Moderné systémy detekcie narušenia účinne dopĺňajú tradičné firewally. Neustále analyzujú a monitorujú systémy a celé siete v reálnom čase, identifikujú potenciálne hrozby a okamžite informujú správcov. Skutočná obrana proti útokom sa následne vykonáva pomocou dodatočného softvéru.

Čo sa skrýva za skratkou IDS (systém detekcie narušenia)?

Hoci sú moderné počítačové a sieťové bezpečnostné systémy pokročilé, kybernetické útoky sú tiež čoraz sofistikovanejšie. Na účinnú ochranu citlivej infraštruktúry zvážte použitie viacerých bezpečnostných opatrení. V tejto súvislosti je systém detekcie narušenia (IDS) prvotriednym doplnkom k firewallu. Systém IDS vyniká včasnou detekciou útokov a potenciálnych hrozieb a okamžite upozorňuje správcov, ktorí potom môžu prijať rýchle obranné opatrenia. Dôležité je, že systém detekcie narušenia môže identifikovať aj útoky, ktoré mohli prekonať obranu firewallu.

Na rozdiel od systému prevencie narušenia, napríklad IDS, sa IDS sám nebráni proti útokom. Systém detekcie narušenia namiesto toho analyzuje všetky aktivity v sieti a porovnáva ich so špecifickými vzormi. Keď sa zistia neobvyklé aktivity, systém upozorní používateľa a poskytne podrobné informácie o pôvode a povahe útoku.

Tip

Viac informácií o rozdieloch medzi systémami detekcie narušenia a systémami prevencie narušenia nájdete v našom samostatnom článku na túto tému.

Aké typy systémov detekcie narušenia existujú?

Systémy detekcie narušenia sa delia do troch typov: systémy založené na hostiteľovi (HIDS), systémy založené na sieti (NIDS) alebo hybridné systémy, ktoré kombinujú princípy HIDS a NIDS.

HIDS: Systémy detekcie narušenia založené na hostiteľovi

Systém detekcie narušenia založený na hostiteľovi je najstaršou formou bezpečnostného systému. V tomto prípade je IDS nainštalovaný priamo na príslušnom systéme. Analyzuje údaje na úrovni protokolu aj jadra a skúma aj ostatné systémové súbory. Aby bolo možné používať samostatné pracovné stanice, systém detekcie narušenia založený na hostiteľovi využíva monitorovacie agenty, ktoré predbežne filtrujú prevádzku a odosielajú zistenia na centrálny server. Hoci je veľmi presný a komplexný, môže byť zraniteľný voči útokom typu DoS a DDoS. Navyše je závislý od konkrétneho operačného systému.

NIDS: Sieťové systémy detekcie narušenia

Sieťový systém detekcie narušenia skúma dátové pakety vymieňané v rámci siete a okamžite identifikuje neobvyklé alebo abnormálne vzory, ktoré následne nahlási. Spracovanie veľkého objemu dát však môže byť náročné, čo môže potenciálne preťažiť systém detekcie narušenia a brániť plynulému monitorovaniu.

Hybridné systémy detekcie narušenia

V súčasnosti sa mnohí dodávatelia rozhodujú pre hybridné systémy detekcie narušenia, ktoré integrujú oba prístupy. Tieto systémy pozostávajú z hostiteľských senzorov, sieťových senzorov a centrálnej riadiacej vrstvy, kde sa výsledky zbiehajú na účely podrobnej analýzy a kontroly.

Účel a výhody IDS

Systém detekcie narušenia by sa nikdy nemal považovať ani používať ako náhrada za firewall. Je to skôr prvotriedny doplnok, ktorý v spojení s firewallom účinnejšie identifikuje hrozby. Keďže systém detekcie narušenia dokáže analyzovať aj najvyššiu vrstvu modelu OSI, je schopný odhaliť nové a doteraz neznáme zdroje nebezpečenstva, aj keď bola obrana firewallu prelomená.

Ako funguje systém detekcie narušenia

Hybridný model je najrozšírenejším typom systému detekcie narušenia, ktorý využíva prístupy založené na hostiteľovi aj na sieti. Zozbierané informácie sa vyhodnocujú v centrálnom riadiacom systéme s využitím troch odlišných komponentov.

Monitor údajov

Monitor údajov zbiera všetky relevantné údaje prostredníctvom senzorov a filtruje ich na základe ich relevantnosti. Zahŕňa to údaje zo strany hostiteľa, vrátane protokolových súborov a podrobností o systéme, ako aj dátové pakety prenášané cez sieť. IDS okrem iného zhromažďuje a organizuje zdrojové a cieľové adresy a ďalšie dôležité atribúty. Kľúčovou požiadavkou je, aby zhromaždené údaje pochádzali z dôveryhodného zdroja alebo priamo zo systému detekcie narušenia, aby bola zabezpečená integrita údajov a zabránilo sa ich predchádzajúcej manipulácii.

Analyzátor

Druhou súčasťou systému detekcie narušenia je analyzátor, ktorý je zodpovedný za vyhodnocovanie všetkých prijatých a predfiltrovaných údajov pomocou rôznych vzorov. Toto vyhodnocovanie prebieha v reálnom čase, čo môže byť obzvlášť náročné na CPU a hlavnú pamäť. Pre rýchlu a presnú analýzu sú nevyhnutné dostatočné kapacity. Analyzátor na tento účel používa dve odlišné metódy:

  • Detekcia zneužitia: Pri detekcii zneužitia analyzátor podrobne skúma prichádzajúce dáta a hľadá v nich rozpoznané vzory útokov uložené v špecializovanej databáze, ktorá je pravidelne aktualizovaná. Ak útok zodpovedá predtým zaznamenanej signatúre, je možné ho identifikovať v ranom štádiu. Táto metóda je však neúčinná pri detekcii útokov, ktoré systém ešte nepozná.
  • Detekcia anomálií: Detekcia anomálií zahŕňa posúdenie celého systému. Keď jeden alebo viaceré procesy odchyľujú od stanovených noriem, takéto anomálie sa označia. Napríklad, ak zaťaženie procesora prekročí stanovenú hranicu alebo ak dôjde k neobvyklému nárastu prístupov na stránky, spustí sa výstraha. Systém detekcie narušenia môže tiež analyzovať chronologické poradie rôznych udalostí s cieľom identifikovať neznáme vzory útokov. Je však dôležité poznamenať, že v niektorých prípadoch môžu byť hlásené aj neškodné anomálie.

Upozorňovanie

Tretia a posledná súčasť systému detekcie narušenia je samotné upozornenie. Ak je zistený útok alebo aspoň anomálie, systém informuje správcu. Toto upozornenie môže byť zaslané e-mailom, prostredníctvom lokálneho alarmu alebo prostredníctvom správy na smartfóne alebo tablete.

Aké sú nevýhody systému detekcie narušenia?

Hoci systémy detekcie narušenia zvyšujú bezpečnosť, nie sú bez nevýhod, ako bolo spomenuté skôr. Hostiteľské IDS môžu byť zraniteľné voči DDoS útokom a sieťové systémy môžu mať problémy vo väčších sieťových konfiguráciách, kde môžu chýbať dátové pakety. Detekcia anomálií môže v závislosti od konfigurácie spúšťať falošné poplachy. Navyše, všetky IDS sú navrhnuté výlučne na detekciu hrozieb, čo si vyžaduje dodatočný softvér na účinnú obranu proti útokom.

Systém detekcie narušenia a príklad Snort

Jedným z najznámejších a najobľúbenejších systémov na detekciu narušení je Snort. Tento bezpečnostný nástroj, ktorý v roku 1998 vyvinul Martin Roesch, je nielen multiplatformový a open-source, ale ako systém na prevenciu narušení poskytuje používateľom aj rozsiahle preventívne opatrenia. Program je k dispozícii zadarmo a v platenej verzii, pre ktorú sú napríklad poskytované rýchlejšie aktualizácie.

Prejsť na hlavné menu