Introduktion
IDS/IPS, hittar och förhindrar attacker
Om du sitter och jobbar med företagets nätverk och dess säkerhet kommer du förr eller senare komma i kontakt med förkortningarna IPS och IDS. I denna artikel ska vi försöka ge en klar bild över hur de båda verktygen skulle kunna hjälpa er utveckla ert skydd mot hot utifrån och inifrån.
Ett extra öga på trafiken
IDS står för Intrusion Detection System och är ett övervakningssystem som varnar för misstänkta aktiviteter i ditt företags nätverk. Systemet använder sig av trafik och systemloggar och analyserar dessa för att hitta mönster och signaturer som kan indikera en pågående eller potentiell attack.
IPS står för Intrusion Prevention System. Man skulle kunna säga att IPS är en förlängning av IDS. Till skillnad från IDS så agerar nämligen IPS på potentiella hot i trafiken och loggarna. En IPS har normalt sett behörighet att låsa ut specifika IP adresser, ändra brandväggsregler eller rent av stänga av tjänster när den misstänker skadlig trafik.
”En IDS som ges behörighet till att automatiskt utföra åtgärder blir en form av IPS.”
IDS, Intrusion Detection System
En IDS fungerar som en skällande vakthund för ditt nätverk. Den vet vilka som är välkomna och känner också igen mönster i trafiken. Den kontrollerar nätverkstrafik, systemloggar och signaturer. När något går utanför det normala signalerar den och avrapporterar. Den skäller och larmar husse eller matte. Vanligaste programvarorna är Snort, Suricata, Bro IDS eller OSSEC men det finns fler på marknaden.
IPS Intrusion Prevention System
En IPS skulle i stället, om vi använder oss av analogi, vara säkerhetsvakten som håller i ett protokoll över hur vanlig trafik ser ut. Vakten vet vilka som är välkomna och kan vid misstanke föra ut oönskade gäster och låsa dörrar i nätverket. Vanliga mjukvaror för IPS är Snort med pluginet Snort_inline eller SnortSam, Suricata, Cisco Firepower, TippingPoint Intrusion Prevention System, Fortinet Fortigate med flera.
Att ta fram en välfungerade IPS kräver mycket jobb och man måste ta med i beräkningen att en false positive (falsk varning) kan orsaka störningar i den dagliga driften. Många väljer lösningen att ha ett responsteam som övervakar IDS varningar i stället för att förlita sig på att en IPS alltid tar rätt beslut.
Olika förkortningar inom samma teknik.
NIPS( Network-based Intrusion Prevention System)
HIPS(Host-based Intrusion Prevention System)
WIPS(Wireless Intrusion Prevention System)
NIDS( Network Intrusion Detection System)
HIDS (Host-based Intrusion Detection System)
NBA (Network Behavior Analysis)
IDS/IPS
En IDS/IPS kan vara både hård- och mjukvarubaserad. De hårdvarubaserade IDS/IPS-enheterna kan då fysiskt placeras ut i nätverket där de är dedikerade till att upptäcka skadlig aktivitet eller avvikande mönster. Oftast väljer man en hårdvarubaserad IDS-lösning i miljöer där övervakningen måste vara oberoende systemet i övrigt.
Men den absolut vanligaste och enklaste vägen (som de flesta av företagen tar) är att gå på en mjukvarubaserad lösning som i princip alltid är mer flexibel och kostnadseffektiv. Nackdelen är att den tar kapacitet från samma system.
Vad söker IDS/IPS efter?
Systemet kan modifieras utifrån ens egna förutsättningar och behov men arbetar oftast utifrån tre faktorer. Signatur, beteende och policy.
Signaturbaserad detektion
Signaturbaserad detektion jobbar på samma sätt som ett antivirus. Det använder en databas för med hot och försöker hitta samma hot i nätverket. En IDS sätts upp mot en databas där leverantören av din IDS lägger in kända hotsignaturer så din IDS håller sig uppdaterad om kända signaturer genom leverantören. Man kan även lägga in egna misstänkta signaturer om man har kännedom om hot som inte finns hos leverantören. Här finns stora fördelar att hämta för ditt företag genom att vara uppdaterad mot kända hot och attacker med exakta signaturmönster. Dock ska man tänka på att helt nya, icke kända hot kommer gå under radarn eftersom det inte finns någon fördefinierad signatur.
Beteendebaserad detektion
Enkelt förklarat: På ert företag skickas mest textdokument med få bilder. Ert normala trafikbeteende är på några kilobyte som normalt. Om nätet plötsligt skulle börja trafikeras av större paket skulle er IDS med beteendebaserad detektion varna för att systemet används på ett onormalt sätt. Denna detektionsmetod lär sig alltså sitt nätverks ”normala” beteende och larmar vid avvikelser.
Exempel: Ett aktuellt scenario just nu är de olika ransomware-attacker vi kan läsa om i dagspressen där företags data krypteras och därefter utsätts för utpressning. Vid en sådan attack är det vanligt att angriparen först vill ta hem er data innan denna krypterar den. Det skulle då bli väldigt hög trafik ut från ert nätverk och en väl uppsatt IDS skulle larma om detta.
Policybaserad detektion
Du kan låta er IDS övervaka systemen så trafiken överensstämmer med de policys ni satt upp på företaget.
Om okända enheter hittas av IDS på nätverket kommer systemet att varna, IPS kommer däremot att agera och stänga av anslutningen till enheten.
Exempel: I er policy har din organisation en regel att begränsa användningen av externa lagringsenheter. I detta fall ställer man in att bara de enheter som är listade hos administratören (av godkända enheter) får kommunicera på nätet. Om okända enheter hittas av IDS på nätverket kommer systemet att varna, IPS kommer däremot att agera och stänga av anslutningen till enheten.
Exempel: Ni bestämt att all kommunikation över internet ska ske med kryptering. Skulle då någon i personalen göra förfrågningar på icke-krypterade sidor alternativt använda sig av någon applikation som inte använder sig av krypterad kommunikation skulle IDS varna. IDS hade stängt anslutningen.
Sammanfattning
Sammanfattningsvis är IDS (Intrusion Detection System) och IPS (Intrusion Prevention System) två viktiga verktyg för nätverkssäkerhet. IDS fungerar som en övervakare som upptäcker och varnar för misstänkta aktiviteter i nätverket, medan IPS går ett steg längre och kan agera för att blockera eller avvisa hoten den identifierar. Genom att kombinera dessa system kan organisationer förbättra sin förmåga att upptäcka och hantera cyberhot. Genom att förstå deras funktioner och implementera dem på lämpligt sätt kan företag stärka sin nätverkssäkerhet och skydda sig mot olika former av cyberattacker.