Elke cyberaanval stelt ons voor unieke uitdagingen: one-size-fits-all beveiligingsoplossingen zijn zelden effectief. Twee specifieke methoden worden soms vergeleken als alternatieve oplossingen voor het bestrijden van bedreigingen: Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS).
De twee systemen hebben veel overeenkomsten en kunnen even nuttig zijn, afhankelijk van de mogelijkheden en specifieke behoeften van het bedrijf of de website-administrators. Wat zijn IDS en IPS en is de ene beter dan de andere?
IDS vs IPS
- Instrusion Detection System (IDS)
IDS scannen binnenkomend verkeer op potentiële bedreigingen en cyberaanvallen. Met behulp van verschillende detectiemethoden (waarover later meer) controleren ze op verdachte activiteiten die een bedreiging kunnen vormen voor de netwerken of apparaten die ze bestrijken. Als het systeem een verdachte of verboden actie heeft gedetecteerd, stuurt het een rapport naar een website of netwerkbeheerder.
- Intrusion Prevention Systems (IPS)
IPS volgen een meer proactieve aanpak en proberen inkomend verkeer te blokkeren als ze een bedreiging detecteren. Dit proces is gebaseerd op dezelfde detectiemechanismen als IDS, maar ondersteunt deze met proactieve preventiemaatregelen.
Hoe werken inbraakdetectiesystemen?
Een IDS is in wezen een uitkijkpost die de inkomende vijand opmerkt en zijn superieuren waarschuwt. De uitkijk zelf is er alleen om te scannen op bedreigingen, niet om ze te neutraliseren. Het is een systeem dat is ontworpen om samen te werken met menselijke beheerders, die dan effectief kunnen reageren op elke unieke bedreiging. De meeste IDS vallen in deze twee categorieën:
- Network Intrusion Detection System (NIDS): Een NIDS controleert het netwerkverkeer op mogelijke bedreigingen, zonder zich op één apparaat te richten. Dit systeem heeft de voorkeur van beheerders die een groot ecosysteem van aangesloten hardware of toepassingen beheren; met een NIDS kunnen ze een breder net uitwerpen.
- Host Intrusion Detection System (HIDS): Deze benadering is veel specifieker dan NIDS. In tegenstelling tot zijn tegenhanger, richt een HIDS zich alleen op een enkele “host”, een apparaat zoals een computer of een server. Naast het monitoren van inkomend verkeer dat de hardware ontvangt, scant het ook de software op dat apparaat op ongebruikelijke activiteiten.
Het is belangrijk om te begrijpen dat deze systemen elkaar niet uitsluiten. Terwijl NIDS geweldige netwerkbrede beveiligingsverbeteringen kan bieden, biedt HIDS apparaatspecifieke bescherming. Samen kunnen deze twee benaderingen uitstekende hulpmiddelen bieden om de beveiliging op alle niveaus te verbeteren.
Detectiemethoden
Er zijn twee detectiestrategieën die voornamelijk door IDS worden gebruikt. Beide hebben hun eigen voor- en nadelen, en hun nut zal grotendeels afhangen van de context.
- Op anomalieën gebaseerde systemen werken op basis van een vooraf bepaald begrip van “niet-verdachte” netwerkactiviteit. Dit betekent dat beheerders tijdens de installatie van de software de regels voor “normale” activiteit definiëren, waardoor het systeem kan “leren” wat normaal is. Zodra een anomalie-gebaseerd systeem heeft gedefinieerd wat als “normaal” gebruikersverkeer wordt beschouwd, kan het gedrag vergelijken en detecteren wanneer dit afwijkend wordt.
- Systemen op basis van handtekeningen vertrouwen op een vooraf ingestelde database van bekende bedreigingen en het gedrag dat daarmee in verband wordt gebracht. Een IDS op basis van handtekeningen scant elk stukje binnenkomend verkeer en vergelijkt dat met zijn “zwarte lijst”. Die lijst kan van alles bevatten, van verdachte gegevenspakketten die in verband worden gebracht met een DDOS-aanval tot onderwerpregels voor e-mails die eerder aan malware zijn gekoppeld.
Beide systemen hebben hun voor- en nadelen. Bij detectie op basis van anomalieën is de kans veel groter dat niet-malieus gedrag wordt aangezien voor een bedreiging, omdat alles wat afwijkt van wat wordt verstaan onder “normaal”, alarm zal slaan. Het is natuurlijk niet zo’n groot probleem als je een IDS gebruikt, omdat die gewoon een mens waarschuwt in plaats van het verkeer helemaal te blokkeren, zoals een IPS zou doen.
Signature-based systems lack the fluidity and machine-learning capabilities that an anomaly-based IDS benefits from. Elke database van bedreigingen is eindig, en er ontstaan voortdurend nieuwe aanvalspatronen. Als de lijst niet wordt bijgewerkt, zal het systeem niet in staat zijn de bedreiging op te pikken.
Dus, bij het kiezen van de beste detectiemethode voor hun IDS, moeten bedrijven met websites die veel verkeer verwerken, de voorkeur geven aan de anomalie-gebaseerde optie.
Hoe werken Intrusion Prevention Systems?
De eenvoudigste manier om een IPS te begrijpen, is om het te zien als een IDS met een extra (en potentieel spel-veranderende) functie: actieve preventie.
Als het gaat om overeenkomsten, kunnen de meeste IPS worden geclassificeerd langs dezelfde lijnen als IDS in netwerkbreed en host-specifiek. Ook detecteert een IPS bedreigingen op vrijwel dezelfde manier als een IDS, met behulp van een zwarte lijst met handtekeningen of een op anomalieën gebaseerde methode.
Het belangrijkste onderscheid tussen de twee systemen wordt duidelijk zodra een IPS een potentiële bedreiging heeft gedetecteerd. In plaats van een menselijke beheerder te waarschuwen, start het onmiddellijk een preventief proces, waarbij de acties van degene die het verdachte verkeer verzendt, worden geblokkeerd en beperkt.
Afhankelijk van de software kan een IPS het verdachte gegevenspakket afwijzen of de firewall van het netwerk inschakelen. In drastische gevallen kan het de verbinding helemaal verbreken, waardoor de website of applicatie ontoegankelijk wordt voor wie het als een bedreiging beschouwt.
Verschillen tussen IDS en IPS
Op het eerste gezicht lijkt IPS misschien veel effectiever dan IDS. Waarom zou je alleen inkomende cyberbedreigingen willen detecteren als je ze ook automatisch kunt voorkomen?
Eén probleem met IPS is dat van vals-positieven. Dit gebeurt niet vaak, maar als het gebeurt, zal het systeem niet met dezelfde nuance reageren als een menselijke beheerder zou doen. Eenmaal gedetecteerd, zal de waargenomen bedreiging onmiddellijk worden geblokkeerd, zelfs als er een fout is gemaakt. Dit kan ertoe leiden dat websitefuncties worden uitgeschakeld of verwijderd voor niet-kwaadwillende gebruikers zonder enig menselijk toezicht.
Een IDS blokkeert een aanval of een verdacht pakket niet, maar herkent het wel en waarschuwt de websitebeheerders. Hoewel dit systeem misschien niet het snelste is, stelt het menselijke beheerders in staat om de uiteindelijke beslissing te nemen over het voorkomen van een bedreiging. Dit is wellicht een betere strategie dan te vertrouwen op een feilbaar geautomatiseerd systeem als enige arbiter van het websiteverkeer.
Eerlijk gezegd wordt de IPS-software steeds beter en daalt het aantal fout-positieven. Het systeem zou dus een goede oplossing kunnen zijn voor websites die afhankelijk zijn van een grote hoeveelheid ongestoord verkeer.
Context is alles
Hoe verleidelijk het ook is om absolute conclusies te trekken, de context is de doorslaggevende factor als het gaat om het kiezen van de ene oplossing boven de andere.
Elk bedrijf en elke gebruiker heeft zijn eigen beveiligingsbehoeften en wordt geconfronteerd met verschillende bedreigingen en uitdagingen. Een IPS is misschien geschikt voor het interne netwerk van een bedrijf, maar voor een grote website met meerdere servers is een IDS misschien een betere optie.
Weeg de verdiensten van elk systeem af en kijk hoe ze een rol zouden kunnen spelen bij het voldoen aan uw eigen beveiligingsbehoeften. Een oplossing op maat is altijd het meest effectief.
Voor meer inzichten in cyberbeveiliging kunt u zich hieronder abonneren op onze maandelijkse blognieuwsbrief!