Każdy cyberatak stawia unikalne wyzwania: uniwersalne rozwiązania bezpieczeństwa rzadko są skuteczne. Dwie konkretne metody są czasem porównywane jako alternatywne rozwiązania w walce z zagrożeniami: Intrusion Detection Systems (IDS) i Intrusion Prevention Systems (IPS).
Te dwa systemy mają wiele podobieństw i mogą być równie przydatne, w zależności od możliwości i konkretnych potrzeb firmy lub administratorów witryny. Czym więc są IDS i IPS i czy jeden z nich jest lepszy od drugiego?
IDS vs IPS
- Instrusion Detection System (IDS)
IDS skanują ruch przychodzący w poszukiwaniu potencjalnych zagrożeń i cyberataków. Wykorzystując różne metody detekcji (więcej na ten temat w dalszej części artykułu), sprawdzają, czy nie występuje podejrzana aktywność, która mogłaby zagrozić sieci lub urządzeniom, które obejmują swoim zasięgiem. Po wykryciu podejrzanego lub zabronionego działania system wysyła raport do administratora witryny lub sieci.
- Systemy zapobiegania włamaniom (IPS)
IPS przyjmują bardziej proaktywne podejście i próbują blokować ruch przychodzący w przypadku wykrycia zagrożenia. Proces ten opiera się na tych samych mechanizmach wykrywania co IDS, ale wspiera je proaktywnymi środkami zapobiegawczymi.
Jak działają systemy wykrywania włamań?
System IDS to w zasadzie czujka, która dostrzega nadchodzącego wroga i alarmuje swoich przełożonych. Sam czujnik ma za zadanie jedynie skanowanie w poszukiwaniu zagrożeń, a nie ich neutralizowanie. Jest to system zaprojektowany do współpracy z ludzkimi administratorami, którzy mogą skutecznie reagować na każde zagrożenie. Większość systemów IDS należy do następujących dwóch kategorii:
- Sieciowy system wykrywania włamań (NIDS): NIDS monitoruje ruch sieciowy pod kątem wszelkich potencjalnych zagrożeń, nie skupiając się na jednym urządzeniu. Jest to preferowany system dla administratorów zarządzających dużym ekosystemem połączonego sprzętu lub aplikacji; dzięki NIDS mogą oni zarzucić szerszą sieć.
- Host Intrusion Detection System (HIDS): To podejście jest znacznie bardziej specyficzne niż NIDS. W przeciwieństwie do swojego odpowiednika, HIDS skupia się tylko na pojedynczym „hoście”, urządzeniu takim jak komputer lub serwer. Oprócz monitorowania ruchu przychodzącego, który otrzymuje sprzęt, skanuje również oprogramowanie na tym urządzeniu w poszukiwaniu jakiejkolwiek nietypowej aktywności.
Ważne jest, aby zrozumieć, że te systemy nie wykluczają się wzajemnie. Podczas gdy NIDS może oferować wspaniałe ulepszenia bezpieczeństwa w całej sieci, HIDS zapewnia ochronę specyficzną dla urządzeń. Razem, te dwa podejścia mogą zaoferować doskonałe narzędzia do poprawy bezpieczeństwa na wszystkich poziomach.
Metody detekcji
Istnieją dwie strategie detekcji, które są głównie używane przez IDS. Obie mają swoje zalety i wady, a ich użyteczność w dużej mierze zależy od kontekstu.
- Systemy oparte na anomaliach działają w oparciu o z góry ustalone rozumienie „niepodejrzanej” aktywności sieciowej. Oznacza to, że podczas instalacji oprogramowania administratorzy określają reguły „normalnej” aktywności, pozwalając w ten sposób systemowi „nauczyć się”, co jest normalne. Po zdefiniowaniu przez system oparty na anomaliach tego, co można uznać za „normalny” ruch użytkownika, może on porównywać zachowania i wykrywać, kiedy stają się one anomalne.
- Systemy oparte na sygnaturach bazują na wstępnie ustawionej bazie danych znanych zagrożeń i związanych z nimi zachowań. System IDS oparty na sygnaturach skanuje każdy element ruchu przychodzącego i porównuje go ze swoją „czarną listą”. Lista ta może zawierać wszystko, od podejrzanych pakietów danych związanych z atakiem DDOS po linie tematyczne wiadomości e-mail wcześniej powiązane ze złośliwym oprogramowaniem.
Oba systemy mają swoje wady i zalety. Wykrywanie oparte na anomaliach jest o wiele bardziej prawdopodobne, że pomyli nieszkodliwe zachowanie z zagrożeniem, ponieważ wszystko, co odbiega od jego rozumienia „normalności”, spowoduje uruchomienie alarmu. Nie jest to oczywiście aż tak duży problem, jeśli używasz IDS, ponieważ po prostu powiadomi on człowieka, a nie zablokuje całkowicie ruch, jak IPS.
Systemom opartym na sygnaturach brakuje płynności i możliwości uczenia maszynowego, z których korzysta IDS oparty na anomaliach. Każda baza danych o zagrożeniach jest skończona, a nowe wzorce ataków pojawiają się nieustannie. Jeśli lista nie jest aktualizowana, system nie będzie w stanie wychwycić zagrożenia.
Więc, wybierając najlepszą metodę wykrywania dla swojego systemu IDS, firmy prowadzące witryny o dużym natężeniu ruchu powinny skłaniać się ku opcji opartej na anomaliach.
Jak działają systemy zapobiegania włamaniom?
Najprostszym sposobem zrozumienia systemu IPS jest postrzeganie go jako systemu IDS z dodatkową (i potencjalnie zmieniającą grę) cechą: aktywnym zapobieganiem.
Jeśli chodzi o podobieństwa, większość systemów IPS można sklasyfikować na tej samej zasadzie co IDS, czyli jako systemy obejmujące całą sieć i specyficzne dla hosta. Ponadto, IPS wykrywa zagrożenia w taki sam sposób jak IDS, używając czarnej listy sygnatur lub metody opartej na anomaliach.
Główna różnica między tymi dwoma systemami staje się jasna, gdy IPS wykryje potencjalne zagrożenie. Zamiast powiadamiać administratora, natychmiast uruchamia proces zapobiegawczy, blokując i ograniczając działania tego, kto wysyła podejrzany ruch.
W zależności od oprogramowania, IPS może odrzucić podejrzany pakiet danych lub zaangażować firewall sieci. W drastycznych przypadkach może całkowicie odciąć połączenie, czyniąc witrynę lub aplikację niedostępną dla każdego, kogo uzna za zagrożenie.
Różnice między IDS a IPS
Na pierwszy rzut oka IPS może wydawać się dużo bardziej skuteczny niż IDS. Dlaczego miałbyś chcieć tylko wykrywać przychodzące cyberzagrożenia, skoro możesz im automatycznie zapobiegać?
Jednym z problemów związanych z IPS są fałszywe wyniki pozytywne. Nie zdarza się to często, ale jeśli tak się stanie, system nie zareaguje z takim samym wyczuciem, jak zrobiłby to ludzki administrator. Po wykryciu zagrożenia zostanie ono natychmiast zablokowane, nawet jeśli doszło do pomyłki. Może to spowodować wyłączenie lub usunięcie funkcji witryny dla nieszkodliwych użytkowników bez żadnego nadzoru ze strony człowieka.
System IDS nie zablokuje ataku lub podejrzanego pakietu, ale zamiast tego rozpozna go i powiadomi administratorów witryny. Chociaż system ten może nie być najszybszy, pozwala administratorom podjąć ostateczną decyzję, jak zapobiec zagrożeniu. To może być lepsza strategia niż poleganie na zawodnym automatycznym systemie jako jedynym arbitrze ruchu na stronie.
Być sprawiedliwym, oprogramowanie IPS jest coraz lepsze, a liczba fałszywych alarmów spada. Tak więc, system może być dobrym rozwiązaniem dla witryn, które polegają na dużej ilości niezakłóconego ruchu.
Kontekst jest wszystkim
Kuszące jest wyciąganie absolutnych wniosków, ale kontekst jest czynnikiem decydującym, jeśli chodzi o wybór jednego rozwiązania nad drugim.
Każda firma i każdy użytkownik będzie miał swoje własne potrzeby w zakresie bezpieczeństwa i będzie musiał stawić czoła różnym zagrożeniom i wyzwaniom. System IPS może być odpowiedni dla wewnętrznej sieci jednej firmy, ale dla dużej witryny internetowej z wieloma serwerami lepszym rozwiązaniem może być system IDS.
Należy rozważyć zalety każdego systemu i sprawdzić, jaką rolę mogą one odegrać w spełnieniu własnych potrzeb w zakresie bezpieczeństwa. Dostosowane rozwiązanie jest zawsze najbardziej efektywne.
Aby uzyskać więcej informacji na temat bezpieczeństwa cybernetycznego, zapisz się do naszego miesięcznego biuletynu blogowego poniżej!