Každý kybernetický útok představuje jedinečnou výzvu: univerzální bezpečnostní řešení jsou málokdy účinná. Jako alternativní řešení boje proti hrozbám se někdy porovnávají dvě konkrétní metody:
Dva systémy mají mnoho společného a mohou být stejně užitečné v závislosti na možnostech a konkrétních potřebách společnosti nebo správců webových stránek. Co jsou tedy systémy IDS a IPS a je jeden lepší než druhý?
IDS vs IPS
- Systém detekce narušení (IDS)
IDS skenuje příchozí provoz a hledá potenciální hrozby a kybernetické útoky. Pomocí různých detekčních metod (více o nich později) kontrolují jakoukoli podezřelou aktivitu, která by mohla ohrozit sítě nebo zařízení, které pokrývají. Po zjištění podezřelé nebo zakázané činnosti pak systém odešle zprávu správci webové stránky nebo sítě.
- Systémy prevence narušení (IPS)
IPS zaujímají aktivnější přístup a v případě zjištění hrozby se pokusí zablokovat příchozí provoz. Tento proces staví na stejných detekčních mechanismech jako IDS, ale podporuje je proaktivními preventivními opatřeními.
Jak fungují systémy detekce průniku?
Systém IDS je v podstatě hlídač, který zpozoruje přicházejícího nepřítele a upozorní své nadřízené. Samotný hlídač slouží pouze k vyhledávání hrozeb, nikoliv k jejich neutralizaci. Je to systém navržený tak, aby spolupracoval s lidskými administrátory, kteří pak mohou účinně reagovat na každou jedinečnou hrozbu. Většina systémů IDS spadá do těchto dvou kategorií:
- Systém detekce narušení sítě (NIDS): NIDS monitoruje síťový provoz a hledá všechny potenciální hrozby, aniž by se zaměřoval na jedno zařízení. Tento systém upřednostňují správci provozující rozsáhlý ekosystém připojeného hardwaru nebo aplikací; díky systému NIDS mohou obsáhnout širší síť.
- Host Intrusion Detection System (HIDS): Tento přístup je mnohem specifičtější než NIDS. Na rozdíl od svého protějšku se HIDS zaměřuje pouze na jednoho „hostitele“, zařízení, jako je počítač nebo server. Kromě sledování příchozího provozu, který hardware přijímá, skenuje také software na tomto zařízení a hledá jakoukoli neobvyklou aktivitu.
Důležité je pochopit, že tyto systémy se vzájemně nevylučují. Zatímco systém NIDS může nabídnout skvělé vylepšení zabezpečení celé sítě, systém HIDS poskytuje ochranu konkrétního zařízení. Společně mohou tyto dva přístupy nabídnout vynikající nástroje pro zlepšení zabezpečení na všech úrovních.
Metody detekce
Existují dvě strategie detekce, které jsou primárně využívány systémy IDS. Obě mají své výhody a nevýhody a jejich užitečnost bude do značné míry záviset na kontextu.
- Systémy založené na anomáliích pracují na základě předem stanoveného chápání „nepodezřelé“ síťové aktivity. To znamená, že během instalace softwaru administrátoři definují pravidla pro „normální“ aktivitu, čímž umožní systému „naučit se“, co je normální. Jakmile systém založený na anomáliích definuje, co bude považováno za „normální“ provoz uživatelů, může porovnávat chování a zjišťovat, kdy se stává anomálním.
- Systémy založené na signaturách se spoléhají na předem nastavenou databázi známých hrozeb a s nimi spojeného chování. Systém IDS založený na signaturách prověří každou část příchozího provozu a porovná ji se svým „blacklistem“. Tento seznam může obsahovat cokoli od podezřelých datových paketů spojených s útokem DDOS až po předmět e-mailu, který byl dříve spojen se škodlivým softwarem.
Oba systémy mají své výhody i nevýhody. U detekce založené na anomáliích je mnohem pravděpodobnější, že bude zaměňovat chování, které není škodlivé, za hrozbu, protože cokoli, co se odchyluje od jejího chápání „normálního“, spustí alarm. To samozřejmě není tak velký problém, pokud používáte systém IDS, protože ten by jednoduše upozornil člověka, a ne úplně zablokoval provoz, jak by to udělal systém IPS.
Systémy založené na signaturách postrádají plynulost a možnosti strojového učení, z nichž těží IDS založený na anomáliích. Jakákoli databáze hrozeb je konečná a neustále se objevují nové vzory útoků. Pokud seznam není aktualizován, systém nebude schopen hrozbu zachytit.
Při výběru nejlepší metody detekce pro svůj IDS by se tedy společnosti provozující webové stránky s velkým provozem měly přiklonit k variantě založené na anomáliích.
Jak fungují systémy prevence narušení?
Nejjednodušší způsob, jak pochopit systém IPS, je vnímat jej jako systém IDS s další (a potenciálně převratnou) funkcí: aktivní prevencí.
Pokud jde o podobnosti, většinu systémů IPS lze rozdělit podle stejného principu jako systémy IDS na systémy pro celou síť a systémy pro konkrétní hostitele. Také IPS detekuje hrozby v podstatě stejným způsobem jako IDS, a to buď pomocí signaturního blacklistu, nebo metodou založenou na anomáliích.
Hlavní rozdíl mezi oběma systémy se projeví, jakmile IPS detekuje potenciální hrozbu. Namísto upozornění lidského správce okamžitě spustí preventivní proces a zablokuje a omezí činnost toho, kdo podezřelý provoz odesílá.
V závislosti na softwaru může IPS podezřelý datový paket odmítnout nebo zapojit firewall sítě. V drastických případech může spojení úplně přerušit a znepřístupnit tak webovou stránku nebo aplikaci tomu, koho považuje za hrozbu.
Rozdíl mezi IDS a IPS
Na první pohled se může zdát, že IPS je mnohem účinnější než IDS. Proč byste chtěli pouze detekovat příchozí kybernetické hrozby, když jim můžete automaticky zabránit?
Jedním z problémů IPS je problém falešných pozitivních výsledků. K tomu nedochází často, ale když se tak stane, systém nebude reagovat se stejnými nuancemi, jako by reagoval lidský správce. Po detekci bude domnělá hrozba okamžitě zablokována, i když došlo k omylu. To může vést k zakázání nebo odstranění funkcí webu pro uživatele, kteří nejsou škodliví, bez jakéhokoli lidského dohledu.
Systém IDS útok nebo podezřelý paket nezablokuje, ale rozpozná jej a upozorní správce webu. I když tento systém nemusí být nejrychlejší, umožňuje lidským administrátorům učinit konečné rozhodnutí o tom, jak hrozbě zabránit. To může být lepší strategie než spoléhat se na omylný automatizovaný systém jako na jediného arbitra provozu webových stránek.
Pravda, software IPS se zlepšuje a počet falešně pozitivních detekcí klesá. Systém by tedy mohl být dobrým řešením pro webové stránky, které jsou závislé na vysokém objemu nerušeného provozu.
Kontext je všechno
Jakkoli je lákavé vyvozovat absolutní závěry, kontext je rozhodujícím faktorem, pokud jde o výběr jednoho řešení na úkor druhého.
Každá společnost a každý uživatel bude mít své vlastní bezpečnostní potřeby a bude čelit různým hrozbám a výzvám. Pro interní síť jedné společnosti může být vhodný systém IPS, ale pro velký web s více servery může být lepší volbou systém IDS.
Zvažte přednosti jednotlivých systémů a zjistěte, jakou roli mohou hrát při plnění vašich vlastních bezpečnostních potřeb. Řešení šité na míru je vždy nejefektivnější.
Pro více informací o kybernetické bezpečnosti se přihlaste k odběru našeho měsíčního zpravodaje na blogu níže!