Sisteme de tip IDS/IPS
Sisteme de detectare a intruziunilor
Sistemele de tip IDS (Intrusion Detection System) monitorizează rețeaua de calculatoare pentru a detecta orice activitate suspectă și emite alerte atunci când este descoperită o astfel de activitate către administratorul de rețea. Aceste sisteme colectează informații de la sistemele de calul, pe care le analizează pentru a determina prezența atacurilor cibernetice sau activităților suspicioase, aceste fiind raportate către administrator printr-un sistem de management al evenimentelor și informațiilor de securitate SIEM (Security Information and Event Management).
Sistemele de detectare a intruziunilor IDS sunt de cinci tipuri:
- Sistemele de detectare a intruziunilor în rețea
Aplicațiile de tip NIDS (Network Intrusion Detection System) sunt configurate într-un punct planificat din rețeaua de calculatoare pentru a examina traficul de pe toate dispozitivele din rețea. Analizează traficul din întreaga rețea și compară cu tipologia atacurilor cibernetice cunoscute. Odată identificat un atac sau observat un comportament anormal în rețea, transmite o alertă administratorului de rețea; - Sistemele de detectare a intruziunilor bazate pe gazdă
Sistemele de tip HIDS (Host Intrusion Detection System) rulează pe calculatoare sau dispozitive independente din rețea. Monitorizează numai pachetele primite și ieșite de pe dispozitiv și va avertiza administratorul dacă este detectată activitate suspectă sau dăunătoare sistemului. Efectuează o imagine a tuturor fișierelor de sistem existente și o compară cu imaginea realizată anterior. Dacă fișierele de sistem au fost editate sau șterse, o alertă este trimisă administratorului de rețea pentru a investiga; - Sistemele de detectare a intruziunilor bazate pe protocoale
Sistemele de tip PIDS (Protocol-based Intrusion Detection System) controlează și interpretează protocoalele dintre un utilizator sau dispozitiv și server; - Sistemele de detectare a intruziilor bazate pe protocoale de aplicație
Sistemele de tip APIDS (Application Protocol-based Intrusion Detection System) identifică intruziunile prin monitorizarea și interpretarea comunicării pe protocoalele specifice aplicațiilor; - Sistemele hibride de detecție a intruziunilor se realizează prin combinarea a două sau mai multe aplicații de detectare a intruziunilor. În acest caz, datele de pe calculatoarele gazdă sunt combinate cu cele de rețea, pentru a dezvolta o vedere completă a rețelei de calculatoare.
Metodele de detecție a intruziunilor sunt următoarele:
- Metoda bazată pe semnături
Sunt detectate atacurile cibernetice pe baza tiparelor specifice, cum ar fi numărul de biți sau suita de 1 și 0 în traficul de rețea. De asemenea, se detectează pe baza secvenței de instrucțiuni cunoscută ca fiind folosită de aplicațiile de tip malware. Această metodă bazată pe semnături poate detecta cu ușurință aplicațiile malware sau atacurile cibernetice al căror model (semnătură) există deja în sistem, dar este destul de dificil să se detecteze noile tipuri de atacuri, a căror semnătură nu este cunoscută; - Metoda bazată pe anomalii
Sunt detectate aplicațiile malware sau atacurile cibernetice necunoscute. Se folosește învățarea automată pentru a se crea un model de activitate de încredere și orice nouă activitate este comparată cu modelul inițial. În cazul în care, în urma comparației, nu se regăsesc indicii similare, activitatea este declarată suspectă.
Sisteme de prevenire a intruziunilor
Sistemele de tip IPS (Intrusion Prevention System) monitorizează activitățile de rețea sau de sistem pentru detectarea activității dăunătoare. Funcțiile majore ale sistemelor de prevenire a intruziunilor sunt identificarea activității dăunătoare, colectarea informațiilor despre această activitate, raportarea acesteia și încercarea de a o bloca sau de a o opri.
Sistemele de detectare a intruziunilor IPS sunt de patru tipuri:
- Sistemele de prevenire a intruziunilor în rețea
Sistemele de tip NIPS (Network-based Intrusion Prevention System) monitorizează întreaga rețea pentru trafic suspect, analizând activitatea protocoalelor de rețea. - Sistemele de prevenire a intruziunilor în rețeaua wireless
Sistemele de tip WIPS (Wireless Intrusion Prevention System) monitorizează rețeua wireless pentru trafic suspect, analizând protocoale de rețea wireless. - Sistemele de analiză a comportamentului în rețea
Sistemele de tip NBA (Network Behaviour Analysis) examinează traficul de rețea pentru a identifica amenințările care generează fluxuri de trafic neobișnuite, cum ar fi atacuri de tip DDoS, forme specifice de malware și încălcări ale politicilor de securitate. - Sistemele de prevenire a intruziunilor bazate pe gazdă
Sistemele de tip HIPS (Host-based Intrusion Prevention System) operează pe un singul calculator sau dispozitiv pentru o prevenirea unei activități dăunătoare, prin scanarea evenimentelor care apar în cadrul acelei gazde.
Metodele de prevenție a intruziunilor sunt următoarele:
- Metoda bazată pe semnături
Sunt analizate pachetele în rețeaua de calculatoare și se compară cu modelele de atacuri cibernetice cunoscute și salvate în formă de semnături; - Metoda bazată pe anomalii
Se monitorizează traficul de rețea și se compară cu un trafic stabilit inițial. Se va identifica ceea ce este normal pentru rețeaua respectivă și ce protocoale sunt utilizate; - Metoda bazată pe starea protocoalelor
Sunt analizate protocoalele declarate prin compararea evenimentelor observate cu profilele pre-construite ale definițiilor general acceptate ale activității care nu este dăunătoare.