Wiadomości
System wykrywania intruzów (IPS) czy analiza zachowań sieci (NBA) - co wybrać?
19 września 2008 10:06,
Kamil Folga
Coraz więcej producentów sprzętu wprowadza do opcji bezpieczeństwa własnych produktów takie akronimy jak IDS, NBA, IPS. Postaramy się odpowiedzieć na najczęściej pojawiające się pytania, pozwalające wskazać różnicę pomiędzy IDS (Intruse Detection System) oraz NBA (Network Behavior Analysis).
1. Co to jest system wykrywania intruzów (IDS - Intrusion Detection System)?
System wykrywania intruzów umiejscowiony jest przeważnie blisko połączenia sieci z internetem, w celu analizy przesyłanych pakietów. IDS jest używany do wykrywania różnych zachowań, które próbują rozprzestrzenić się w sieci i naruszyć bezpieczeństwo systemu komputerowego. Do takich zagrożeń można włączyć sieciowe ataki na podatne usługi, ataki na dane przetwarzane przez aplikacje, ataki związane ze stacjami roboczymi (nieautoryzowane logowanie i dostęp do istotnych plików) oraz złośliwe oprogramowanie (wirusy, konie trojańskie, robaki). Wirus lub infekcja może ukrywać się tygodniami, zanim rozprzestrzeni się po całej sieci.
2. Czy wystarczy regularnie aktualizować sygnatury, aby IDS pomagał w utrzymaniu aktualnej bazy zagrożeń?
Aktualizacje sygnatur IDS są bardzo pomocne, natomiast osoby piszące złośliwe oprogramowanie także mają do nich dostęp, więc przedsiębiorstwo nigdy nie jest kompletnie zabezpieczone. Aktualizacje sygnatur IDS można porównać do szczepionki na grypę dla ludzi - każdego roku przyjmuje się szczepionkę w celu ochrony przez najbardziej groźnymi wirusami. Nigdy nie zablokuje ona jednak wszystkich odmian wirusa.
3. Czym jest analiza zachowań sieci (NBA - Network Behavior Analysis)?
NBA (Network Behavior Analysis) jest zdolnością do identyfikacji wzorców ruchu, który nie pojawia się podczas normalnej pracy sieci. W prostych słowach - jest to przemysłowa próba identyfikacji nieregularności w sieci, wykraczająca ponad proste ustawienia dotyczące przekroczenia parametrów dla danego typu ruchu. Jednym z najczęściej analizowanych przypadków takich zachowań jest wzorzec ruchu znany jako atak DDoS (Disturbed Denial of Service). Jest to znaczące zagrożenie bezpieczeństwa dla dostawców usług internetowych oraz dużej sieciowej infrastruktury.
4. Co to jest system prewencji intruzów (IPS - Intrusion Prevention System) oraz czym różni się od IDS i NBA?
System prewencji intruzów najczęściej pracuje w połączeniu z systemem IDS lub NBA. IPS potrafi odrzucać określone pakiety, przepuszczając bez ograniczeń pozostały ruch sieciowy. Technologię IPS można porównać do zastosowania leku przeciwbólowego, który pomaga walczyć z objawami grypy. Zadania IPS doskonale może realizować przełącznik, który będzie wspierany przez NBA.
5. Jak system zawierający funkcjonalność NBA przy współpracy z IDS oraz IPS, może pomóc w ochronie sieci przedsiębiorstwa?
System NBA skupia się głównie na ruchu wewnętrznym. Potrafi przeglądać pakiety tuż przy połączeniu sieciowym, podobnie jak robi to IDS. NBA próbuje jednak rozpoznać zagrożenie, który wystąpiło ponownie. Dzięki temu mechanizm próbuje przechwycić zagrożenia pominięte przez IDS czy oprogramowanie antywirusowe. Urządzenia NBA adresowane są do wykrywania anomalii w ruchu sieciowym, które wymykają się poza standardowe wzorce zachowań. Systemy NBA skupiają się na zachowaniach lub symptomach. Znacznie rzadziej wymagane są aktualizacje silnika analizującego NBA, niż w systemach IDS. Porównując to do przykładu z grypą - szczepionka przeciw grypie (porównanie - IDS) nie działa. Jesteś chory i organizm (porównanie - NBA) rozpoznaje zatkany nos, wysoką temperaturę i szereg innych dolegliwości.
6. Czy warto uaktualniać system bezpieczeństwa zawierający IDS o NBA?
Jeżeli posiadamy system IDS i zastanawiamy się nad dodaniem NBA jako kolejnego elementu bezpieczeństwa, warto odpowiedzieć sobie na następujące pytania:
- Czy uzyskamy korzyści biznesowe z dostarczanego przez NBA dodatkowego monitorowania bezpieczeństwa?
- Czy interesują nas wewnętrzne zagrożenia?
Jeżeli odpowiedzi są pozytywne, warto zainteresować się rozwiązaniami analizy zachowań sieci.
***
Tekst opracowany na podstawie materiałów IDG.
System wykrywania intruzów umiejscowiony jest przeważnie blisko połączenia sieci z internetem, w celu analizy przesyłanych pakietów. IDS jest używany do wykrywania różnych zachowań, które próbują rozprzestrzenić się w sieci i naruszyć bezpieczeństwo systemu komputerowego. Do takich zagrożeń można włączyć sieciowe ataki na podatne usługi, ataki na dane przetwarzane przez aplikacje, ataki związane ze stacjami roboczymi (nieautoryzowane logowanie i dostęp do istotnych plików) oraz złośliwe oprogramowanie (wirusy, konie trojańskie, robaki). Wirus lub infekcja może ukrywać się tygodniami, zanim rozprzestrzeni się po całej sieci.
2. Czy wystarczy regularnie aktualizować sygnatury, aby IDS pomagał w utrzymaniu aktualnej bazy zagrożeń?
Aktualizacje sygnatur IDS są bardzo pomocne, natomiast osoby piszące złośliwe oprogramowanie także mają do nich dostęp, więc przedsiębiorstwo nigdy nie jest kompletnie zabezpieczone. Aktualizacje sygnatur IDS można porównać do szczepionki na grypę dla ludzi - każdego roku przyjmuje się szczepionkę w celu ochrony przez najbardziej groźnymi wirusami. Nigdy nie zablokuje ona jednak wszystkich odmian wirusa.
3. Czym jest analiza zachowań sieci (NBA - Network Behavior Analysis)?
NBA (Network Behavior Analysis) jest zdolnością do identyfikacji wzorców ruchu, który nie pojawia się podczas normalnej pracy sieci. W prostych słowach - jest to przemysłowa próba identyfikacji nieregularności w sieci, wykraczająca ponad proste ustawienia dotyczące przekroczenia parametrów dla danego typu ruchu. Jednym z najczęściej analizowanych przypadków takich zachowań jest wzorzec ruchu znany jako atak DDoS (Disturbed Denial of Service). Jest to znaczące zagrożenie bezpieczeństwa dla dostawców usług internetowych oraz dużej sieciowej infrastruktury.
4. Co to jest system prewencji intruzów (IPS - Intrusion Prevention System) oraz czym różni się od IDS i NBA?
System prewencji intruzów najczęściej pracuje w połączeniu z systemem IDS lub NBA. IPS potrafi odrzucać określone pakiety, przepuszczając bez ograniczeń pozostały ruch sieciowy. Technologię IPS można porównać do zastosowania leku przeciwbólowego, który pomaga walczyć z objawami grypy. Zadania IPS doskonale może realizować przełącznik, który będzie wspierany przez NBA.
5. Jak system zawierający funkcjonalność NBA przy współpracy z IDS oraz IPS, może pomóc w ochronie sieci przedsiębiorstwa?
System NBA skupia się głównie na ruchu wewnętrznym. Potrafi przeglądać pakiety tuż przy połączeniu sieciowym, podobnie jak robi to IDS. NBA próbuje jednak rozpoznać zagrożenie, który wystąpiło ponownie. Dzięki temu mechanizm próbuje przechwycić zagrożenia pominięte przez IDS czy oprogramowanie antywirusowe. Urządzenia NBA adresowane są do wykrywania anomalii w ruchu sieciowym, które wymykają się poza standardowe wzorce zachowań. Systemy NBA skupiają się na zachowaniach lub symptomach. Znacznie rzadziej wymagane są aktualizacje silnika analizującego NBA, niż w systemach IDS. Porównując to do przykładu z grypą - szczepionka przeciw grypie (porównanie - IDS) nie działa. Jesteś chory i organizm (porównanie - NBA) rozpoznaje zatkany nos, wysoką temperaturę i szereg innych dolegliwości.
6. Czy warto uaktualniać system bezpieczeństwa zawierający IDS o NBA?
Jeżeli posiadamy system IDS i zastanawiamy się nad dodaniem NBA jako kolejnego elementu bezpieczeństwa, warto odpowiedzieć sobie na następujące pytania:
- Czy uzyskamy korzyści biznesowe z dostarczanego przez NBA dodatkowego monitorowania bezpieczeństwa?
- Czy interesują nas wewnętrzne zagrożenia?
Jeżeli odpowiedzi są pozytywne, warto zainteresować się rozwiązaniami analizy zachowań sieci.
***
Tekst opracowany na podstawie materiałów IDG.
Komentarze (0)
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...