systemy IDS. W ostatnich latach coraz szersze wykorzystanie bezprzewodowych sieci lokalnych (WLAN) w budynkach i kampusach stymulowało rozwój bezprzewodowych systemów wykrywania i zapobiegania włamaniom (WIDPS). Podstawowe zasady są takie same, jak w przypadku innych systemów IDS i IPS, z dodatkiem jednej interesującej pomyłki: WIDPS są często używane do wykrywania nieautoryzowanych punktów dostępu zainstalowanych w sieciach WLAN organizacji przez nieuczciwych pracowników lub intruzów. Karen Scarfone i Peter Mell w wydaniu NIST SP 800-94 z lipca 2012 r. Zwracają uwagę, że czujniki WIDPS należy umieszczać w obszarach, w których nie powinno być żadnej aktywności sieci bezprzewodowej. Niektórzy menedżerowie bezpieczeństwa przechodzą i omijają swoje obiekty z narzędziami WIDPS na swoich laptopach w celu identyfikacji nieautoryzowanych punktów dostępu. Nie można jednak wykryć całkowicie pasywnego podsłuchiwania ruchu w sieci WLAN. W rozległych sieciach, jeśli architekt bezpieczeństwa zdecyduje się na nałożenie wielu systemów IDS i IPS na warstwy, może być wymagany monitor zdarzeń bezpieczeństwa / menedżer informacji o bezpieczeństwie (SIM / SEM). Taki system byłby niezbędny do skonsolidowania i zintegrowania wyników każdego IDS / IPS w spójny zestaw wniosków.

OCENA POTRZEB I WYBÓR PRODUKTU

Wartość produktów do wykrywania włamań w ramach strategii bezpieczeństwa organizacji jest optymalizowana poprzez dokładną ocenę potrzeb. Te potrzeby i cele związane z bezpieczeństwem mogą służyć jako wskazówki przy wyborze produktów, które poprawią stan bezpieczeństwa organizacji.

Dopasowanie potrzeb do funkcji.

Potrzeby, na które najczęściej odpowiadają systemy wykrywania i zapobiegania włamaniom, obejmują:

* Zapobieganie problematycznym zachowaniom poprzez zwiększenie ryzyka wykrycia i ukarania atakujących systemu.

* Wykrywanie naruszeń bezpieczeństwa, którym nie zapobiegły (lub nawet w niektórych przypadkach nie można było zapobiec) za pomocą innych środków bezpieczeństwa.

* Dokumentacja istniejącego poziomu zagrożenia dla systemów komputerowych i sieci organizacji.

* Wykrywanie i, jeśli to możliwe, łagodzenie preambuł ataku. (Obejmuje to takie działania, jak sondy sieciowe, skanowanie portów i inne tego typu „brzęczenie klamkami”).

* Diagnoza problemów w innych elementach infrastruktury bezpieczeństwa (tj. Awarie czy błędne konfiguracje).

* Zapewnienie personelowi odpowiedzialnemu za bezpieczeństwo systemu możliwości testowania efektów bezpieczeństwa działań konserwacyjnych i modernizacyjnych w sieciach organizacyjnych.

* Dostarczanie informacji o naruszeniach, które mają miejsce, umożliwiając śledczym ustalenie i usunięcie pierwotnych przyczyn.

* Dostarczenie dowodów zgodności z danym wymogiem prawnym dotyczącym ochrony informacji. Stanowi to istotną potrzebę dla członków różnych regulowanych branż, takich jak bankowość i opieka zdrowotna.

Bez względu na to, które z tych konkretnych potrzeb są istotne dla użytkownika, ważne jest, aby rozważyć zdolność systemu wykrywania włamań do zaspokojenia potrzeb określonego środowiska, w którym jest zainstalowany. Krytyczną częścią tego określenia jest rozważenie, czy system wykrywania włamań ma możliwość monitorowania określonych źródeł informacji dostępnych w środowisku docelowym. Jeszcze ważniejsze jest to, czy polityka bezpieczeństwa organizacji przekłada się na politykę monitorowania i wykrywania, którą można wykorzystać do skonfigurowania IDS (lub w przypadku IPS, politykę monitorowania, wykrywania i reagowania). Struktura zabezpieczeń polityka ma szczególne znaczenie dla powodzenia IPS.

Problemy w odpowiedziach

Podobnie jak w przypadku źródeł informacji i strategii analitycznych, pewne problemy związane z funkcjami reagowania IDS przetrwały w historii wykrywania włamań. Główne kwestie to:

* Potrzeby użytkowników w zakresie możliwości reagowania IDS są tak różne, jak sami użytkownicy. W niektórych środowiskach systemowych komunikaty odpowiedzi systemu IDS są monitorowane przez całą dobę, a administratorzy systemu podejmują działania w czasie rzeczywistym na podstawie alarmów IDS. W innych środowiskach użytkownicy mogą używać odpowiedzi systemu wykrywania włamań w postaci raportów jako miernika wskazującego środowisko zagrożenia, w którym znajduje się określony system.  Przy wyborze IDS należy wziąć pod uwagę specyficzne potrzeby użytkownika

* Biorąc pod uwagę fałszywie dodatnie poziomy błędów dla IDS, opcje odpowiedzi muszą być dostrajane przez użytkowników. W przeciwnym razie użytkownicy po prostu wyłączą odpowiedzi IDS. To unieważnia wartość IDS.

* Gdy IDS zapewnia automatyczne odpowiedzi na wykryte problemy, istnieje ryzyko, że IDS sam przeprowadzi skuteczny atak typu „odmowa usługi” na chroniony przez siebie system. Załóżmy na przykład, że IDS jest skonfigurowany z regułami, które mówią mu „po wykryciu ataku z danego adresu IP skieruj zaporę ogniową tak, aby blokowała późniejszy dostęp z tego adresu IP”. Atakujący, wiedząc, że system IDS jest tak skonfigurowany, może przeprowadzić atak za pomocą sfałszowanego adresu źródłowego IP, który wydaje się pochodzić od głównego klienta lub partnera organizacji. IDS rozpozna atak, a następnie zablokuje dostęp tej organizacji na pewien czas, powodując odmowę usługi.

Wsparcie dochodzeniowe

Chociaż głównym celem projektowania systemów wykrywania włamań jest wykrywanie ataków i innych potencjalnie problematycznych zdarzeń systemowych, informacje gromadzone i archiwizowane przez systemy wykrywania włamań mogą również wspierać osoby odpowiedzialne za badanie incydentów bezpieczeństwa. Ten wymóg funkcjonalny może nakładać dodatkowe wymagania techniczne na IDS. Na przykład, jeśli badacze planują wykorzystać funkcje monitorowania IDS do prowadzenia ukierunkowanego nadzoru nad trwającym atakiem, bardzo ważne jest, aby źródła informacji były „ciche”, aby przeciwnicy nie byli świadomi, że są monitorowani. Ponadto osoby monitorujące IDS muszą być w stanie przekazywać informacje śledczym zaufanym, bezpiecznym kanałem. Wreszcie, sam system IDS musi znajdować się pod kontrolą śledczych lub innych zaufanych stron; w przeciwnym razie przeciwnicy mogą maskować swoje działania, wybiórczo podszywając się pod źródła informacji. Być może najważniejszą rzeczą, o której badacze powinni pamiętać o IDS, jest to, że dostarczone informacje powinny być potwierdzone przez inne źródła informacji (np. Dzienniki urządzeń infrastruktury sieciowej), niekoniecznie akceptowane według wartości nominalnej.

Zintegrowane odpowiedzi

Opcja odpowiedzi często uważana za najbardziej produktywną polega na użyciu zintegrowanych środków, które zmieniają ustawienia systemu, aby zablokować działania atakującego. Takie odpowiedzi mogą mieć wpływ na konfigurację systemu docelowego, hosta IDS / IPS lub sieci, w której oba znajdują się. W pierwszym przypadku IDS / IPS może zmienić ustawienia mechanizmów logowania na hoście docelowym, aby zwiększyć ilość lub rodzaj gromadzonych informacji. IDS może również zmienić swój silnik analityczny, aby rozpoznawać bardziej subtelne oznaki ataku. W innej opcji odpowiedzi odzwierciedlonej w produktach komercyjnych system IDS odpowiada na zaobserwowaną sygnaturę ataku, wysyłając zapytanie do systemu docelowego w celu ustalenia, czy jest on podatny na ten konkretny atak. Jeśli luka jest obecna, IDS kieruje system docelowy do naprawy tej luki. W efekcie ten proces zapewnia system docelowy z funkcją odpornościową i pozwala mu się „leczyć”, albo bezpośrednio blokując atak, albo też interaktywnie naprawiając wszelkie szkody wyrządzone w trakcie ataku. Wreszcie, niektóre systemy mogą wykorzystywać specjalne systemy wabików, zwane pojemnikami na miód lub wyściełanymi komórkami, jako odwrócenie uwagi napastników. Gdy te systemy są zapewnione, IDS może być skonfigurowany do przekierowywania napastników do środowisk wabików. W szczególnym przypadku zintegrowanej odpowiedzi, występującym w wielu komercyjnych ofertach IPS, IPS jest zintegrowany z przełącznikiem lub routerem. Po wykryciu ataku przełącznik lub router jest rekonfigurowany w locie, aby zablokować źródło ataku. Inne oferty IPS zaprojektowane do radzenia sobie z atakami DDoS wykorzystują wiele IDS / IPS do wykrywania ataków, a następnie manipulują strukturą przełączającą, aby przekierować ataki z docelowych systemów. Z biegiem czasu takie funkcje IPS zostaną prawdopodobnie zintegrowane z urządzeniami infrastruktury sieciowej, podobnie jak wiele funkcji zapory.