Rikkomusten havaitsemisjärjestelmät tähtäävät kohdennettuihin jatkuviin hyökkäyksiin

Minulta on kysytty, kuinka estää laiton verkon tunkeutuminen riittävän monta kertaa, jotta esoteerinen keskustelu viimeaikaisista tunkeutumisen havaitsemisen ja palomuurin suojauksen edistysaskeleista ei ole mitä tarvitaan. Tarvitaan selkeä kuva käytettävissä olevista ennaltaehkäisevistä toimenpiteistä ja mitkä ennaltaehkäisevistä toimenpiteistä toimivat ilmoitetulla tavalla.

Nopeuden saavuttaminen tarkoittaa minulle kiinnittämistä huomiota tiettyyn riippumattomaan testilaboratorioon. Kahden viime vuoden ajan NSS Labsin ihmiset ovat kokeilleet, kuinka hyvin rikkomusten havaitsemisjärjestelmät käsittelevät kohdistettuja pysyviä hyökkäyksiä.

Erilainen terminologia

On täysin ymmärrettävää, ovatko kohdennetut pysyvät hyökkäykset (TPA) ja rikkomusten havaitsemisjärjestelmät (BDS) tuntemattomia tai vaikuttavat virheellisiltä lyhenteiltä. Jotta se olisi selvitetty, puhuin NSS Labsin tutkimusjohtaja John Pircin ja julkaiseman kirjoittajan kanssa. Kysyin Johnilta, miksi NSS Labs ei käyttänyt Advanced Persistent Threats (APT) -tekniikkaa kuten kaikki muutkin.

”Tosiasia on, että APT koostuu joskus tunnetuista hyväksikäytöistä / haavoittuvuuksista, jotka eivät ole niin edistyneitä; joten termi APT ei määrittele toimintaa oikein. TPA korostaa, että toimija noudattaa tiettyä tavoitetta, kuten yritystä X, tai koko teollisuudenalaa, kuten rahoituspalveluita, ja on jatkuvasti hyökkäämässä tavoitteeseen ”

John mainitsi myös, että tässä blogissa oli yksityiskohtainen tutkimus APT: stä TPA: ta vastaan. Seuraavaksi kysyin Johniltä, ​​miksi NSS Labs mieluummin käyttää rikkomusten havaitsemisjärjestelmää seuraavan sukupolven tunkeutumisen estävän järjestelmän ja seuraavan sukupolven palomuurin sijasta:

”BDS-, NGIPS- ja NGFW-tuotteet ovat samanlaisia ​​siinä mielessä, että kaikki kolme voivat sisältää allekirjoituksia ja heuristiikkaa haittaohjelmien tunnistamiseksi. BDS erottaa itsensä paketista kyvylläan analysoida verkkoliikenteen malleja, tunnistaa haitallisia verkkotunnuksia ja mallintaa hyökkäyspinnalla ladattavien ja suoritettavien tiedostojen käyttäytymistä / vaikutuksia.

Joissakin tapauksissa BDS-toimittajat pystyvät havaitsemaan nollapäivän haittaohjelmat leviämisen eri vaiheissa ja tarjoamaan korjauksia. Kyky tunnistaa vielä nimeämätön haittaohjelma verkostossasi on melkein kuin oma nollapäivän tutkimusryhmäsi paikalla. "

BDS-tekniikka, jolla on ennakoivat kyvyt plus korjaus, on merkittävä. Kysyin Johnilta, kuinka tämä saatiin aikaan:

”Mikä erottaa BDS: n IDS / IPS: stä, se havaitsee tuntemattomia haittaohjelmia. Rikkomusten havaitsemisjärjestelmillä, toisin kuin IDS / IPS, on kyky mallintaa haittaohjelmien käyttäytymistä emuloinnin ja hiekkalaatikon tai näiden yhdistelmän avulla. Tämä asettaa BDS: n selvästi etuna IDS / IPS: ään nähden; koska he voivat tunnistaa hylättyjen tiedostojen olemassaolon, analysoida niitä, selvittää, ovatko tiedossa olevat huonot vai tuntemattomat, ja valvoa komento- ja hallintapalautuksia. "

Nyt kun olemme samalla sivulla, haluaisin katsoa kuinka NSS Labs menee testaamaan rikkomusten havaitsemisjärjestelmiä.

BDS-testaus

Aluksi tämä katkelma BDS-testimenetelmäpaperista kuvaa, mitä testaajat etsivät:

  • Useiden laitteiden keskitetty hallinta.
  • Rikkomusten havaitsemisominaisuudet käyttämällä yhtä tai useampaa seuraavista menetelmistä:
    • Haittaohjelmien tunnistus (allekirjoitukset, heuristiikka tai molemmat).
    • Verkkoliikenneanalyysi (virtauksen seuranta, sisältöanalyysi tai molemmat).
    • Hiekkalaatikko, joka mahdollistaa sisäisten järjestelmien (työasemat ja palvelimet) mallinnuksen.
    • Selaimen emulointi.
    • Verkkotunnuksen maine haitallisten verkkotunnusten tunnistamiseksi.
  • Vastausmekanismit (esimerkiksi hälytys, istunnon lopettaminen).
  • Raportointi.

Testimenetelmäraportin jäljellä olevat 18 sivua menevät intiimeihin yksityiskohtiin selittäen, kuinka NSS Labsin insinöörit määrittävät, täyttääkö BDS-laite odotukset vai ei.

Testitulokset

Tämän artikkelin alussa mainitsin, että luotan NSS Labsiin saadakseni selkeän kuvan tästä monimutkaisesta tekniikasta. Selvyyden saavuttamiseksi luin sen lisäksi, että NSS Labs testaa BDS: ää, luin myös heidän vuotuisen rikkomusten havaitsemisjärjestelmien ostajan oppaan. 14-sivuinen raportti on täynnä analyysejä ja suosituksia. Esimerkiksi tässä on joitain yleisiä johtopäätöksiä tänä vuonna testatuista järjestelmistä:

  • BDS pystyy havaitsemaan uhat käyttämällä verkkolaitetta tai erillistä päätepistettä tai käyttämällä molempien yhdistelmää.
  • BDS voi tunnistaa olemassa olevat rikkomukset sekä haittaohjelmat, jotka on tuotu järjestelmään sivukanavien kautta.
  • BDS, joka ei pysty tunnistamaan sivukanavahyökkäyksiä tai hallitsemaan ja hallitsemaan tartunnan saaneiden koneiden liikennettä, on vähän muuta kuin verkon AV-laite.
  • Vaikka huippuluokan verkkokytkimet kykenevät tukemaan useimpia BDS-vaatimuksia, NSS: n insinöörit ovat havainneet porttien kattavia ongelmia monissa työryhmien kytkimissä.

Seuraava NSS Labs tarjosi seuraavia neuvoja BDS: n ostamista harkitseville: "Yritysten, jotka haluavat ottaa BDS: n käyttöön, tulisi ymmärtää, että eri toimittajien tarjoamien ratkaisujen kypsyydessä, tekniikassa ja skaalautuvuudessa on eroja."

Sekä BDS-testimenetelmää käsittelevä asiakirja että BDS-ostajan opas tarjoavat runsaasti tietoa tarjoamalla IT-ammattilaisille mahdollisuuden tutustua rikkomusten havaitsemisjärjestelmiin.

Tässä on luettelo myyjistä, jotka tarjoavat BDS-tuotteita.

  • Tarkista kohta
  • Damballa
  • Fortinet
  • McAfee
  • Palto Alton verkot
  • Sourcefire
  • Trend Micro

John mainitsi, että kaikki edellä mainitut myyjät eivät ole lähettäneet järjestelmiä testattavaksi tästä viestistä lähtien, ja ota yhteyttä NSS Labs: iin tarkistaaksesi, onko testiraportti suunnitellusta järjestelmästä.

Lopulliset ajatukset

Jolla on yhtä monimutkaista kuin rikkomusten havaitsemisjärjestelmät, olen iloinen, että on olemassa sellainen asia kuin ostajan opas. Olisin hermostunut siitä, että minun pitäisi perustaa päätös yhden myyjän markkinoiden puhetta vastaan ​​toisen markkinoille.



© Copyright 2021 | mobilegn.com