Современные системы обнаружения вторжений являются достойным дополнением к традиционным межсетевым экранам. Они анализируют и контролируют системы и целые сети в режиме реального времени, обнаруживают потенциальные источники опасности и немедленно информируют администратора. Фактическая защита от атаки затем осуществляется с использованием дополнительного программного обеспечения.
Что стоит за IDS (системой обнаружения вторжений)?
Какими бы продвинутыми ни были современные системы безопасности компьютеров и сетей, кибератаки становятся все более изощренными и изощренными. Поэтому целесообразно защищать чувствительную инфраструктуру с помощью различных механизмов. Система обнаружения вторжений (IDS) является первоклассным дополнением к межсетевому экрану : такая система обнаружения атак заранее обнаруживает атаки и потенциальные угрозы и немедленно информирует администраторов. Затем они смогут предпринять необходимые шаги для отражения нападения. Система обнаружения вторжений также может обнаруживать атаки, если они уже преодолели брандмауэр.
В отличие, например, от системы предотвращения вторжений, IDS сама по себе не отражает атаки. Вместо этого система обнаружения вторжений анализирует все действия в сети и сравнивает их с конкретными закономерностями. Если происходят необычные действия, система предупреждает пользователя и предоставляет точную информацию о происхождении и типе атаки.
Какие типы систем обнаружения вторжений существуют?
Различают три типа систем обнаружения вторжений. Они могут быть хостовыми (HIDS) или сетевыми (NIDS) или, альтернативно, использовать гибридный подход, сочетающий в себе принципы HIDS и NIDS.
HIDS: хост-системы обнаружения вторжений
Система обнаружения вторжений на базе хоста является старейшей формой системы безопасности. Здесь IDS устанавливается непосредственно в соответствующую систему. Он анализирует данные непосредственно на уровне журнала и ядра, а также проверяет другие системные файлы. Чтобы обеспечить возможность использования независимых рабочих станций, система обнаружения вторжений на хосте использует так называемые агенты мониторинга, которые предварительно фильтруют трафик данных и пересылают полученные таким образом знания на центральный сервер. Хотя этот подход очень точен и всеобъемлющ, его можно преодолеть, в том числе, с помощью DoS и DDoS-атак. Кроме того, эта система обнаружения вторжений зависит от соответствующей операционной системы.
NIDS: сетевые системы обнаружения вторжений.
Сетевая система обнаружения вторжений сканирует пакеты данных, передаваемые туда и обратно внутри сети. Необычные или отклоняющиеся модели быстро распознаются и о них сообщается. В этом контексте огромный объем отправляемых данных может стать проблематичным. Если это превышает возможности системы обнаружения вторжений, бесперебойный мониторинг больше невозможен.
Гибридная система обнаружения вторжений
Многие провайдеры сейчас полагаются на гибридные системы обнаружения вторжений, сочетающие в себе оба вышеупомянутых подхода. Такая система состоит из датчиков на базе хоста, датчиков на базе сети и уровня управления, на котором результаты собираются вместе и анализируются более глубоко. Управление также осуществляется с этого уровня.
Назначение и преимущества IDS
Систему обнаружения вторжений никогда не следует рассматривать или использовать в качестве замены брандмауэра. Вместо этого он представляет собой первоклассное дополнение, которое в сочетании с межсетевым экраном гораздо лучше идентифицирует угрозы. Поскольку система обнаружения вторжений может анализировать даже самый верхний уровень модели OSI, часто обнаруживаются новые и ранее неизвестные источники опасности. Это применимо, даже если брандмауэр уже преодолен.
Как работает система обнаружения вторжений?
Наиболее часто используемым типом системы обнаружения вторжений является гибридная модель, которая работает как на хосте, так и в сети. Собранная информация оценивается в центральной системе управления с использованием трех различных компонентов.
Монитор данных
Монитор данных использует датчики для сбора всех необходимых данных и фильтрует их по релевантности. С одной стороны, это включает в себя информацию на стороне хоста, такую как файлы журналов и системную информацию. С другой стороны, также учитываются пакеты данных, передаваемые по сети. IDS записывает и сортирует, среди прочего, адреса источника и назначения, а также другие важные свойства. Самым важным требованием является то, чтобы собираемые данные поступали либо из надежного источника, либо из самой системы обнаружения вторжений. Это единственный способ гарантировать, что данные не подверглись манипуляциям заранее.
Анализатор
Вторым компонентом системы обнаружения вторжений является анализатор. При этом оцениваются все полученные и предварительно отфильтрованные данные и используются различные шаблоны. Проверка осуществляется в режиме реального времени, что может создать серьезные проблемы для процессора и, в частности, памяти. Анализ можно провести быстро и качественно только при наличии достаточных мощностей. Для этого в анализаторе есть два разных метода:
- Обнаружение неправильного использования. При обнаружении неправильного использования анализатор проверяет полученные данные на наличие известных шаблонов атак. Они хранятся в отдельной базе данных и постоянно обновляются. Если атака происходит с уже записанной сигнатурой, ее можно обнаружить заранее. Однако атаки, которые на данный момент еще не известны системе, таким образом не обнаруживаются.
- Обнаружение аномалий. Основой обнаружения аномалий является рассмотрение всей системы. Как только один или несколько этапов работы отклоняются от нормы, об этой аномалии сообщается, например, если загрузка ЦП превышает определенное заданное значение или количество обращений к странице увеличивается ненормально. Хронологическая последовательность различных событий также может быть проверена системой обнаружения вторжений, чтобы распознать неизвестные модели атак. Однако при определенных обстоятельствах также могут сообщаться о безобидных аномалиях.
Оповещение
Третий и последний компонент системы обнаружения вторжений — это фактическое оповещение. При обнаружении атаки или хотя бы аномалий система сообщает об этом администратору. Это уведомление можно отправить по электронной почте, через локальную сигнализацию или через сообщение на смартфоне или планшете.
Каковы недостатки системы обнаружения вторжений?
Даже если система обнаружения вторжений является хорошим дополнением к архитектуре безопасности, этот метод не лишен ошибок. Выше мы уже кратко обсудили некоторые возможные недостатки. IDS на базе хоста уязвимы для DDoS-атак, а сетевые системы обнаружения вторжений могут достичь своих пределов в более крупных сетевых структурах и, следовательно, пропускать пакеты данных. В то же время, в зависимости от конфигурации, обнаружение аномалий часто выдает ложные тревожные сообщения. Кроме того, все IDS пригодны только для выявления опасностей. Для защиты от атаки необходимо использовать дополнительное программное обеспечение.
Система обнаружения вторжений: на примере Snort
Одной из самых известных и популярных систем обнаружения вторжений является Snort. Инструмент безопасности, разработанный Мартином Роешем в 1998 году, не только является кроссплатформенным и имеет открытый исходный код, но также предоставляет пользователям обширные меры предотвращения в качестве системы предотвращения вторжений. Программа доступна бесплатно и в платной версии, для которой, например, обновления предоставляются быстрее.
