This post is also available in: English

Intrusion Prevention System kan meget vel være den næste milepæl i proaktiv netværkssikkerhed. Ræsonnementet bag erklæringen er ikke svært at forstå – en undersøgelse fra juni 2020, der var fokuseret på markederne i Asien og Stillehavet, fandt en 25,07% CAGR (compound annual growth rate) af netværkstrafikanalyser. Væksten er direkte proportionel med en stigning i netværkstrafik-malware (fx Denial of Service, DNS-hijacking, DNS-poisoning osv.).

Denne prognose blev beregnet over en 10-årig tidsramme og vil utvivlsomt ændre sig, når nye ‘spillere’ kommer på banen; og de er ikke langt bagefter. Netwalker, den seneste indenfor RaaS (Ransomware-as-a-Service), er allerede begyndt at hævde sig selv – dette kan kun blive til katastrofe for erhvervssektoren. Denne ildevarslende trussel har samlet mere end $ 25 millioner (og tæller stadig).

Er Intrusion Prevention Systems den gyldne billet til et RaaS-frit online miljø? Jeg er lidt tilbageholdende ved denne erklæring; game-changer er et bedre ord til at beskrive det vidunderlige, nye Intrusion Prevention System – faktisk er det ikke en nyhed, det stadig et bedre valg end at lade dit netværk være ubevogtet. Nu, ad-libs til side, lad os tale om IPS.

Dekonstruktion af et Intrusion Prevention System

Fakta: der er ingen IPS uden IDS (Intrusion Detection System). IDS er IPS’s yang, da IPS er IDS ‘yin. Poesi til side, IDS er en enhed eller endda et stykke software, der aktivt overvåger et system eller netværk for tegn på overtrædelser af politikker eller – relevant for denne artikel – ondsindet aktivitet. De data, der indsamles af et IDS, kan føres til et SIEM (Security Information and Event Management System).

SIEM’er er i talemåde en dampmotor for hele netværkssikkerhedsindsatsen – info indsamlet på SIEM-niveau bruges til at oprette handlingsmæssige rapporter, styrke netværkssikkerhed, identificere (sikkerheds) huller, minimere skader og, hvis relevant, bestemme den bedste fremgangsmåde til at udrydde malware, der muligvis er ‘begravet’ i dine endpoints. IPS’er forveksles undertiden med firewalls, da begge har noget at gøre med netværkssikkerhed. Det siger sig selv, at de to er forskellige, den største forskel mellem de to er IPS’ens evner til at opdage både udvendige og indvendige trusler.

Under alle omstændigheder kan IDS’erne klassificeres i henhold til detektionsmetoderne. Jeg vil bare lægge dem ud her, som de er:

  • NIDS (Network Intrusion Detection Systems) – ‘sniffere’ placeret på nøglepunkter for at overvåge den indgående og igangværende netværkstrafik. NIDS kan fungere i online og offline-tilstand (inline vs. tap). På teknisk niveau inspicerer NIDS Ethernet-pakker. Hvis nogen af ​​dem udviser uregelmæssig aktivitet, er den i stand til at håndhæve regler.

Neurale netværk anvendes ofte til at forbedre NIDS-detekteringsfunktionerne.

  • HIDS (Host Intrusion Prevention Systems) – kan overvåge enheder eller værter på netværket. Sådanne systemer bruges til at analysere udgående og indgående pakker fra den målrettede enhed. Hvis der opdages en uregelmæssighed, underrettes administratoren.
  • Signaturbaseret IDS – detektionsmetode baseret på ondsindede mønstre. Terminologien (ondsindede mønstre ‘ordbog’ og definitioner) stammer fra antivirus.
  • Anomali-baseret IDS – denne detektionsmetode er afhængig af at sammenligne nyligt identificerede – og muligvis ondsindede adfærdsmønstre med en database med ‘normal’ netværksaktivitet. Fun fact: Gartner har autoriseret en ny type anomali-baseret IDS-ramme kaldet UEBA (User and Entity Behavior Analytics).

Så har vi stort set dækket IDS (jeg lover at vende tilbage med en artikel i fuld længde om emnet). Lad os nu tale om Intrusion Prevention Systems.

Forskningsartiklen med titlen “Improving network intrusion detection system performance through the quality of service configuration and parallel technology” (Waleed Bul’ajoul, Anne James og Mandeep Pannu) fortæller om utydeligheden mellem IPS og IDS. Mere specifikt definerede forfatterne en netværksovervågnings- og beskyttelsesramme kaldet IDP’er. Så hvad er disse IDP’er? Ifølge ovennævnte artikel er definitionen af ​​IDP’er som følger:

IDPS-teknologier registrerer og reagerer på uautoriseret adgang til netværkssystemer, hvilket giver realtidsovervågning af netværkstrafik. IDP’er kan være software- eller hardware-baserede eller kan være en kombination af begge. Hardwarebaserede IDP’er er effektive for store organisationer og virksomheder, men er meget dyre.

 Imidlertid kan softwarebaserede IDPS’er, der kører på de samme enheder eller servere, identificere og håndtere angreb genereret indefra eller uden for netværket og kan også beskytte dette netværks sikkerhedspolitikker og deres interne trusler. Implementering af en firewall med en IDPS er en nyttig måde at give ekstra sikkerhed og dermed styrke netværket. 

Fra denne definition kan vi udlede følgende:

  • IDS og IPS arbejder sammen, at opdage er at forhindre.
  • IPS’er kan være hardware- eller softwarebaserede. En honeypot er et godt eksempel på en hardware-baseret IPS (og IDS), men et sådant system kan være svært og dyrt at vedligeholde. På den anden side har honeypots herredømmet over analyser af netværkstrafik.
  • IDP’er er designet til at opdage og håndtere eksterne såvel som interne trusler.
  • Firewalls er hverken IDS eller IPS, selvom de deler nogle tekniske ligheder. I praksis føjes firewalls til IPDS for at forbedre netværkssikkerheden.

IPS og IDS i en nøddeskal (kun til formål for eksempler her; det kan blive udsat for ændringer i din virksomhed):


Intrusion Detection System

The attacker  Internet  Firewall  Switch (IDS + Management System Network Web Server + Email Server.



Intrusion Prevention System

The attacker  Internet  Firewall  IPS → Switch +Management System  CorporateNetwork  Web Server + Email Server.


Som du kan se fra ovenstående figur, er Intrusion Prevention System, hvad enten det er hardware- eller softwarebaseret, placeret meget som en barriere (eller gatekeeper) mellem firmagatewayen (som i dette tilfælde er en switch) og vildmarken (Internettet). For at overforenkle tingene, så opfanger ‘gatekeeper’ uregelmæssige aflæsninger, den vil så reagere i overensstemmelse hermed (håndhæve de nødvendige politikker for at nægte adgang til kritiske værter og\eller enheder).

Nu er ethvert velrenommeret Intrusion Prevention Systems hovedrolle at overvåge netværksaktivitet. Dette indebærer logning, rapportering, identifikation af den ondsindede aktivitet og forsøg på at blokere denne type aktivitet.

Tilsvarende til IDS kan Intrusion Prevention Systems klassificeres baseret på type og detektionsmetode. De fire IPS-typer er:

  1. NIPS (Network-based intrusion prevention system).
  2. WIPS (Wireless intrusion prevention system).
  3. NBA (Network behavior analysis).
  4. HIPS (Host-based intrusion prevention system).

NIPS inspicerer virksomhedsnetværket på protokolniveau. Mistænkelig aktivitet kan analyseres yderligere for at fastslå angrebets (omtrentlige) oprindelse og indholdet af de ondsindede pakker. For at forebygge og afbøde skadelig aktivitet kan NIPS-motoren udføre forskellige handlinger. For eksempel kan NIPS omkonfigurere firewallen for at forhindre fremtidige møder med ondsindede pakker. Det er kun en af ​​måderne, hvorpå HIPS kan hjælpe dig med at slippe af med uønsket indhold. Der er meget mere, hvor det kom fra – og ja, jeg tænker på at lave en dybtgående artikel om NIPS.

Når vi går videre, er WIPS, som er det trådløse modstykke til NIPS – på niveauet er WIPS det logiske trin, man skal tage, hvis virksomhedsnetværket indeholder trådløse enheder og BYOD’er. Funktionelt set deler WIPS mange ligheder med NIPS; begge overvåger netværkstrafik ved at analysere comm-protokolaktiviteten og kan omkonfigurere firewallen i tilfælde af mistænkelig aktivitet.

Den største forskel mellem de to er, at WIPS overvåger trådløse kommunikationsprotokoller (dvs. Bluetooth, Infrarød, Z-Wave, NFC, Wi-Fi, 4G, 5G, LTE Cat osv.), Mens NIPS holder øje med kommunikations protokoller såsom Ethernet, Local Talk, ATM, FDDI, Fast Ethernet osv.

NBA (ikke at forveksle med NBL) er en tolerancebaseret analyseteknik, der kan forbedre din netværkssikkerhed. I det væsentlige aggregerer en netværksadfærdsanalyse forskellige tendenser (dvs. brug af protokoller, brug af båndbredde osv.) og beregner afvigelsen fra standard ops. Alt, der er markeret som mistænkeligt, sendes straks til SIEM til yderligere analyse. NBAs største fordel er dens evne til at opfange zero-days udnyttelser eller nye malware-varianter.

HIPS er en meget kirurgisk tilgang til IPDS. Mens NBA, WIPS og NIPS overvåger aktivitet på netværksniveau, observerer (og beskytter) et værtsbaseret forebyggelsessystem en enkelt vært. Som du måske forestiller dig, har HIPS en lav skalerbarhedsfaktor (omkostninger og vedligeholdelse), men den maksimerer beskyttelsen – meget effektiv, hvis du vil sikre en vært, der indeholder værdifuld info.

Intrusion Prevention Systems anvender forskellige påvisningsmetoder – ingen forebyggelse uden påvisning. Selvom hver leverandør polstrer sin IPS med en ‘hjemmelavet’ detektionsmetode, bygger de alle på følgende detektionsmetoder:

  1. Signaturbaseret detektion = netværkspakker bliver sammenlignes med forudbyggede angrebsprofiler.
  2. Anomali-baseret detektion (statistisk tilgang) = netværkshændelser sammenlignes med en basislinje. Forskellige parametre er under kontrol (dvs. brug af båndbredde og netværkspakker). Hvis der er en afvigelse fra normal adfærd, udløses en alarm. Anomali-baserede detekteringsnet er gode til at finde zero-days malware, men kan producere en masse falsk positive, hvis den ikke konfigureres korrekt.
  3. Stateful protokol detektion = svarer til den statistiske anomali-baserede detektionsmetode. Protokolaktivitet profileres på forhånd for at skabe en baseline. Derefter sammenlignes aktiviteten med basisværdierne.

Mod et omkostningseffektivt Intrusion Prevention System

IPS lyder ret fantastisk, men hvad med prisen? Hvor meget ville det koste, lad os sige, at en lille virksomhed vil oprette et Intrusion Prevention System? Er du klar? $ 161.000 pr. Enhed om året! Ja, du læste rigtigt – det koster over 100.000 at holde en IPS i gang.

  Men det er ikke alt; ovennævnte beløb er sammensat af andre udgifter. I artiklen “Cost-effective management frameworks for intrusion detection systems” afslører forfatterne, at en IDPS kan medføre ekstra omkostninger, hvis vi skulle indregne yderligere netværkssikkerhed som NIDS eller HIP. Desuden nævner den samme artikel, at du har brug for yderligere $ 100.000 om året for din systemadministrator eller den person, der er ansvarlig for IDS- eller IPS-vedligeholdelse.

Det er mange penge, og et sådant system er uden tvivl muligvis ikke muligt for nystartede virksomheder eller virksomheder, der prøver at holde sig flydende, især i disse vanskelige tider. Så hvad kan vi gøre for at nedbringe disse omkostninger uden at ofre sikkerheden? Løsningen er at implementere en one-stop, altomfattende cybersikkerhedsløsning, der har den samme funktionalitet som en fuldgyldig IDPS.

Introduktion til Heimdal™ Security’s Forseti, en perimeter indtrængningsforebyggende løsning, der kan opdage og eliminere zero-days og andengenerations malware. Med Forseti får du også MDM-muligheder. Rapportering og SIEM-muligheder er tilgængelige via Infinity Management, vores webbaserede dashboard.

Konklusion

Intrusion Prevention Systems er det næste trin i netværksbeskyttelse. Det betragtes dog stadig som en slags tilføjelse, ligesom malware-analyse. Hvordan ser du IPS? Gå til kommentarfeltet og lad mig høre hvordan du bruger IPS i din virksomhed.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

GO TO TOP