מהי IDS?
IDS ראשי תיבות של Intrusion Detection System כלומר מערכת זיהוי חדירה.
IDS זהו מכשיר או תוכנה המנטרים רשת או מערכות לאיתור פעילות זדונית או הפרות מדיניות.
כל פעילות או הפרה שזוהתה מדווחת למנהל מערכת או נאספים באופן מרכזי באמצעות מערכת SIEM.
ישנם מספר סוגים של IDS, כולל:
מערכות זיהוי חדירות רשת (NIDS): אלה ממוקמות בנקודות אסטרטגיות בתוך הרשת כדי לנטר את התעבורה
אל ומכל המכשירים ברשת.
NIDS יכולות לזהות מנות זדוניות שעשויות להיות מיועדות לתקוף מערכות.
מערכות זיהוי חדירות מארח (HIDS): מערכת HIDS פועלות על מכשירים בודדים או מארחים ברשת כדי לנטר מנות
נכנסות ויוצאות מהמכשיר בלבד ויכולות להתריע בפני המשתמש או המנהל על פעילות חשודה.
IDS מבוססי חתימה: אלה מזהות התקפות על בסיס דפוסים ספציפיים כגון רצפי בתים בתעבורת רשת, או רצפי הוראות זדוניות
ידועים המשמשים תוכנות זדוניות.
IDS מבוסס חריגות: מערכות אלה מזהות פעילות חריגה או חריגות מהתנהגות רגילה ברשת אשר עשויות להצביע על חדירה.
מערכות זיהוי פריצות הן מרכיב קריטי בתשתית האבטחה של כל ארגון, המסייעות להבטיח את היושרה, הסודיות והזמינות של הנתונים.
איך עובדת IDS?
מערכות זיהוי חדירות (IDS) פועלות על ידי ניטור פעילויות רשת או מערכת לאיתור פעילויות זדוניות או הפרות מדיניות
ודיווח עליהן למנהל מערכת או לתחנת ניהול אחרת.
הנה איך התהליך עובד על פני סוגים שונים של IDS:
איסוף נתונים
ה-IDS אוספת נתונים, שיכולים להגיע מתעבורת רשת, יומני מערכת או מקורות נתונים רלוונטיים אחרים, תלוי אם מדובר
במערכת מבוססת רשת (NIDS) או מבוססת מארח (HIDS).
ניתוח תנועה
עבור IDS מבוססי רשת:
NIDS מנתחת את התעבורה בפלח הרשת המנוטר.
היא מסתכלת על כותרות החבילות, ובהתאם ליכולתה, עשויה לבחון את המטען של החבילות.
עבור IDS מבוסס מארח:
HIDS מנטרת את הפעילות במארח עצמו, כולל שיחות מערכת, גישה למערכת קבצים וכניסות.
מתודולוגיות איתור
זיהוי מבוסס חתימה: שיטה זו מסתמכת על חתימות מוגדרות מראש של איומים ידועים, בדומה לאופן שבו פועלת תוכנת אנטי וירוס.
כאשר דפוס בנתונים תואם לחתימה, ה-IDS מפעיל התראה.
שיטה זו יעילה לזיהוי איומים ידועים אך לא מצליחה לתפוס התקפות חדשות ולא ידועות.
זיהוי מבוסס אנומליות: גישה זו מגדירה קו בסיס של פעילות נורמלית ומשתמשת בשיטות סטטיסטיות או למידת מכונה
כדי לזהות סטיות מהנורמה הזו.
אמנם זה יכול לזהות איומים חדשים או לא ידועים (התקפות של אפס ימים), אבל זה עלול ליצור יותר תוצאות חיוביות כוזבות,
כלומר, פעילויות שפירות המסומנות כזדוניות.
ניתוח פרוטוקול מצבי: שיטה זו מבינה ועוקבת אחר מצבם של פרוטוקולי רשת במהלך הפעלה, ומזהה סטיות מהמצב
הצפוי של פרוטוקולים כמו HTTP, SSH וכו’.
תגובה
לאחר זיהוי פריצה, ה-IDS יכול לבצע פעולות שונות:
התראות: התגובה הנפוצה ביותר היא שליחת התראה למנהלים, המפרטת את הפעילות החשודה.
רישום: מידע על ניסיון החדירה נרשם לניתוח נוסף.
תגובות אוטומטיות: כמה הגדרות IDS מתקדמות יכולות להגיב אוטומטית, כגון על ידי חסימת תנועה ממקור חשוד.
אינטגרציה ושיפור
IDS משתלבת עם אמצעי אבטחה אחרים להגנה משופרת.
לדוגמה, היא יכולה להזין מידע למערכת SIEM לצורך מתאם עם יומנים והתראות אחרים.
עם הזמן, ניתן לשפר את ה-IDS ולהגדירה מחדש כדי לשפר את הדיוק ולהפחית תוצאות חיוביות שגויות.
האפקטיביות של IDS תלויה בתצורה שלה, באיכות האלגוריתמים לזיהוי שלה, ועד כמה אפקטיבי מודיעין האיומים שלה.
מערכות IDS נפוצות
קיימות מערכות רבות לזיהוי חדירה (IDS), החל ממוצרים מסחריים ועד לפרויקטים בקוד פתוח.
להלן רשימה של כמה מערכות IDS ידועות, מסווגות למערכות זיהוי חדירות רשת (NIDS) ומערכות זיהוי חדירות מארח (HIDS):
מערכות זיהוי חדירות ברשת (NIDS)
Snort – מערכת קוד פתוח לזיהוי פריצות לרשת המשתמשת בשפה מונעת כללים, המשלבת את היתרונות של שיטות
בדיקה מבוססות חתימה, פרוטוקול וחריגות.
Suricata – אפשרות נוספת של NIDS בקוד פתוח, הידועה בביצועים הגבוהים, המדרגיות והתמיכה בטכנולוגיות העדכניות
ביותר לזיהוי ומניעת חדירות.
Bro/Zeek –לא רק IDS, מערכת Zeek (בעבר Bro) היא מסגרת עוצמתית לניתוח רשת שדומה במידת מה
לאולר שוויצרי לניטור אבטחת רשת.
Cisco Secure IDS – ידועה בעבר בשם Sourcefire IPS, זהו פתרון מסחרי מבית Cisco, המציע יכולות מתקדמות לזיהוי איומים.
Check Point IPS – מערכת למניעת חדירות מבוססת תוכנה המהווה חלק מפתרונות האבטחה המקיפים של צ’ק פוינט.
מערכות לזיהוי חדירות מארח (HIDS)
OSSEC – מערכת HIDS חינמית בקוד פתוח המסוגלת לבצע ניתוח יומנים, בדיקת תקינות, ניטור רישום של חלונות, זיהוי rootkit,
התראה בזמן אמת ותגובה אקטיבית.
Samhain – פתרון קוד פתוח מרובה פלטפורמות המספק בדיקת תקינות קבצים, ניטור קבצי יומן וזיהוי rootkit, בין היתר.
AIDE (Advanced Intrusion Detection Environment) – מערכת HIDS נוספת בקוד פתוח, AIDE יוצרת מסד נתונים מכללי
הביטוי הרגולרי שהיא מוצאת ולאחר מכן משתמשת במסד נתונים זה כדי לבדוק את תקינות הקבצים.
Tripwire – מערכת IDS מסחרית ידועה המציע רמות גבוהות של התאמה אישית וניטור שלמות קבצים מעולה.
מערכות IDS משולבות (תכונות NIDS וגם HIDS)
AlienVault OSSIM (ניהול מידע אבטחה בקוד פתוח) – משלב מספר כלים בקוד פתוח, כולל מערכות זיהוי חדירות מארח ורשת,
ומטרתו לספק פתרון ניהול אבטחה מקיף.
