Šta su sistemi za detekciju i prevenciju upada?

Obe tehnologije služe za bezbednost mreže, s bitnom razlikom da jedna samo detektuje pretnje i nema mogućnost da ih blokira.

Šta su sistemi za detekciju i prevenciju upada?

Sistem za detekciju upada (IDS) je tehnologija za mrežnu bezbednost čiji je cilj detekcija exploita koji ciljaju ranjivosti na datoj aplikaciji ili računaru.

Exploit je napad na računarski sistem gde napadači koriste ranjivost aplikacije ili sistema kako bi presreli komunikaciju i preuzeli kontrolu nad aplikacijom ili računarom. Posle uspešnog exploita, napadač može da onesposobi ciljanu aplikaciju ili da potencijalno dobije sva prava i privilegije koje postoje za kompromitovanu aplikaciju.

IDS je je prethodnik modernijeg sistema za prevenciju upada (IPS). IDS samo detektuje pretnje i nema mogućnost da ih poput IPS-a blokira.

Sistem za prevenciju upada (IPS) je tehnologija za mrežnu bezbednost i prevenciju pretnji koja ispituje tok mrežnog saobraćaja kako bi detektovala i sprečila eksploataciju ranjivosti.

Kod IDS-a ne postoji način da se uspostavi direktna komunikacija u realnom vremenu između pošiljaoca i primaoca informacije. IDS nadzire saobraćaj i šalje izveštaje administratoru, ali ne može automatski da spreči da detektovani exploit uđe u sistem. S obzirom na to da napadači brzo eksploatišu ranjivost kada uđu u mrežu, IDS nije adekvatna tehnologija za odbranu.

Prevencija

IPS se obično nalazi direktno iza firewalla i predstavlja dodatni (komplementarni) sloj analize koji vrši negativnu selekciju opasnog sadržaja. Za razliku od svog prethodnika IDS-a, koji predstavlja pasivni sistem koji skenira saobraćaj i zatim šalje izveštaje o pretnjama, IPS se nalazi na direktnom putu komunikacije između izvora i odredišta (inline) i aktivno analizira i preduzima automatske akcije za sav saobraćaj koji ulazi u mrežu. Ove akcije uključuje sledeće:

  1. Slanje upozorenja administratoru.
  2. Izbacivanje malicioznih paketa.
  3. Blokiranje saobraćaja sa izvorne adrese.
  4. Resetovanje konekcije.

Kao inline bezbednosna komponenta, IPS mora da radi efikasno kako ne bi došlo do smanjenja performansi mreže. Takođe, mora da radi brzo pošto se exploit može desiti približno u realnom vremenu. IPS mora da bude precizan u detekciji i reagovanju kako bi eliminisao pretnje i lažno pozitivne rezultate (legitimne pakete koji su pogrešno procenjeni kao pretnje).

Detekcija

IPS ima brojne metode detekcije za traženje exploita, a 2 najdominantnija su detekcija zasnovana na potpisima i detekcija zasnovala na statističkim anomalijama.

Detekcija zasnovana na potpisima funkcioniše na osnovu skladišta (dictionary) sa jedinstvenim obrascima (potpisima) koji se nalaze u kodu poznatih exploita. Kada se otkrije novi exploit, njegov potpis se beleži i čuva u skladištu potpisa koje kontinuirano raste. Detekcija potpisa u IPS-u se deli na 2 tipa:

  1. Potpisi bazirani na exploitu identifikuju individualne exploite preko jedinstvenih obrazaca koji su karakteristični za tačno određeni pokušaj exploita. IPS može identifikovati tačno određeni exploit tako što traži poklapanje preko potpisa baziranih na exploitu u tekućem saobraćaju.
  2. Potpisi bazirani na ranjivostima predstavljaju širi skup potpisa koji ciljaju postojeće ranjivosti u sistemu koje su meta napada. Ovi potpisi omogućavaju da mreže budu zaštićene od varijanti exploita koje se još nisu pojavile, ali takođe i povećavaju rizik od lažno pozitivnih rezultata.

Detekcija zasnovana na statističkim anomalijama nasumično uzima uzorke mrežnog saobraćaja i poredi ih sa unapred izračunatim osnovnim nivoom performansi. Kada uzorak mrežnog saobraćaja izađe iz okvira zadatih parametara (osnovnog nivoa performansi), IPS preduzima mere da reši problem.

IPS je prvobitno napravljen kao nezavisan uređaj sredinom 2000-ih godina. To je, međutim, u suprotnosti sa današnjim standardima pa je zato IPS obično integrisan u neko UTM (Unified Threat Management) rešenje u malim i srednjim kompanijama, a u većim korporacijama je deo firewalla nove generacije.

Izvor: Palo Alto Networks