すべてのサイバー攻撃は独自の課題を提起します。 脅威と戦うための代替ソリューションとして、2つの特定の方法が比較されることがあります。 侵入検知システム (IDS) と侵入防止システム (IPS) です。
この 2 つのシステムには多くの共通点があり、企業や Web サイト管理者の能力や特定のニーズに応じて、同様に有用なものとなりえます。 そこで、IDS と IPS とは何か、そして、一方が他方よりも優れているのかについて説明します。
IDS vs IPS
- Instrusion Detection System (IDS)
IDS は受信するトラフィックに潜在する脅威とサイバー攻撃をスキャンします。 さまざまな検出方法(詳細は後述)を使用して、カバーするネットワークやデバイスを脅かす可能性のある不審なアクティビティをチェックします。 不審な動作や禁止されている動作を検出すると、システムはウェブサイトやネットワーク管理者にレポートを送信します。
- Intrusion Prevention Systems (IPS)
IPS はよりプロアクティブなアプローチをとり、脅威を検出すると受信したトラフィックをブロックしようと試みます。 このプロセスは、IDS と同じ検出メカニズムに基づいていますが、積極的な予防措置でバックアップします。
侵入検知システムはどのように機能するのか
IDSは基本的に、侵入する敵を発見して上位者に警告を発する見張り役です。 見張り台自体は、脅威をスキャンするだけで、無力化するわけではありません。 人間の管理者と連動し、管理者がそれぞれの脅威に効果的に対応できるように設計されたシステムなのです。 ほとんどのIDSは、次の2つのカテゴリに分類されます。
- Network Intrusion Detection System (NIDS)。 NIDS は、1 つのデバイスに焦点を当てることなく、あらゆる潜在的な脅威のためにネットワーク トラフィックを監視します。 これは、接続されたハードウェアやアプリケーションの大規模なエコシステムを実行している管理者に推奨されるシステムで、NIDS を使用すると、より広い網を張ることができます。 このアプローチは、NIDS よりもはるかに具体的です。 HIDS は、NIDS と異なり、単一の「ホスト」、つまりコンピュータやサーバーなどのデバイスにのみ焦点を当てます。 ハードウェアが受け取る受信トラフィックを監視するだけでなく、そのデバイス上のソフトウェアもスキャンして、異常なアクティビティを検出します。 NIDS がネットワーク全体のセキュリティ強化を提供できるのに対して、HIDS はデバイス固有の保護を提供します。 1748>
Detection methods
IDS で主に使用される 2 つの検出ストラテジーがあります。 どちらもそれぞれ長所と短所があり、その有用性はコンテキストに大きく依存します。
- 異常ベースのシステムは、「非疑わしい」ネットワーク活動に関する所定の理解に基づいて動作します。 これは、ソフトウェアのインストール時に、管理者が「正常な」活動のルールを定義することで、システムが正常とは何かを「学習」することを意味する。 シグネチャベースのシステムは、既知の脅威とそれに関連する動作のプリセットデータベースに依存しています。 シグネチャベースの IDS は、受信トラフィックの各ピースをスキャンして、その「ブラックリスト」と比較します。 このリストには、DDOS 攻撃に関連する疑わしいデータ パケットから、以前にマルウェアにリンクされた電子メールの件名行まで、あらゆるものが含まれている可能性があります。 異常ベースの検出は、「正常」という理解から逸脱するものはすべてアラームを作動させるため、悪意のない動作を脅威と勘違いする可能性が高くなります。 もちろん、IDSを使用する場合は、IPSのようにトラフィックを完全にブロックするのではなく、単に人間に通知するだけなので、それほど大きな問題ではありません。
署名ベースのシステムは、異常ベースの IDS の利点である流動性と機械学習機能に欠けています。 脅威のデータベースはどれも有限であり、新しい攻撃パターンが絶えず出現しています。
そのため、IDS に最適な検出方法を選択する場合、トラフィック量の多い Web サイトを運営している企業は、異常ベースのオプションに傾注する必要があります。
IPS を理解する最も簡単な方法は、IDS に追加機能 (そして、ゲームを変える可能性のある機能) であるアクティブな防御を加えたものと見なすことです。
類似点に関して言えば、ほとんどの IPS は IDS と同様にネットワーク全体とホスト固有に分類することができます。 また、IPS は、シグネチャ ブラックリストまたは異常ベースの方法を使用して、IDS とほぼ同じ方法で脅威を検出します。
2つのシステムの主な違いは、IPS が潜在的な脅威を検出したときに明らかになります。 人間の管理者に通知する代わりに、IPS は直ちに予防的プロセスを開始し、疑わしいトラフィックを送信している人の行動をブロックし制限します。
ソフトウェアによっては、IPS は疑わしいデータ パケットを拒否したり、ネットワークのファイアウォールを作動させたりできます。
IDS と IPS の違い
一見すると、IPS は IDS よりもずっと効果的に見えるかもしれません。 IPS の問題の 1 つは、誤検出の問題です。 これは頻繁に起こることではありませんが、起こった場合、システムは人間の管理者が行うのと同じニュアンスで反応することはないでしょう。 いったん検出されると、認識された脅威は、たとえ間違いがあったとしても、直ちにブロックされます。 その結果、悪意のないユーザーに対して、人間の監視なしに Web サイトの機能が無効にされたり削除されたりすることがあります。
IDS は、攻撃や疑わしいパケットをブロックせず、代わりにそれを認識して Web サイト管理者に警告します。 このシステムは最速ではないかもしれませんが、人間の管理者が脅威を防ぐ方法について最終的な決定を下すことができます。 これは、Web サイト トラフィックの唯一の裁定者として、誤りを犯しやすい自動化システムに依存するよりも良い戦略かもしれません。 そのため、このシステムは、中断されない大量のトラフィックに依存している Web サイトにとって、良いソリューションになる可能性があります。
Context is everything
絶対的な結論を導き出すのは難しいですが、他のソリューションよりも1つのソリューションを選択することになると、コンテキストが決定要因になります。
企業やユーザーはそれぞれ独自のセキュリティ ニーズを持っており、異なる脅威や課題に直面しています。 IPS はある企業の内部ネットワークに適しているかもしれませんが、複数のサーバーを持つ大規模な Web サイトでは、IDS の方が良い選択肢かもしれません。
それぞれのシステムのメリットを検討し、自社のセキュリティ ニーズを満たすためにそれらがどのような役割を果たすことができるかを確認します。
サイバーセキュリティに関するより詳しい情報については、以下の月刊ブログニュースレターをご購読ください!
。
- 異常ベースのシステムは、「非疑わしい」ネットワーク活動に関する所定の理解に基づいて動作します。 これは、ソフトウェアのインストール時に、管理者が「正常な」活動のルールを定義することで、システムが正常とは何かを「学習」することを意味する。 シグネチャベースのシステムは、既知の脅威とそれに関連する動作のプリセットデータベースに依存しています。 シグネチャベースの IDS は、受信トラフィックの各ピースをスキャンして、その「ブラックリスト」と比較します。 このリストには、DDOS 攻撃に関連する疑わしいデータ パケットから、以前にマルウェアにリンクされた電子メールの件名行まで、あらゆるものが含まれている可能性があります。 異常ベースの検出は、「正常」という理解から逸脱するものはすべてアラームを作動させるため、悪意のない動作を脅威と勘違いする可能性が高くなります。 もちろん、IDSを使用する場合は、IPSのようにトラフィックを完全にブロックするのではなく、単に人間に通知するだけなので、それほど大きな問題ではありません。