Порекомендуйте систему виявлення вторгнень (IDS / IPS), і чи вони того варті?

Я протягом багатьох років випробовував різні мережеві системи IDS та IPS і ніколи не був задоволений результатами. Або системами було занадто важко керувати, лише спрацьовувало на відомих подвигах, заснованих на старих підписах, або просто було занадто базікати з результатами.

У будь-якому випадку, я не відчуваю, що вони забезпечили справжній захист для нашої мережі. У деяких випадках вони були шкідливими через падіння дійсних з'єднань або просто провал.

Протягом останніх років я впевнений, що все змінилося, тож які рекомендовані системи IDS сьогодні? Чи є у них евристика, яка працює і не попереджує про законний трафік?

Або просто краще покластися на добрий брандмауер та загартовані хости?

Якщо ви рекомендуєте систему, як ви знаєте, що вона виконує свою роботу?

Як дехто згадував у відповідях нижче, давайте також отримаємо відгуки про системи виявлення вторгнень в хост, оскільки вони тісно пов'язані з мережевою IDS.

Для нашого поточного налаштування нам потрібно було б контролювати дві окремі мережі загальною пропускною здатністю 50 Мбіт / с. Я шукаю тут відгуки в реальному світі, а не список пристроїв або служб, здатних робити IDS.

Кілька років тому я переглянув кілька систем запобігання вторгнень.

Я хотів щось розгорнути між парою локацій та корпоративною мережею.
Система повинна була забезпечити просте управління та моніторинг (те, що можна було передати особі служби технічного обслуговування другого рівня). Також були потрібні автоматизовані тривожні сигнали та повідомлення.

Я вибрав систему IPS від Tipping Point. Нам це все ще подобається після того, як на місці вже кілька років. Наша реалізація включає підписку на їх цифрову вакцину, яка виштовхує вразливість та використовує правила щотижня.

Система була дуже корисною для спостереження за тим, що відбувається (насторожі, але не вживати заходів), а також автоматично блокувати або карантинувати системи.

Це виявилося дуже корисним інструментом для пошуку та ізоляції комп’ютерів, заражених шкідливим програмним забезпеченням, а також для блокування пропускної здатності або прискореного трафіку, пов’язаного з політикою безпеки, без роботи зі списками контролю доступу маршрутизатора.

http://www.tippingpoint.com/products_ips.html

Одна думка; ви запитуєте "вони того варті". Я ненавиджу давати нетехнічну відповідь, але якщо вашій організації потрібно мати IDS, щоб вказати регуляторному органу, що ви дотримуєтесь певного чи іншого регламенту, навіть якщо ви вважаєте, що з точки зору технології пристрій не дає ви чого хочете, вони можуть бути за визначенням "варті того", якщо вони будуть тримати вас у відповідності.

Я не припускаю, що "не має значення, добре це чи ні", очевидно, що те, що робить добру роботу, віддається перевагу тому, що не відповідає; але досягнення відповідності нормативним актам - сама по собі мета.

Системи виявлення вторгнень є неоціненними інструментами, але їх потрібно правильно використовувати. Якщо ви ставитесь до своїх СНІДу як до системи, що базується на сповіщеннях, де сповіщення закінчується, ви зірветесь (нормально, було створено попередження X, що я зараз роблю?).

Я рекомендую поглянути на підхід NSM (Моніторинг безпеки мережі), де ви поєднуєте NIDS (системи оповіщення) з даними сеансу та вмісту, щоб ви могли належним чином вивчити будь-яке попередження та краще налаштувати вашу систему IDS.

* Я не можу зв’язатись, тому просто google для забезпечення безпеки та NSM

Крім інформації на основі мережі, якщо ви змішаєте HIDS + LIDS (виявлення вторгнень на основі журналу), ви отримаєте чітке уявлення про те, що відбувається.

** Плюс до цього, не забувайте, що ці засоби не призначені для захисту від нападу, а для того, щоб діяти як камера безпеки (фізичне порівняння), щоб можна було прийняти належну реакцію на інцидент.

Щоб мати хороший ІД, вам потрібно кілька джерел. Якщо IDS має декілька сповіщень з декількох джерел про одну і ту ж атаку, вона зможе запустити сповіщення, яке має набагато більше значення, ніж просто стандартне сповіщення.

Ось чому вам потрібно співвіднести вихід з HIDS (Host IDS), таких як OSSEC та NIDS (Network IDS), таких як Snort. Це можна зробити, наприклад, за допомогою прелюдії . Прелюдія узгодить і співставить сповіщення, щоб можна було генерувати реальні попередження щодо безпеки, які мають набагато більше значення. Скажімо на приклад, що у вас є мережева атака, якщо вона залишається мережевою атакою, це, мабуть, нічого поганого, але якщо вона стане атакою на хост, то викличете відповідні сповіщення з високим рівнем важливості.

На мою думку, нестандартний IDS / IPS не вартий того, якщо ви не знаєте точного характеру всіх видів діяльності, які слід бачити у вашій мережі. Ви можете ганяти себе, створюючи винятки для нерозумної поведінки користувачів та недобросовісних (законних) програм. У мережах, які не дуже заблоковані, я виявив, що шум переважає в будь-якій із систем, які я використовував. Ось чому ми врешті-решт зв'язали магістраль в єдину машину Linux, на якій було виконано спеціальний фрагмент коду С. Цей один фрагмент коду інкапсулював усі дивацтва, про які ми знали, і все інше було підозрілим.

Якщо ви робите маєте дуже замкнені вниз мережі, кращі системи будуть мати якесь - то інтеграцію з периметром пристроєм, так що є повний збіг політики.

Що стосується того, щоб знати, чи робить вона свою роботу, найкращий спосіб періодично виконувати деякі атаки.

Я думаю, що будь-яка система IDS / IPS повинна бути налаштована на ваше середовище, щоб побачити реальні переваги. Інакше вас просто затоплять помилкові позитиви. Але IDS / IPS ніколи не замінить належні брандмауэры та загартовування сервера.

Ми використовуємо підрозділ Fortigate, де я працюю останній рік, і дуже задоволений цим. Це набагато більше, ніж просто IDS / IPS, тому це може бути не саме те, що ви шукаєте, але це варто подивитися.

Правила IDS / IPS оновлюються автоматично (за замовчуванням) або можуть бути оновлені вручну. Я вважаю, що це правила IDS / IPS досить керовані також через веб-інтерфейс. Я думаю, що це простота управління завдяки розбитці захисту на профілі захисту, які ви потім присвоюєте правилам брандмауера. Тому замість того, щоб дивитися на всі правила щодо кожного пакету в мережі, ви отримуєте набагато більш цілеспрямований захист та сповіщення.

В нашій організації у нас існує низка ідентифікаторів, в тому числі комбінація комерційних та відкритих систем. Частково це пояснюється типом історичних міркувань, що трапляються в університеті, та причинами діяльності. Якщо говорити, я трохи поговорю про Снорта.

Я вже деякий час впроваджую широко розпочате спонсорство датчиків снуд. Це нині невеликий розмір масиву (подумайте <10), який охоплював пару десятків. Те, що я навчився під час цього процесу, було неоціненним; в основному, з технікою управління як кількістю оповіщень, що надходять, так і керуванням цим безліччю високо розподілених вузлів. Використовуючи MRTG в якості керівництва, у нас є датчики, які бачать в середньому 5 Мбіт / с до 96 Мбіт / с. Майте на увазі, що для цієї відповіді я кажу про IDS, а не про ВПО.

Основні результати:

1. Snort - це дуже повнофункціональний IDS і легко має власну функцію wrt, встановлену для набагато більших та неназваних постачальників мережевих пристроїв.
2. Найцікавіші сповіщення надходять від проекту Emerging Threats .
3. WSUS призводить до тупо великої кількості помилкових позитивних результатів, в основному від препроцесора sfPortscan.
4. Будь-які більше 2/3 датчиків вимагають належної системи конфігурації та управління патчем.
5. Очікуйте побачити дуже велику кількість помилкових позитивів, поки не буде здійснено агресивне налаштування.
6. BASE не дуже масштабує велику кількість сповіщень, і фронт не має вбудованої системи управління сповіщеннями.

Щоб бути справедливим до хропіння, я помітив 5 у великій кількості систем, включаючи Juniper і Cisco. Мені також розповідали історії про те, як Snort можна встановити та налаштувати простіше, ніж TippingPoint, хоча я ніколи не використовував цей продукт.

Загалом, я був дуже задоволений Snort. Я в основному вважав за краще ввімкнути більшість правил і витратити свій час на налаштування, а не на перегляд тисяч правил і вирішення, які з них увімкнути. Це зробило тюнінг часу трохи більшим, але я планував це з самого початку. Крім того, оскільки цей проект розгортався, ми також пройшли покупку SEIM, що полегшило їх координацію. Тому мені вдалося використовувати хорошу кореляцію журналів та агрегацію під час процесу настройки. Якщо у вас немає такого продукту, ваша настройка досвіду може відрізнятися.

Sourcefire має гарну систему, і вони мають компоненти, які допомагають виявити, коли з системи починає надходити новий несподіваний трафік. Ми запускаємо його в режимі IDS, а не в режимі IPS, оскільки є проблеми, коли законний трафік може бути заблокований, тому ми відстежуємо звіти і загалом це здається досить пристойною роботою.

Перш ніж ви зможете відповісти, що вам потрібно IDS / IPS, я хотів би краще зрозуміти вашу архітектуру безпеки. Що ви використовуєте для маршрутизації та комутації вашої мережі, які інші заходи безпеки ви маєте в архітектурі безпеки?

Які ризики ви намагаєтесь пом'якшити, тобто які інформаційні активи ризикують і від чого?

Ваше запитання занадто загальне, щоб дати вам нічого, окрім того, що люди думають про продукт X та його найкраще з X причин.

Безпека - це процес зменшення ризику, і впровадження рішень із безпеки ІТ повинно відповідати виявленим ризикам. Просто закидання IDS / IPS у вашу мережу, виходячи з того, що люди вважають найкращим продуктом, є малопродуктивним та марною витратою часу та грошей.

Ура, Шейн

Хмукання в поєднанні з ACID / BASE для звітування є досить гладким для продукту OSS. Я б спробував це, принаймні, щоб намочити ноги.

Системи виявлення вторгнень є більш ніж просто СНІД (мережева система). Я вважаю, що для мого середовища ВІЛ набагато корисніший. В даний час я використовую OSSEC, який контролює мої журнали, файли тощо.

Отже, якщо ви не отримуєте достатню цінність Snort, спробуйте інший підхід. Можливо, безпека для apache або ossec для аналізу журналів.

Я знаю, що багато людей будуть викидати фронт як рішення, і це добре - snort і sguil є гарною комбінацією для моніторингу різних підмереж або VLAN.

Зараз ми використовуємо Strataguard від StillSecure , це хитра реалізація на загартованому дистрибутиві GNU / Linux. Встати та працювати дуже просто (набагато простіше, ніж лише фронт), має безкоштовну версію для середовищ із меншою пропускною здатністю та дуже інтуїтивний та корисний веб-інтерфейс. Це дозволяє досить легко оновлювати, налаштовувати, змінювати та досліджувати правила.

Хоча його можна встановити в режимі IPS і автоматично заблокувати брандмауер для вас, ми використовуємо його лише в режимі IDS - встановили його на порту монітора на центральному комутаторі, підключили другий NIC для управління, і він чудово працював для ретельне вивчення трафіку. Кількість помилкових позитивних результатів (особливо попередньо настроєних) є єдиним недоліком, але це дає нам знати, що він працює, а інтерфейс дозволяє дуже легко перевірити підпис правила, перевірити захоплені пакети та перейти за посиланнями для дослідження вразливості. тож можна вирішити, чи це сповіщення справді проблему чи ні, і відрегулювати попередження або правило за необхідності.

Я б рекомендував Snort. Snort підтримується майже всіма іншими інструментами безпеки, навчальні посібники легко доступні, і так само багато застосунків. Немає таємного соусу, який робить одну СІН кращою за іншу. Громадські та місцеві набори правил забезпечують владу.

Але будь-яка ІДС (HIDS або NIDS) - це марнотрата грошей, якщо ви не бажаєте перевіряти журнали та сповіщення щогодини або щодня. Вам потрібно час та персонал, щоб усунути помилкові позитиви та створити нові правила для місцевих аномалій. IDS найкраще описується як відеокамера для вашої мережі. Хтось повинен спостерігати за ним і мати повноваження діяти на інформацію, яку вона надсилає. Інакше це нічого не варто.

Нижня лінія. Економте гроші на програмному забезпеченні, використовуйте IDS з відкритим кодом. Витратьте гроші на навчання та створіть чудову команду з безпеки.

Коли люди запитують , для виявлення вторгнень, я думаю про сервер системи IDS , оскільки це не має значення , хто проникає в мережу , якщо вони нічого не роблять один раз в. IDS як AIDE зробить знімок хеш сервера дозволяє побачити те , що є змінювався на диску протягом певного періоду.

Деякі люди вважають за краще переробити всі свої сервери після порушення безпеки, але, на мою думку, для більшості проблем це може бути трохи зайвим.

Відверто кажучи, IDS - це звичайна марнотрата часу, оскільки оператори витрачають весь свій час на виправлення помилкових позитивних результатів. Це стає таким тягарем, що система залишається в кутку і ігнорується.

Більшість організацій розміщують зонд зовнішньою мережею та здивовані, побачивши тисячі атак. Це як надіти будильник на зовнішній стороні будинку і здивуватися, що воно вимикається кожного разу, коли хтось проходить.

Консультанти з питань безпеки люблять IDS, щоб показати, наскільки це небезпечно, аудитори як прапорець, і всі інші ігнорують, оскільки це повна витрата часу та ресурсів.

Час було б краще витратити на визнання того, що щодня проводяться тисячі атак, розробляючи зовнішній доступ і, головне, переконуючись у тому, що зовнішні системи облицювання належним чином зміцнені.

Дейв