Minden kibertámadás egyedi kihívást jelent: az egyméretű biztonsági megoldások ritkán hatékonyak. Két konkrét módszert hasonlítanak össze néha alternatív megoldásként a fenyegetések elleni küzdelemben: Intrusion Detection Systems (IDS) és Intrusion Prevention Systems (IPS).
A két rendszer sok hasonlóságot mutat, és egyformán hasznos lehet, a vállalat vagy a weboldal adminisztrátorainak képességeitől és speciális igényeitől függően. Mi tehát az IDS és az IPS, és jobb-e az egyik a másiknál?
IDS vs. IPS
- Behatolásmegelőző rendszer (IDS)
Az IDS a bejövő forgalmat vizsgálja a potenciális fenyegetések és kibertámadások szempontjából. Különböző észlelési módszerek segítségével (ezekről később bővebben) ellenőrzik az általuk lefedett hálózatokat vagy eszközöket fenyegető gyanús tevékenységeket. Miután gyanús vagy tiltott műveletet észleltek, a rendszer jelentést küld a weboldal vagy a hálózat adminisztrátorának.
- Behatolásmegelőző rendszerek (IPS)
Az IPS-ek proaktívabb megközelítést alkalmaznak, és megpróbálják blokkolni a bejövő forgalmat, ha fenyegetést észlelnek. Ez a folyamat ugyanazokra az észlelési mechanizmusokra épül, mint az IDS-ek, de proaktív megelőző intézkedésekkel támogatja őket.
Hogyan működnek a behatolásjelző rendszerek?
Az IDS lényegében egy őrszem, amely kiszúrja a bejövő ellenséget, és riasztja feletteseit. Maga az őrszem csak azért van ott, hogy a fenyegetések után kutasson, nem pedig azért, hogy semlegesítse azokat. Ez egy olyan rendszer, amelyet úgy terveztek, hogy emberi adminisztrátorokkal együttműködve működjön, akik így hatékonyan tudnak reagálni minden egyes egyedi fenyegetésre. A legtöbb IDS ebbe a két kategóriába sorolható:
- Hálózati behatolásjelző rendszer (NIDS): Az NIDS figyeli a hálózati forgalmat a potenciális fenyegetések szempontjából, anélkül, hogy egy eszközre összpontosítana. Ez az összekapcsolt hardverek vagy alkalmazások nagy ökoszisztémáját működtető rendszergazdák által előnyben részesített rendszer; a NIDS segítségével szélesebb hálót vethetnek ki.
- Host Intrusion Detection System (HIDS): Ez a megközelítés sokkal specifikusabb, mint a NIDS. A HIDS a társával ellentétben csak egyetlen “gazdatestre”, egy olyan eszközre összpontosít, mint például egy számítógép vagy egy szerver. A hardver által fogadott bejövő forgalom figyelése mellett az eszközön lévő szoftvert is vizsgálja a szokatlan tevékenységek után.
Fontos megérteni, hogy ezek a rendszerek nem zárják ki egymást. Míg az NIDS nagyszerű hálózati szintű biztonsági fejlesztéseket kínál, addig a HIDS eszközspecifikus védelmet nyújt. Ez a két megközelítés együtt kiváló eszközöket kínálhat a biztonság minden szinten történő javításához.
Érzékelési módszerek
Az IDS-ek elsősorban kétféle érzékelési stratégiát alkalmaznak. Mindkettőnek megvannak a maga előnyei és hátrányai, és hasznosságuk nagyban függ a kontextustól.
- Az anomália-alapú rendszerek a “nem gyanús” hálózati tevékenység előre meghatározott értelmezésén alapulnak. Ez azt jelenti, hogy a szoftver telepítése során a rendszergazdák meghatározzák a “normális” tevékenységre vonatkozó szabályokat, így a rendszer “megtanulja”, hogy mi a normális. Miután egy anomália-alapú rendszer meghatározta, hogy mi tekinthető “normális” felhasználói forgalomnak, össze tudja hasonlítani a viselkedéseket, és felismeri, ha azok rendellenessé válnak.
- A szignatúra-alapú rendszerek az ismert fenyegetések és a hozzájuk kapcsolódó viselkedések előre meghatározott adatbázisára támaszkodnak. A szignatúra-alapú IDS a bejövő forgalom minden egyes darabját megvizsgálja, és összehasonlítja a “feketelistával”. Ez a lista a DDOS-támadással kapcsolatos gyanús adatcsomagoktól kezdve a korábban rosszindulatú szoftverekkel összekapcsolt e-mail tárgysorokig bármit tartalmazhat.
Mindkét rendszernek megvannak az előnyei és hátrányai. Az anomália-alapú észlelés sokkal nagyobb valószínűséggel téveszti össze a nem rosszindulatú viselkedést fenyegetéssel, mivel minden, ami eltér a “normális” fogalmától, riasztást vált ki. Ez persze nem olyan nagy probléma, ha IDS-t használsz, mivel az egyszerűen csak értesít egy embert, ahelyett, hogy teljesen blokkolná a forgalmat, mint az IPS.
A szignatúra-alapú rendszerekből hiányzik az a gördülékenység és gépi tanulási képesség, amelyből egy anomália-alapú IDS profitál. A fenyegetések bármely adatbázisa véges, és folyamatosan új támadási minták jelennek meg. Ha a lista nem frissül, a rendszer nem lesz képes észlelni a fenyegetést.
Az IDS-ük legjobb észlelési módszerének kiválasztásakor tehát a nagy forgalmú webhelyeket üzemeltető vállalatoknak az anomália-alapú lehetőség felé kell hajlaniuk.
Hogyan működnek a behatolásmegelőző rendszerek?
Az IPS megértésének legegyszerűbb módja, ha úgy tekintünk rá, mint egy IDS-re egy további (és potenciálisan játékmegváltoztató) funkcióval: az aktív megelőzéssel.
A hasonlóságokat tekintve a legtöbb IPS az IDS-ekhez hasonlóan hálózati szintű és állomásspecifikus rendszerekbe sorolható. Emellett az IPS nagyjából ugyanúgy észleli a fenyegetéseket, mint az IDS: vagy egy aláírás-feketelista, vagy egy anomália-alapú módszer segítségével.
A két rendszer közötti fő különbség akkor válik világossá, amikor az IPS már észlelt egy potenciális fenyegetést. Az emberi adminisztrátor értesítése helyett azonnal elindít egy megelőző folyamatot, blokkolja és korlátozza a gyanús forgalmat küldő személy tevékenységét.
A szoftvertől függően az IPS visszautasíthatja a gyanús adatcsomagot, vagy bekapcsolhatja a hálózat tűzfalát. Drasztikus esetben akár teljesen megszakíthatja a kapcsolatot, így a weboldal vagy az alkalmazás elérhetetlenné válik az általa fenyegetőnek tartott személy számára.
Különbségek az IDS és az IPS között
Az IPS első pillantásra sokkal hatékonyabbnak tűnhet, mint az IDS. Miért akarná csak észlelni a bejövő kiberfenyegetéseket, ha automatikusan meg is előzhetné őket?
Az IPS egyik problémája a hamis pozitív eredmények. Ez nem gyakran fordul elő, de ha mégis, akkor a rendszer nem reagál olyan árnyaltan, mint egy emberi adminisztrátor tenné. Ha egyszer észleli, a vélt fenyegetést azonnal blokkolja, még akkor is, ha tévedés történt. Ez azt eredményezheti, hogy a weboldal funkciói emberi felügyelet nélkül letiltásra vagy eltávolításra kerülnek a nem rosszindulatú felhasználók számára.
Az IDS nem blokkolja a támadást vagy a gyanús csomagot, hanem felismeri azt, és figyelmezteti a weboldal adminisztrátorait. Bár ez a rendszer talán nem a leggyorsabb, lehetővé teszi az emberi adminisztrátorok számára, hogy meghozzák a végső döntést a fenyegetés elhárításáról. Ez jobb stratégia lehet, mint egy hibás automatizált rendszerre hagyatkozni, mint a webhelyforgalom egyedüli döntőbírájára.
Az IPS-szoftverek javulnak, és a téves pozitív jelzések száma csökken. Így a rendszer jó megoldás lehet olyan webhelyek számára, amelyek nagy mennyiségű, zavartalan forgalomra támaszkodnak.
A kontextus a minden
Bármennyire is csábító abszolút következtetéseket levonni, a kontextus a döntő tényező, amikor az egyik megoldás kiválasztásáról van szó.
Minden vállalatnak és felhasználónak saját biztonsági igényei vannak, és különböző fenyegetésekkel és kihívásokkal kell szembenéznie. Egy IPS alkalmas lehet egy vállalat belső hálózatára, de egy nagy, több szerverrel rendelkező weboldal számára az IDS jobb választás lehet.
Mérlegelje az egyes rendszerek előnyeit, és nézze meg, milyen szerepet játszhatnak a saját biztonsági igényeinek kielégítésében. A személyre szabott megoldás mindig a leghatékonyabb.
További kiberbiztonsági meglátásokért iratkozzon fel havi blog hírlevelünkre az alábbiakban!