入侵检测系统(IDS)能够监视网络上的流量,通过系统搜索可疑的活动和已知的威胁,并在发现此类项目时发出威胁预警。用稍微技术一点话来说,IDS的总体目标是及时通知IT管理人员,系统中可能正在发生的异常行为。威胁预警中通常会包含有关入侵源地址、目标/受害者地址以及可疑攻击类型等信息。企业IT部门可以通过部署入侵检测系统,来了解其技术环境中存在的潜在恶意活动。
每个IDS都被编程为分析流量和识别模式,在这种模式下,IDS能够识别出可能指示各种网络攻击的流量。此外,入侵检测系统还能够检测对特定软件有问题的流量。比如,如果它检测到针对公司使用的Firefox浏览器的已知攻击,它就会向公司IT管理人员发布预警信息,但是如果公司使用了不同的浏览器则不会发出警报。
一、IDS的类型
入侵检测系统可以分为两大类:基于主机的入侵检测系统,以及基于网络的入侵检测系统。区分这两种类别的关键在于入侵检测软件的传感器放置在何处(主机/端点或网络)。
除了上述分类方式外,一些专家甚至还对入侵检测市场进行了进一步细分,其中包含边界IDS、基于VM(虚拟机)的IDS、基于堆栈的IDS、基于签名的IDS以及基于异常行为的IDS等。无论是何种类型,该技术通常都具备相同的功能,即旨在检测传感器所在位置上的入侵行为,并将其检测到的异常行为及时反馈给安全分析师。
二、IDS在现代企业中的应用
入侵检测是一项被动的技术,它能够检测并确认问题,但却无法中断可疑的网络流量。想要深入理解IDS,可以自行对比能够阻止已知恶意软件的防火墙和入侵防御系统(IPS),所谓入侵防御系统(IPS),顾名思义,就是能够阻止恶意流量。
虽然IDS无法阻止恶意流量,但是其检测主动攻击的功能仍然至关重要,因此这项技术在现代企业应用中仍然占据重要的一席之地。企业目前已经不会像以前一样将IDS作为独立的解决方案进行采购和部署。相反地,他们会购买一整套安全功能或安全平台,并将入侵检测作为众多内置功能中的其中一个。而且,企业必须了解入侵检测系统同样需要维护,如果你想要追踪网络环境中的各种行为,你就需要有人能够为警报和安全事故做出响应。
考虑到入侵检测系统所能承载的工作范围,规模较小的公司应该具备这种能力,但是只能将其作为更大功能套件的一部分使用,因此除了其他独立解决方案之外,他们不需要管理IDS。此外,他们还应该考虑与管理有序的安全服务提供商合作,以满足整体安全需求,因为规模较大的提供商可以使用机器学习、或者人工智能等方式来提供相关的入侵警报信息。如果需要了解网络内部的异常行为,那么就需要部署额外的防护层,而不仅仅是依赖防火墙。
三、管理IDS的3大挑战
IDS确实具备几个公认的管理挑战,这些挑战可能会使组织的管理工作变得更为艰难。
1. 误报(即在没有发生真正问题时发出警报)
IDS的误报问题最为令人头痛,大量的误报无疑为IT团队施加了压力,他们必须用正确的信息不断更新其IDS,以检测合法的威胁并将这些真正的威胁从允许的流量区中区分开来。但这可不是一项小任务。
管理人员必须对IDS系统进行调整,以分析正确的环境并减少误报。例如,分析和提供有关‘防止已知攻击的‘服务器的互联网活动警报没有什么益处,这样只会产生成千上万的不相关警报,而不会产生任何有意义的警报。同样,在某些情况下,完全有效的活动也可能存在产生虚假警报的概率。因此,建议企业可通过二级分析平台,例如安全信息和事件管理(SIEM)平台来帮助分析这些警报。
2. 人员配置
鉴于理解网络上下文的需求,企业必须做好准备让任何IDS符合自身独特需求。这就意味着,IDS不可能成为一种适合所有配置来实现准确有效操作的工具。而且,这要求精明的IDS分析师能够根据给定站点的具体情况和需求来量身定制IDS。更重要的是,这种知识渊博且训练有素的系统分析师本就十分稀少。
3. 漏检问题
IDS的工作机制在于,必须知道攻击是什么之后才能识别它。而且,IDS技术在检测加密流量中的恶意软件时也存在问题。
另外,传入流量的速度和分布特征也可能会限制入侵检测系统在企业运用中的有效性。比如,企业配置的IDS可能能够处理100兆流量,但是可能会有200兆的流量进入或流量分配,如此一来,IDS就只能看到1/3或1/4的流量数据包。
四、入侵检测的未来
尽管上述种种局限性,我们仍然无法否定IDS作为一项功能所产生的实际价值。没有安全工具是完美的,不同的产品具备不同的缺陷,所以现在我们面临的挑战是了解这些缺陷。相信IDS将在未来很长一段时间内继续发挥效用,其对于识别异常流量仍然具有基本的价值。
然而,这些局限性也开始让业内人士重新考虑对IDS的需求。基于收到的警报数量,这种调整和分析仍需要大量的努力。一个组织可能没有足够的资源来管理具备如此大容量的所有设备。来自IDS的大量虚假警报也让一些组织选择拒绝部署IPS,因为害怕虚假的情报会造成IPS程序阻止到合法的商业交易行为。
另外一些组织可能会实施更全面的威胁评估,因此决定不部署IDS设备,而将重点放在针对互联网网关的更高级防护上,或者将来自网络设备的流量分析与来自系统和应用程序的日志分析结合使用,以识别可疑事件,而不是使用IDS。
Palo Alto Networks公司威胁情报总监Scott Simkin也认为,IDS作为一种解决方案并不能够在大多数现代企业中发挥作用。但同时他也表示,自己坚信IDS会在更广泛的网络安全投资组合中保留着一席之地。
IDS(作为系统)已经被IPS和下一代防火墙取代,这些工具采用了IDS的概念,并在其上补充了许多新功能和保护层,这些功能包括行为分析、网页过滤、应用程序身份管理以及其他控制功能等。这种能力对于每个安全团队来说都是绝对重要和基础的。