แนะนำระบบตรวจจับการบุกรุก (IDS / IPS) และมันคุ้มค่าหรือไม่

ฉันได้ลองใช้ระบบ IDS และ IPS บนเครือข่ายที่หลากหลายตลอดหลายปีที่ผ่านมาและไม่เคยพอใจกับผลลัพธ์ที่ได้ ทั้งระบบนั้นยากเกินกว่าที่จะจัดการเพียงถูกกระตุ้นจากการหาประโยชน์ที่รู้จักกันดีบนพื้นฐานของลายเซ็นเก่า ๆ

ไม่ว่าในกรณีใดฉันไม่รู้สึกว่าพวกเขาให้การป้องกันที่แท้จริงสำหรับเครือข่ายของเรา ในบางกรณีพวกเขาเป็นอันตรายเนื่องจากการเชื่อมต่อที่ถูกต้องลดลงหรือเพียงแค่ความล้มเหลวธรรมดา

ในช่วงไม่กี่ปีที่ผ่านมาฉันแน่ใจว่าสิ่งต่าง ๆ มีการเปลี่ยนแปลงดังนั้นวันนี้ระบบ IDS ที่แนะนำคืออะไร พวกเขามีฮิวริสติกที่ทำงานและไม่แจ้งเตือนเกี่ยวกับทราฟฟิกที่ถูกต้องหรือไม่?

หรือจะดีกว่าที่จะใช้ไฟร์วอลล์ที่ดีและโฮสต์ที่ชุบแข็งหรือไม่

หากคุณแนะนำระบบคุณจะรู้ได้อย่างไรว่าทำงานได้อย่างไร

ตามที่บางคนกล่าวถึงในคำตอบด้านล่างเราจะได้รับคำติชมเกี่ยวกับระบบตรวจจับการบุกรุกโฮสต์เนื่องจากมีความเกี่ยวข้องอย่างใกล้ชิดกับ IDS บนเครือข่าย

สำหรับการตั้งค่าปัจจุบันของเราเราจะต้องตรวจสอบเครือข่ายสองเครือข่ายที่มีแบนด์วิดท์ทั้งหมด 50mbps ฉันกำลังมองหาข้อเสนอแนะในโลกแห่งความจริงที่นี่ไม่ใช่รายการของอุปกรณ์หรือบริการที่สามารถทำ IDS ได้

หลายปีที่ผ่านมาฉันได้ตรวจสอบระบบป้องกันการบุกรุกหลายระบบ

ฉันต้องการปรับใช้บางสิ่งระหว่างสถานที่สองแห่งกับเครือข่ายองค์กร
ระบบนี้มีการจัดการและตรวจสอบที่ง่าย (สิ่งที่สามารถมอบให้กับเจ้าหน้าที่แผนกช่วยเหลือระดับที่สอง) การแจ้งเตือนและการรายงานอัตโนมัติก็จำเป็นเช่นกัน

ระบบที่ฉันเลือกก็คือ IPS จาก Tipping Point เรายังคงชอบมันหลังจากอยู่ในสถานที่เป็นเวลาหลายปี การใช้งานของเรารวมถึงการสมัครรับวัคซีนดิจิทัลของพวกเขาซึ่งผลักดันให้เกิดช่องโหว่และใช้ประโยชน์จากกฎประจำสัปดาห์

ระบบมีประโยชน์อย่างมากในการเฝ้าดูสิ่งที่เกิดขึ้น (การเตือน แต่ไม่ต้องดำเนินการใด ๆ ) รวมถึงระบบบล็อกหรือกักกันโดยอัตโนมัติ

สิ่งนี้กลายเป็นเครื่องมือที่มีประโยชน์มากสำหรับการค้นหาและแยกคอมพิวเตอร์ที่ติดมัลแวร์รวมถึงการปิดกั้นการรับส่งสัญญาณแบนด์วิธหรือนโยบายความปลอดภัยที่เกี่ยวข้องโดยไม่ต้องทำงานกับรายการควบคุมการเข้าถึงเราเตอร์

http://www.tippingpoint.com/products_ips.html

หนึ่งความคิด คุณถามว่า "พวกเขาคุ้มค่าหรือไม่" ฉันเกลียดที่จะให้คำตอบที่ไม่ใช่ด้านเทคนิค แต่ถ้าองค์กรของคุณจำเป็นต้องมี IDS เพื่อระบุหน่วยงานกำกับดูแลที่คุณปฏิบัติตามกฎระเบียบบางอย่างหรืออื่น ๆ แม้ว่าคุณจะพบว่าจากมุมมองของเทคโนโลยีอุปกรณ์ไม่ได้ให้ คุณสิ่งที่คุณต้องการพวกเขาอาจนิยาม "คุ้มค่า" ถ้าพวกเขาทำให้คุณปฏิบัติตาม

ฉันไม่ได้แนะนำว่า "ไม่สำคัญว่าจะดีหรือไม่" เห็นได้ชัดว่ามีบางสิ่งที่ทำผลงานได้ดีเป็นที่นิยมในบางสิ่งที่ไม่ดี แต่การเข้าถึงการปฏิบัติตามกฎระเบียบเป็นเป้าหมายในตัวของมันเอง

ระบบตรวจจับการบุกรุกเป็นเครื่องมือที่มีค่า แต่จำเป็นต้องใช้อย่างถูกต้อง หากคุณถือว่า NIDS ของคุณเป็นระบบที่ใช้การแจ้งเตือนเมื่อการแจ้งเตือนสิ้นสุดคุณจะได้รับความผิดหวัง (โอเคสร้างการแจ้งเตือน X แล้วฉันต้องทำอะไรตอนนี้)

ฉันขอแนะนำให้ดูที่วิธีการตรวจสอบความปลอดภัยเครือข่าย NSM ที่คุณผสม NIDS (ระบบแจ้งเตือน) กับข้อมูลเซสชันและเนื้อหาดังนั้นคุณสามารถตรวจสอบการแจ้งเตือนใด ๆ และปรับแต่งระบบ IDS ของคุณได้ดีขึ้น

* ฉันเชื่อมโยงไม่ได้ดังนั้นแค่ google เพื่อความปลอดภัยหรือ NSM

นอกเหนือจากข้อมูลบนเครือข่ายแล้วหากคุณผสม HIDS + LIDS (การตรวจจับการบุกรุกตามล็อก) คุณจะได้รับมุมมองที่ชัดเจนว่าเกิดอะไรขึ้น

** นอกจากนี้อย่าลืมว่าเครื่องมือเหล่านี้ไม่ได้หมายถึงการปกป้องคุณจากการถูกโจมตี แต่เพื่อทำหน้าที่เป็นกล้องรักษาความปลอดภัย (การเปรียบเทียบทางกายภาพ) เพื่อให้สามารถตอบสนองเหตุการณ์ได้อย่างเหมาะสม

ในการมี IDS ที่ดีคุณต้องมีหลายแหล่ง หาก IDS มีการแจ้งเตือนหลายรายการจากหลาย ๆ แหล่งสำหรับการโจมตีเดียวกันมันจะสามารถเริ่มการแจ้งเตือนที่มีความหมายมากกว่าทั้งหมดแล้วเพียงแค่การแจ้งเตือนมาตรฐาน

นี่คือเหตุผลที่คุณต้องเชื่อมโยงเอาต์พุตจาก HIDS (Host IDS) เช่น OSSEC และ NIDS (Network IDS) เช่น Snort ซึ่งสามารถทำได้โดยใช้โหมโรงตัวอย่างเช่น โหมโรงจะรวบรวมและเชื่อมโยงการแจ้งเตือนเพื่อให้สามารถสร้างคำเตือนความปลอดภัยที่แท้จริงซึ่งมีความหมายมากขึ้น พูดตามตัวอย่างที่คุณมีการโจมตีเครือข่ายถ้ามันยังคงมีการโจมตีเครือข่ายมันอาจจะไม่มีอะไรเลวร้ายเกินไป แต่ถ้ามันกลายเป็นการโจมตีของโฮสต์

ในความคิดของฉัน IDS / IPS นอกชั้นวางไม่คุ้มค่าเว้นแต่คุณจะทราบลักษณะที่แน่นอนของกิจกรรมทั้งหมดที่ควรเห็นในเครือข่ายของคุณ คุณสามารถผลักดันตัวเองให้สร้างข้อยกเว้นสำหรับพฤติกรรมผู้ใช้ที่โง่และแอปพลิเคชันที่ทำงานผิดปกติ (ถูกกฎหมาย) ในเครือข่ายที่ไม่ได้ล็อคอย่างสูงฉันพบว่าเสียงดังล้นหลามในทุกระบบที่ฉันใช้ นั่นเป็นเหตุผลที่ในที่สุดเราก็นำกระดูกสันหลังไปไว้ในเครื่องลินุกซ์ตัวเดียวที่รันโค้ด C ที่กำหนดเอง รหัสชิ้นหนึ่งนั้นห่อหุ้มความแปลกประหลาดทั้งหมดที่เรารู้และสิ่งอื่นที่น่าสงสัย

ถ้าคุณทำมีเครือข่ายที่ถูกขังสูงลงระบบที่ดีที่สุดจะมีการเรียงลำดับของการทำงานร่วมกับอุปกรณ์ของคุณปริมณฑลบางส่วนเพื่อให้มีการแข่งขันนโยบายที่สมบูรณ์

เท่าที่ทราบว่ามันทำงานได้ดีวิธีที่ดีที่สุดคือการโจมตีด้วยตัวเองเป็นระยะ

ฉันคิดว่าระบบ IDS / IPS ใด ๆ จะต้องได้รับการปรับแต่งให้เข้ากับสภาพแวดล้อมของคุณเพื่อรับประโยชน์ที่แท้จริง มิฉะนั้นคุณจะถูกน้ำท่วมด้วยผลบวกผิด ๆ แต่ IDS / IPS จะไม่แทนที่ไฟร์วอลล์ที่เหมาะสมและการทำให้เซิร์ฟเวอร์แข็งตัว

เราใช้หน่วย Fortigate ที่ฉันทำงานมาตลอดปีที่แล้วและมีความสุขกับมันมาก มันทำอะไรได้มากกว่าแค่ IDS / IPS ดังนั้นมันอาจจะไม่ใช่สิ่งที่คุณกำลังมองหา แต่มันก็คุ้มค่าที่จะดู

กฎ IDS / IPS จะอัปเดตโดยอัตโนมัติ (ค่าเริ่มต้น) หรือสามารถอัปเดตได้ด้วยตนเอง ฉันพบว่ากฎของ IDS / IPS นั้นจัดการได้ง่ายเช่นกันผ่านทางเว็บอินเตอร์เฟส ฉันคิดว่าการจัดการที่ง่ายดายนั้นเกิดจากการแบ่งการป้องกันออกเป็นส่วนกำหนดค่าการป้องกันที่คุณกำหนดให้กับกฎของไฟร์วอลล์ ดังนั้นแทนที่จะดูกฎทั้งหมดในทุก ๆ แพ็กเก็ตบนเครือข่ายคุณจะได้รับการปกป้องและการแจ้งเตือนที่เน้นมากขึ้น

ที่องค์กรของเราเรามี IDSes อยู่ในปัจจุบันรวมถึงระบบเชิงพาณิชย์และแบบเปิด นี่เป็นส่วนหนึ่งของการพิจารณาทางประวัติศาสตร์ที่เกิดขึ้นในมหาวิทยาลัยและเหตุผลด้านประสิทธิภาพ ที่ถูกกล่าวว่าฉันจะพูดคุยเกี่ยวกับ Snort เล็กน้อย

ฉันได้เปิดตัวเซ็นเซอร์ snort ทั่วทั้งองค์กรเป็นระยะเวลาหนึ่งแล้ว นี่เป็นอาร์เรย์ขนาดเล็กในปัจจุบัน (คิด <10) กำหนดขอบเขตเพื่อให้ถึงสองสามโหล สิ่งที่ฉันได้เรียนรู้จากกระบวนการนี้มีค่ามาก; โดยหลักแล้วจะใช้เทคนิคในการจัดการทั้งจำนวนการแจ้งเตือนที่มาถึงรวมถึงการจัดการโหนดที่มีการกระจายสูงจำนวนมาก การใช้ MRTG เป็นแนวทางเรามีเซ็นเซอร์ที่เห็นค่าเฉลี่ย 5Mbps สูงสุด 96MBps โปรดทราบว่าสำหรับวัตถุประสงค์ของคำตอบนี้ฉันกำลังพูดถึง IDS ไม่ใช่ IDP

ผลการวิจัยที่สำคัญคือ:

1. Snort เป็น IDS ที่มีคุณสมบัติครบถ้วนและสามารถเก็บฟีเจอร์ wrt ของตัวเองได้อย่างง่ายดาย
2. การแจ้งเตือนที่น่าสนใจที่สุดมาจากโครงการภัยคุกคามที่กำลังเกิดขึ้น
3. WSUS ส่งผลให้เกิดผลบวกปลอมจำนวนมากโดยส่วนใหญ่มาจากตัวประมวลผลล่วงหน้า sfPortscan
4. เซ็นเซอร์มากกว่า 2/3 ใด ๆ ต้องมีการกำหนดค่าที่ดีและระบบการจัดการแพทช์
5. คาดว่าจะเห็นมากจำนวนมากบวกเท็จจนการปรับแต่งในเชิงรุกที่จะดำเนินการ
6. BASE ปรับขนาดได้ไม่ดีนักเมื่อมีการเตือนจำนวนมากและ snort ไม่มีระบบการจัดการการแจ้งเตือนในตัว

เพื่อความยุติธรรมในการพูดพล่ามฉันได้สังเกตเห็น 5 ในระบบจำนวนมากรวมถึง Juniper และ Cisco ฉันยังได้รับการบอกเล่าเรื่องราวของ Snort ที่สามารถติดตั้งและกำหนดค่าได้ง่ายกว่า TippingPoint แม้ว่าฉันจะไม่เคยใช้ผลิตภัณฑ์นั้น

สรุปแล้วฉันมีความสุขมากกับ Snort ฉันต้องการเปิดใช้กฎส่วนใหญ่เป็นส่วนใหญ่และใช้เวลาในการปรับแต่งมากกว่าจะผ่านกฎหลายพันข้อและเลือกว่าจะเปิดใช้กฎใด นี่ทำให้เวลาที่ใช้ปรับจูนสูงขึ้นเล็กน้อย แต่ฉันวางแผนตั้งแต่เริ่มแรก นอกจากนี้เมื่อโครงการนี้กำลังกระโจนขึ้นเราก็ต้องซื้อ SEIM ซึ่งทำให้ง่ายต่อการประสานงานทั้งสอง ดังนั้นฉันจึงสามารถใช้ประโยชน์จากความสัมพันธ์และการรวมล็อกที่ดีระหว่างกระบวนการปรับแต่ง หากคุณไม่มีผลิตภัณฑ์ดังกล่าวการปรับค่าประสบการณ์ของคุณอาจแตกต่างกัน

Sourcefire มีระบบที่ดีและมีส่วนประกอบที่ช่วยค้นพบเมื่อทราฟฟิกใหม่ที่ไม่คาดคิดเริ่มเล็ดลอดออกมาจากระบบ เรารันในโหมด IDS แทนที่จะเป็นโหมด IPS เนื่องจากมีปัญหาที่การรับส่งข้อมูลที่ถูกกฎหมายอาจถูกปิดกั้นดังนั้นเราจึงตรวจสอบรายงานและโดยรวมแล้วดูเหมือนว่าจะทำงานได้ค่อนข้างดี

ก่อนที่คุณจะสามารถตอบ IDS / IPS ที่คุณต้องการฉันต้องการเข้าใจสถาปัตยกรรมความปลอดภัยของคุณให้ดีขึ้น คุณใช้อะไรในการกำหนดเส้นทางและเปลี่ยนเครือข่ายของคุณมาตรการความปลอดภัยอื่น ๆ ที่คุณมีในสถาปัตยกรรมความปลอดภัยของคุณคืออะไร

อะไรคือความเสี่ยงที่คุณกำลังพยายามลดลงเช่นสินทรัพย์ข้อมูลใดที่มีความเสี่ยงและจากอะไร

คำถามของคุณกว้างเกินไปที่จะให้อะไรก็ได้ แต่สิ่งที่ผู้คนคิดเกี่ยวกับผลิตภัณฑ์ X และสิ่งที่ดีที่สุดสำหรับเหตุผล X

การรักษาความปลอดภัยเป็นกระบวนการลดความเสี่ยงและการใช้งานโซลูชั่นรักษาความปลอดภัยด้านไอทีจะต้องสอดคล้องกับความเสี่ยงที่ระบุไว้ เพียงแค่โยน IDS / IPS เข้าสู่เครือข่ายของคุณตามสิ่งที่ผู้คนคิดว่าเป็นผลิตภัณฑ์ที่ดีที่สุดไม่มีประโยชน์และเสียเวลาและเงิน

ไชโยเชน

Snort รวมกับ ACID / BASE สำหรับการรายงานเป็นเรื่องค่อนข้างลื่นสำหรับผลิตภัณฑ์ OSS ฉันจะลองอย่างน้อยก็เพื่อให้เท้าของคุณเปียก

ระบบตรวจจับการบุกรุกเป็นมากกว่า NIDS (ระบบเครือข่าย) ฉันพบว่าสำหรับสภาพแวดล้อมของฉัน HIDS มีประโยชน์มากกว่า ขณะนี้ฉันกำลังใช้ OSSEC ซึ่งตรวจสอบบันทึกไฟล์ของฉันและอื่น ๆ

ดังนั้นหากคุณยังไม่ได้รับคุณค่าของ Snort เพียงพอลองใช้วิธีอื่น อาจ modsecurity สำหรับ apache หรือ ossec สำหรับการวิเคราะห์บันทึก

ฉันรู้ว่าผู้คนจำนวนมากจะใช้วิธีแก้ปัญหา snort และมันก็เป็นเรื่องดี - snort และ sguil เป็นส่วนผสมที่ดีสำหรับการตรวจสอบ subnets หรือ VLANs ที่แตกต่างกัน

ขณะนี้เราใช้Strataguard จาก StillSecureเป็นการใช้งานแบบ snort บนตัวกระจาย GNU / Linux มันง่ายมากที่จะเริ่มต้นและใช้งาน (ง่ายกว่า snort เพียงอย่างเดียว) มีเวอร์ชันฟรีสำหรับสภาพแวดล้อมที่มีแบนด์วิดธ์ต่ำกว่าและเว็บอินเตอร์เฟสที่ใช้งานง่ายและมีประโยชน์มาก ทำให้ง่ายต่อการอัพเดตปรับเปลี่ยนและกฎการวิจัย

แม้ว่าจะสามารถติดตั้งในโหมด IPS และล็อคไฟร์วอลล์ให้คุณโดยอัตโนมัติ แต่เราใช้ในโหมด IDS เท่านั้น - ติดตั้งไว้ที่พอร์ตมอนิเตอร์บนสวิตช์ส่วนกลางของเราเปิด NIC ตัวที่สองเพื่อการจัดการและใช้งานได้ดีสำหรับ กลั่นกรองการจราจร จำนวนของผลบวกผิด ๆ (การปรับจูนล่วงหน้าอย่างละเอียด) เป็นข้อเสียเพียงอย่างเดียว แต่สิ่งนี้ทำให้เรารู้ว่ามันใช้งานได้และส่วนต่อประสานทำให้ง่ายต่อการตรวจสอบลายเซ็นกฎตรวจสอบแพ็คเก็ตที่ถูกจับ ดังนั้นหนึ่งสามารถตัดสินใจว่าการแจ้งเตือนเป็นปัญหาจริงหรือไม่และปรับการแจ้งเตือนหรือกฎตามความจำเป็น

ฉันจะแนะนำ Snort Snort ได้รับการสนับสนุนโดยเครื่องมือรักษาความปลอดภัยอื่น ๆ เกือบทั้งหมดพร้อมใช้งานแบบฝึกหัดและแอพพลิเคชั่นส่วนหน้ามากมาย ไม่มีซอสลับทำให้ IDS หนึ่งดีกว่าอีก IDS ชุดกฎสาธารณะและท้องถิ่นให้อำนาจ

แต่ IDS (HIDS หรือ NIDS) ใด ๆ จะเป็นการสิ้นเปลืองเงินหากคุณไม่เต็มใจที่จะตรวจสอบบันทึกและการแจ้งเตือนรายชั่วโมงหรือรายวัน คุณต้องการเวลาและบุคลากรในการลบผลบวกปลอมและสร้างกฎใหม่สำหรับความผิดปกติในท้องถิ่น IDS อธิบายไว้อย่างดีที่สุดว่าเป็นกล้องวิดีโอสำหรับเครือข่ายของคุณ มีคนต้องการดูและมีอำนาจดำเนินการกับข้อมูลที่ส่ง ไม่อย่างนั้นมันไร้ค่า

บรรทัดล่าง ประหยัดเงินในซอฟต์แวร์ใช้รหัสโอเพนซอร์ซ ใช้เงินในการฝึกอบรมและพัฒนาทีมรักษาความปลอดภัยที่ยอดเยี่ยม

เมื่อมีคนขอตรวจจับการบุกรุกฉันคิดว่า IDS ของเซิร์ฟเวอร์เพราะไม่สำคัญว่าใครจะเจาะเครือข่ายของคุณหากพวกเขาไม่ทำอะไรเลยในครั้งเดียว IDS เช่นAIDEจะทำการแฮชสแนปชอตของเซิร์ฟเวอร์ เปลี่ยนแปลงบนดิสก์ในช่วงเวลาหนึ่ง

บางคนชอบที่จะ reimage เซิร์ฟเวอร์ทั้งหมดของพวกเขาหลังจากละเมิดความปลอดภัย แต่ฉันคิดว่าอาจเป็นเรื่องเล็กน้อยสำหรับปัญหาส่วนใหญ่

ตรงไปตรงมา IDS มักจะเสียเวลาทั้งหมดเนื่องจากผู้ให้บริการใช้เวลาปรับแต่งผลบวกปลอมทั้งหมด มันกลายเป็นภาระที่ระบบวางทิ้งไว้ในมุมหนึ่งและเพิกเฉย

องค์กรส่วนใหญ่วางโพรบไว้นอกเครือข่ายและประหลาดใจเมื่อเห็นการโจมตีนับพันครั้ง มันเหมือนกับการใส่สัญญาณกันขโมยที่ด้านนอกของบ้านและรู้สึกประหลาดใจที่มันออกไปทุกครั้งที่มีคนเดินผ่าน

IDS เป็นที่รักของที่ปรึกษาด้านความปลอดภัยเพื่อแสดงให้เห็นว่ามีอันตรายอย่างไรผู้ตรวจสอบในฐานะที่เป็นช่องทำเครื่องหมายและไม่สนใจคนอื่นเพราะมันเป็นการเสียเวลาและทรัพยากรอย่างสมบูรณ์

เวลาจะดีกว่าที่จะยอมรับว่ามีการโจมตีนับพันทุกวันการออกแบบการเข้าถึงจากภายนอกและที่สำคัญที่สุดคือต้องแน่ใจว่าระบบภายนอกหันเข้าหากัน

เดฟ