Alle cyberangreb giver unikke udfordringer, og sikkerhedsløsninger, der passer til alle, er sjældent effektive. To bestemte metoder sammenlignes nogle gange som alternative løsninger til bekæmpelse af trusler: Intrusion Detection Systems (IDS) og Intrusion Prevention Systems (IPS).
De to systemer har mange ligheder og kan være lige nyttige, afhængigt af virksomhedens eller webstedsadministratorernes muligheder og specifikke behov. Så hvad er IDS og IPS, og er det ene bedre end det andet?
IDS vs IPS
- Instrusion Detection System (IDS)
IDS scanner indgående trafik for potentielle trusler og cyberangreb. Ved hjælp af forskellige detektionsmetoder (mere om disse senere) kontrollerer de for enhver mistænkelig aktivitet, der kan true de netværk eller enheder, de dækker. Når systemet har opdaget en mistænkelig eller forbudt handling, sender det en rapport til et websted eller en netværksadministrator.
- Intrusion Prevention Systems (IPS)
IPS har en mere proaktiv tilgang og vil forsøge at blokere indgående trafik, hvis de opdager en trussel. Denne proces bygger på de samme detektionsmekanismer som IDS, men bakker dem op med proaktive forebyggelsesforanstaltninger.
Hvordan fungerer Intrusion Detection Systems?
Et IDS er i bund og grund en udkigspost, der spotter den indkommende fjende og alarmerer sine overordnede. Selve udkigsposten er der kun for at scanne efter trusler, ikke for at neutralisere dem. Det er et system, der er designet til at arbejde sammen med menneskelige administratorer, som derefter kan reagere effektivt på hver enkelt unik trussel. De fleste IDS falder ind under disse to kategorier:
- Network Intrusion Detection System (NIDS): Et NIDS overvåger netværkstrafikken for eventuelle potentielle trusler uden at fokusere på en enkelt enhed. Dette er det foretrukne system for administratorer, der kører et stort økosystem af tilsluttet hardware eller programmer; med et NIDS kan de kaste et bredere net ud.
- Host Intrusion Detection System (HIDS): Denne tilgang er meget mere specifik end NIDS. I modsætning til sin modpart fokuserer et HIDS kun på en enkelt “vært”, en enhed som f.eks. en computer eller en server. Ud over at overvåge den indgående trafik, som hardwaren modtager, scanner den også softwaren på den pågældende enhed for usædvanlig aktivitet.
Det er vigtigt at forstå, at disse systemer ikke udelukker hinanden. Mens NIDS kan give store sikkerhedsforbedringer for hele netværket, giver HIDS enhedsspecifik beskyttelse. Sammen kan disse to tilgange tilbyde fremragende værktøjer til at forbedre sikkerheden på alle niveauer.
Detektionsmetoder
Der er to detektionsstrategier, der primært anvendes af IDS. Begge har deres egne fordele og ulemper, og deres anvendelighed vil i høj grad afhænge af konteksten.
- Anomali-baserede systemer opererer ud fra en forudbestemt forståelse af “ikke-suspekt” netværksaktivitet. Det betyder, at administratorer under softwareinstallationen definerer reglerne for “normal” aktivitet, hvilket gør det muligt for systemet at “lære”, hvad normalt er. Når et anomalibaseret system har defineret, hvad der betragtes som “normal” brugertrafik, kan det sammenligne adfærd og registrere, hvornår den bliver unormal.
- Signaturbaserede systemer er baseret på en forudindstillet database over kendte trusler og den adfærd, der er forbundet med dem. Et signaturbaseret IDS scanner hver enkelt del af den indgående trafik og sammenligner den med sin “sortliste”. Denne liste kan indeholde alt fra mistænkelige datapakker, der er forbundet med et DDOS-angreb, til e-mail-emnelinjer, der tidligere har været forbundet med malware.
Både systemer har deres fordele og ulemper. Anomali-baseret detektion er meget mere tilbøjelig til at forveksle ikke-maladisk adfærd med en trussel, fordi alt, der afviger fra dens forståelse af “normalt”, vil udløse alarmen. Det er selvfølgelig ikke så stort et problem, hvis du bruger et IDS, da det blot vil underrette et menneske i stedet for at blokere trafikken helt og holdent, som en IPS ville gøre det.
Signaturbaserede systemer mangler den smidighed og de maskinlæringsmuligheder, som et anomalibaseret IDS nyder godt af. Enhver database over trusler er begrænset, og der dukker hele tiden nye angrebsmønstre op. Hvis listen ikke opdateres, vil systemet ikke være i stand til at opfange truslen.
Så når de skal vælge den bedste detektionsmetode til deres IDS, bør virksomheder, der driver trafikstærke websteder, læne sig op ad den anomalibaserede løsning.
Hvordan fungerer Intrusion Prevention Systems?
Den enkleste måde at forstå et IPS på er at se det som et IDS med en ekstra (og potentielt spilforandrende) funktion: aktiv forebyggelse.
Når det kommer til ligheder, kan de fleste IPS klassificeres efter de samme retningslinjer som IDS i netværksdækkende og værtsspecifikke. Desuden registrerer et IPS trusler på stort set samme måde som et IDS ved hjælp af enten en sortliste med signaturer eller en anomalibaseret metode.
Den vigtigste forskel mellem de to systemer bliver tydelig, når et IPS har registreret en potentiel trussel. I stedet for at underrette en menneskelig administrator iværksætter det straks en forebyggende proces og blokerer og begrænser handlinger fra den person, der sender den mistænkelige trafik.
Afhængigt af softwaren kan et IPS afvise den mistænkelige datapakke eller aktivere netværkets firewall. I drastiske tilfælde kan den helt afbryde forbindelsen og gøre webstedet eller programmet utilgængeligt for den, den anser for at være en trussel.
Forskelle mellem IDS og IPS
Overfladisk kan IPS virke meget mere effektivt end IDS. Hvorfor vil man blot registrere indkommende cybertrusler, når man automatisk kan forhindre dem?
Et problem med IPS er falsk positive resultater. Dette sker ikke ofte, men når det sker, reagerer systemet ikke med den samme nuance, som en menneskelig administrator ville gøre. Når først den er opdaget, vil den opfattede trussel blive blokeret med det samme, selv om der er sket en fejl. Dette kan resultere i, at webstedsfunktioner bliver deaktiveret eller fjernet for ikke-skadelige brugere uden menneskelig overvågning.
Et IDS vil ikke blokere et angreb eller en mistænkelig pakke, men vil i stedet genkende det og advare webstedsadministratorer. Selv om dette system måske ikke er det hurtigste, giver det menneskelige administratorer mulighed for at træffe den endelige beslutning om, hvordan en trussel skal forhindres. Dette kan være en bedre strategi end at stole på et fejlbarligt automatiseret system som den eneste dommer over webstedstrafikken.
For at være fair er IPS-software ved at blive bedre, og antallet af falske positiver er faldende. Så systemet kan være en god løsning for websteder, der er afhængige af en stor mængde uforstyrret trafik.
Konteksten er alt
Hvor fristende det end er at drage absolutte konklusioner, så er konteksten den afgørende faktor, når det gælder om at vælge den ene løsning frem for den anden.
Hver virksomhed og bruger vil have sine egne sikkerhedsbehov og stå over for forskellige trusler og udfordringer. En IPS vil måske være velegnet til en virksomheds interne netværk, men for et stort websted med flere servere vil IDS måske være en bedre løsning.
Afvej fordelene ved de enkelte systemer og se, hvordan de kan spille en rolle i forbindelse med opfyldelsen af dine egne sikkerhedsbehov. En skræddersyet løsning er altid den mest effektive.
For mere indsigt i cybersikkerhed kan du abonnere på vores månedlige blognyhedsbrev nedenfor!