Jokaiseen verkkohyökkäykseen liittyy ainutlaatuisia haasteita: yhden koon turvaratkaisut ovat harvoin tehokkaita. Kahta tiettyä menetelmää verrataan toisinaan vaihtoehtoisina ratkaisuina uhkien torjuntaan: Tunkeutumisen havaitsemisjärjestelmät (IDS) ja tunkeutumisen estojärjestelmät (IPS).
Kahdella järjestelmällä on monia yhtäläisyyksiä, ja ne voivat olla yhtä hyödyllisiä riippuen yrityksen tai verkkosivuston ylläpitäjien valmiuksista ja erityistarpeista. Mitä IDS ja IPS sitten ovat, ja onko toinen parempi kuin toinen?
IDS vs. IPS
- Tunkeutumisen havaitsemisjärjestelmä (IDS)
IDS skannaa saapuvan liikenteen mahdollisten uhkien ja verkkohyökkäysten varalta. Erilaisten havaitsemismenetelmien avulla (niistä lisää myöhemmin) ne tarkistavat kaiken epäilyttävän toiminnan, joka saattaa uhata niiden kattamia verkkoja tai laitteita. Kun järjestelmä on havainnut epäilyttävän tai kielletyn toiminnan, se lähettää raportin verkkosivustolle tai verkon ylläpitäjälle.
- Tunkeutumisenestojärjestelmät (Intrusion Prevention Systems, IPS)
IPS-järjestelmät (Intrusion Prevention Systems, IPS)
käyttävät ennakoivampaa lähestymistapaa ja pyrkivät estämään saapuvan liikenteen, jos ne havaitsevat uhan. Tämä prosessi perustuu samoihin havaintomekanismeihin kuin IDS, mutta tukee niitä ennakoivilla torjuntatoimenpiteillä.
Miten tunkeutumisen havaitsemisjärjestelmät toimivat?
IDS on pohjimmiltaan vahti, joka havaitsee saapuvan vihollisen ja hälyttää esimiehensä. Itse tähystäjän tehtävänä on vain skannata uhkia, ei neutralisoida niitä. Se on järjestelmä, joka on suunniteltu toimimaan yhdessä ihmisylläpitäjien kanssa, jotka voivat sitten reagoida tehokkaasti kuhunkin ainutlaatuiseen uhkaan. Useimmat IDS-järjestelmät kuuluvat näihin kahteen luokkaan:
- Network Intrusion Detection System (NIDS): NIDS tarkkailee verkkoliikennettä mahdollisten uhkien varalta keskittymättä yhteen laitteeseen. Tätä järjestelmää suosivat ylläpitäjät, joilla on suuri ekosysteemi yhdistettyjä laitteistoja tai sovelluksia; NIDS:n avulla he voivat heittää laajemman verkon.
- Host Intrusion Detection System (HIDS): Tämä lähestymistapa on paljon tarkempi kuin NIDS. Toisin kuin sen vastine, HIDS keskittyy vain yhteen ”isäntään”, laitteeseen, kuten tietokoneeseen tai palvelimeen. Sen lisäksi, että se tarkkailee laitteiston vastaanottamaa saapuvaa liikennettä, se skannaa myös kyseisen laitteen ohjelmiston epätavallisen toiminnan varalta.
On tärkeää ymmärtää, että nämä järjestelmät eivät sulje toisiaan pois. Vaikka NIDS voi tarjota suuria koko verkon laajuisia tietoturvan parannuksia, HIDS tarjoaa laitekohtaista suojausta. Yhdessä nämä kaksi lähestymistapaa voivat tarjota erinomaisia työkaluja turvallisuuden parantamiseen kaikilla tasoilla.
Havaitsemismenetelmät
IDS-järjestelmissä käytetään pääasiassa kahta havaitsemisstrategiaa. Molemmilla on omat hyvät ja huonot puolensa, ja niiden hyödyllisyys riippuu pitkälti asiayhteydestä.
- Anomaliapohjaiset järjestelmät toimivat ennalta määritellyn käsityksen perusteella ”epäilyttävästä” verkkotoiminnasta. Tämä tarkoittaa, että ohjelmiston asennuksen aikana ylläpitäjät määrittelevät säännöt ”normaalille” toiminnalle, jolloin järjestelmä ”oppii”, mikä on normaalia. Kun poikkeavuuksiin perustuva järjestelmä on määritellyt, mitä pidetään ”normaalina” käyttäjäliikenteenä, se voi verrata käyttäytymistä ja havaita, milloin se muuttuu poikkeavaksi.
- Signatuuripohjaiset järjestelmät tukeutuvat ennalta määritettyyn tietokantaan tunnetuista uhkista ja niihin liittyvistä käyttäytymistavoista. Allekirjoituspohjainen IDS skannaa jokaisen saapuvan liikenteen ja vertaa sitä ”mustaan listaansa”. Luettelo voi sisältää mitä tahansa DDOS-hyökkäykseen liittyvistä epäilyttävistä datapaketeista sähköpostin otsikkoriveihin, jotka on aiemmin yhdistetty haittaohjelmiin.
Molemmissa järjestelmissä on hyvät ja huonot puolensa. Poikkeavuuksiin perustuva havaitsemisjärjestelmä erehtyy paljon todennäköisemmin pitämään ei-haitallisia toimintatapoja uhkana, koska kaikki, mikä poikkeaa sen käsityksestä ”normaalista”, laukaisee hälytyksen. Se ei tietenkään ole niin suuri ongelma, jos käytät IDS-järjestelmää, koska se vain ilmoittaa asiasta ihmiselle eikä estä liikennettä kokonaan, kuten IPS-järjestelmä.
Allekirjoituspohjaisista järjestelmistä puuttuu sujuvuus ja koneoppimisominaisuudet, joista anomaliapohjainen IDS hyötyy. Mikä tahansa uhkatietokanta on rajallinen, ja uusia hyökkäysmalleja syntyy jatkuvasti. Jos luetteloa ei päivitetä, järjestelmä ei pysty havaitsemaan uhkaa.
Valittaessa parasta havaitsemismenetelmää IDS-järjestelmäänsä yritysten, jotka ylläpitävät vilkkaasti liikennöityjä verkkosivustoja, tulisi siis kallistua anomaliapohjaisen vaihtoehdon puoleen.
Miten tunkeutumisenestojärjestelmät toimivat?
Yksinkertaisin tapa ymmärtää IPS-järjestelmä on nähdä se IDS-järjestelmänä, jolla on ylimääräinen (ja mahdollisesti peliä muuttava) ominaisuus: aktiivinen torjunta.
Mikäli on kyse samankaltaisuuksista, useimmat IPS-järjestelmät voidaan luokitella samoilla linjoilla kuin IDS-järjestelmät verkon laajuisiin ja isäntäkohtaisiin. Lisäksi IPS havaitsee uhat pitkälti samalla tavalla kuin IDS, käyttäen joko allekirjoitukseen perustuvaa mustaa listaa tai anomaliapohjaista menetelmää.
Tärkein ero näiden kahden järjestelmän välillä tulee selväksi, kun IPS on havainnut mahdollisen uhan. Sen sijaan, että se ilmoittaisi asiasta ihmishallinnolle, se käynnistää välittömästi ennaltaehkäisevän prosessin, joka estää ja rajoittaa epäilyttävän liikenteen lähettäjän toimia.
Ohjelmistosta riippuen IPS voi hylätä epäilyttävän datapaketin tai kytkeä verkon palomuurin päälle. Jyrkissä tapauksissa se voi katkaista yhteyden kokonaan ja tehdä verkkosivuston tai sovelluksen saavuttamattomissa olevaksi sille, jota se pitää uhkana.
IDS:n ja IPS:n väliset erot
Ensi silmäyksellä IPS saattaa vaikuttaa paljon tehokkaammalta kuin IDS. Miksi haluaisit vain havaita saapuvat kyberuhat, kun voisit estää ne automaattisesti?
Yksi IPS:n ongelmista ovat väärät positiiviset tulokset. Tätä ei tapahdu usein, mutta kun näin tapahtuu, järjestelmä ei reagoi samalla vivahteikkuudella kuin ihmishallinnoija reagoi. Kun havaittu uhka havaitaan, havaittu uhka estetään välittömästi, vaikka olisi tapahtunut virhe. Tämä voi johtaa siihen, että verkkosivuston toiminnot poistetaan käytöstä tai poistetaan muilta kuin ilkivaltaisilta käyttäjiltä ilman ihmisen suorittamaa valvontaa.
IDS-järjestelmä ei estä hyökkäystä tai epäilyttävää pakettia, vaan tunnistaa sen ja varoittaa verkkosivuston ylläpitäjiä. Vaikka tämä järjestelmä ei ehkä olekaan nopein, se antaa ihmishallinnoijien tehdä lopullisen päätöksen siitä, miten uhka estetään. Tämä saattaa olla parempi strategia kuin luottaa virheelliseen automaattiseen järjestelmään verkkosivuston liikenteen ainoana ratkaisijana.
Ollaksemme reiluja, IPS-ohjelmistot kehittyvät ja väärien positiivisten tulosten määrä vähenee. Järjestelmä voi siis olla hyvä ratkaisu sivustoille, jotka luottavat suureen määrään häiriötöntä liikennettä.
Konteksti on kaikki kaikessa
Niin houkuttelevaa kuin absoluuttisten johtopäätösten tekeminen onkin, konteksti on ratkaiseva tekijä, kun on kyse yhden ratkaisun valitsemisesta toisen sijaan.
Jokaisella yrityksellä ja käyttäjällä on omat tietoturvatarpeensa ja ne kohtaavat erilaisia uhkia ja haasteita. IPS saattaa sopia yhden yrityksen sisäverkkoon, mutta suuri verkkosivusto, jolla on useita palvelimia, saattaa pitää IDS:ää parempana vaihtoehtona.
Punnitse kunkin järjestelmän ansioita ja katso, miten ne voisivat toimia omien tietoturvatarpeidesi täyttämisessä. Räätälöity ratkaisu on aina tehokkain.
Jos haluat lisää tietoverkkoturvallisuuteen liittyviä oivalluksia, tilaa kuukausittainen blogiuutiskirjeemme alla!