Что такое IDS — система обнаружения вторжений

26 июня 2024
Безопасность
Что такое IDS — система обнаружения вторжений
Система обнаружения вторжений — это инструмент сетевой безопасности, отслеживающий сетевой трафик и устройства на наличие вредоносной или подозрительной активности, или нарушения политики безопасности.

IDS ускоряет и автоматизирует работу по обнаружению сетевых угроз, предупреждая о них, или отправляя оповещения в SIEM — централизованную систему управления событиями безопасности. SIEM аккумулирует данные из нескольких источников, помогая специалистам по кибербезопасности выявлять киберугрозы и реагировать на них.

IDS также могут обеспечивать соответствие определенным требованиям. Например, для соответствия стандарту PCI-DSS необходимо внедрить средства антивирусной защиты и обезопасить сеть и хранимые и передаваемые сведения о держателях карт. 

При этом IDS не способна самостоятельно справиться с угрозами безопасности и обычно интегрирована в IPS — систему предотвращения вторжений, способную обнаруживать угрозы безопасности и предотвращать их в автоматическом режиме.

Как работают системы обнаружения вторжений

IDS реализуются как программные приложения, установленные на конечных точках, или выделенных аппаратных устройствах, подключенных к сети. Некоторые решения IDS доступны в виде облачных сервисов. При этом, независимо от типа реализации, IDS использует один или два основных методов обнаружения угроз: на основе сигнатур или на основе аномалий.

Обнаружение на основе сигнатур

Этот метод анализирует сетевые пакеты на наличие сигнатур атак — уникальных характеристик, связанных с конкретной угрозой. IDS ведет базу данных сигнатур уже известных вирусов, с которой сравнивает сетевые пакеты. Если часть кода пакета совпадает с кодом вируса из базы, то IDS это обнаружит.

Чтобы сохранять свою эффективность, базы данных сигнатур должны регулярно пополняться информацией о появившихся вирусах. Новый, не подвергавшийся анализу вирус может обойти IDS, созданную на этом методе. 

Обнаружение на основе аномалий

Этот метод использует машинное обучение для создания и постоянного улучшения базовой модели нормальной сетевой активности. Текущая сетевая активность сравнивается с моделью для выявления вызывающих подозрения событий или тенденций.

Поскольку система IDS на основе аномалий сообщает о любом аномальном поведении, она способна обнаружить новые виды кибератак, не выявляемые методом на основе сигнатур. Например, IDS на основе аномалий могут выявлять эксплойты нулевого дня — атаки, использующие уязвимости ПО до того, как разработчик программного обеспечения найдет их и успеет исправить.

С другой стороны, IDS на основе аномалий склонна к ложным срабатываниям. Даже безобидные действия, например, первый доступ авторизованного пользователя к корпоративному сетевому ресурсу, могут вызвать подозрения у IDS. 

Менее распространенные методы обнаружения

Обнаружение на основе репутации блокирует трафик с IP-адресов и доменов, связанных с вредоносной или подозрительной активностью. 

Анализ протокола с отслеживанием состояния фокусируется на поведении протокола — например, он может выявить DDoS-атаку, обнаружив IP-адрес, выполняющий множество одновременных запросов TCP-соединения за короткий период.

Какой бы метод или методы IDS ни использовала, при обнаружении потенциальной угрозы или нарушении политики, она предупреждает группу реагирования на инциденты. IDS также ведет учет инцидентов безопасности в своих собственных журналах, либо регистрируя их с помощью SIEM. Журналы инцидентов используются для уточнения критериев IDS, например, путем добавления новых сигнатур атак или обновления модели поведения сети.

Виды систем предотвращения вторжений

IDS классифицируются в зависимости от того, где они расположены в системе и какой вид активности они отслеживают.

NIDS

Система обнаружения сетевых вторжений — NIDS отслеживает входящий и исходящий трафик на сетевые устройства. NIDS размещается в важных точках сети, часто сразу за брандмауэрами. NIDS также может быть размещена внутри сети для обнаружения внутренних угроз или хакеров, получивших доступ к учетным записям пользователей. Например, NIDS можно разместить за каждым внутренним межсетевым экраном в сегментированной сети для мониторинга трафика, проходящего между подсетями.

Чтобы не препятствовать потоку легитимного трафика, NIDS часто размещается «внеполосно», то есть трафик через нее не проходит. Таким образом, NIDS анализирует не сами сетевые пакеты, а их копии, что не препятствует ей обнаруживать вредоносный трафик.

HIDS

Система обнаружения вторжений на хост — HIDS устанавливается на определенной конечной точке, например, на ноутбуке, маршрутизаторе или сервере. HIDS отслеживает только входящий и исходящий трафик на том устройстве, куда она уставлена. Обычно HIDS регулярно создает снапшоты критически важных файлов операционной системы и сравнивает их друг с другом. Если HIDS обнаруживает изменение, например редактирование файлов журналов или изменение конфигурации, она предупреждает команду безопасности.

Группы безопасности часто комбинируют NIDS и HIDS-системы. NIDS рассматривает трафик в целом, а HIDS обеспечивает дополнительную защиту ценных активов. HIDS также может помочь обнаружить вредоносную активность со стороны скомпрометированного сетевого узла, например программу-вымогатель, распространяющуюся с зараженного устройства.

Хотя NIDS и HIDS являются наиболее распространенными, группы безопасности могут использовать и другие IDS. 

IDS на основе протокола — PIDS отслеживает протоколы соединений между серверами и устройствами. PIDS часто размещается на веб-серверах для мониторинга HTTP- или HTTPS-соединений.

IDS на основе протокола приложения — APIDS работает на уровне приложения. APIDS обычно развертывается между веб-сервером и базой данных SQL для обнаружения SQL-инъекций.

Способы обхода IDS 

Распространенные тактики уклонения от IDS включают в себя DDoS-атаки, спуфинг, фрагментацию и шифрование.

DDoS-атаки выводят IDS из строя, наполняя его вредоносным трафиком из нескольких источников. Когда ресурсы IDS перегружены ложными угрозами, хакеры пробираются внутрь.

Спуфинг — подделка IP-адресов и записей DNS, для создания иллюзии, что трафик поступает из надежного источника.

Фрагментация — разделение вредоносного ПО или других вредоносных данных на небольшие пакеты, скрывающие подпись и избегающие обнаружения. Задерживая пакеты или отправляя их не по порядку, хакеры могут помешать IDS собрать их заново и обнаружить атаку.

Шифрование — использование зашифрованных протоколов для обхода IDS, в расчете на то, что у IDS нет соответствующего ключа дешифрования.

IDS и другие решения безопасности

IDS — это не отдельное решение, а часть целостной системы защиты информации. Обычно она интегрируется с SIEM, IPS и брандмауэрами. 

IDS и SIEM

Оповещения IDS обычно перенаправляются в SIEM-систему. Интеграция IDS с SIEM позволяет командам безопасности связывать оповещения с IDS аналитикой угроз и данными из других инструментов, отфильтровывать ложные сигналы и определять приоритеты в устранении инцидентов.

IDS и IPS

PS, как и IDS, отслеживает сетевой трафик в поиске подозрительной активности и перехватывает угрозы в режиме реального времени, автоматически разрывая соединения или запуская другие инструменты безопасности. 

IDS и IPS могут быть реализованы как отдельные решения или объединены в единую систему обнаружения и предотвращения вторжений (IDPS). Она обнаруживает и  регистрирует вторжения, оповещает службы безопасности и автоматически реагирует инциденты.

IDS и межсетевые экраны

Брандмауэры действуют как барьеры, используя предопределенные наборы правил, разрешающие или запрещающие трафик. IDS часто располагается рядом с межсетевыми экранами и помогает перехватывать вредоносный трафик. А некоторые межсетевые экраны уже имеют встроенные функции IDS и IPS.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.