Mitkä ovat IDS:n ja IPS:n yhtäläisyydet ja erot?
Paras tapa suojata yksittäinen tietokone tai verkko on havaita ja estää hyökkäykset ennen kuin ne ehtivät aiheuttaa vahinkoa. Siksi tunkeutumisen havaitsemisjärjestelmät (IDS) ja tunkeutumisen estojärjestelmät (IPS) voivat olla hyvä lisä palomuurille. Lue lisää IDS- ja IPS-järjestelmistä, niiden yhtäläisyyksistä ja eroista.
Ennen kuin syvennymme IDS- ja IPS-järjestelmien eroihin, esittelemme lyhyesti nämä kaksi järjestelmää. IDS tarkoittaa tunkeutumisen havaitsemisjärjestelmää (Intrusion Detection System), joka tunnistaa asiakaskoneeseen tai verkkoon kohdistuvat hyökkäykset mahdollisimman varhaisessa vaiheessa. Jos IDS havaitsee analyysissään epätavallista dataliikennettä, se lähettää varoituksen järjestelmänvalvojalle. IDS-järjestelmiä on kahta eri tyyppiä: isäntäpohjaisia ja verkkopohjaisia. IPS tarkoittaa tunkeutumisenestojärjestelmää (intrusion prevention system), joka paitsi tunnistaa ja raportoi mahdolliset hyökkäykset, myös torjuu ne aktiivisilla vastatoimilla. IPS käyttää myös isäntäpohjaisia ja verkkopohjaisia antureita järjestelmätietojen ja verkkopakettien arvioimiseen.
Mitä yhteistä IDS:llä ja IPS:llä on?
On varmaan jo selvää, että IDS ja IPS eivät ole toisistaan kaukana. Näillä kahdella järjestelmällä on useita yhteisiä piirteitä. Tarkastelemme muutamia niistä seuraavassa.
Analyysi
Monissa tapauksissa näiden kahden järjestelmän käyttämät analyysimenetelmät ovat lähes tai täysin samat. Sekä IDS että IPS käyttävät isäntäkoneessa, verkossa tai molemmissa sijaitsevia antureita tarkistaakseen järjestelmätietoja ja verkon datapaketteja sekä etsiäkseen uhkia. Ne käyttävät kiinteitä parametrejä, jotta ne voivat havaita poikkeamat ja samalla tunnistaa vaarattomat poikkeamat sellaisiksi kuin ne ovat. Analyysi suoritetaan väärinkäytön havaitsemisen tai poikkeamien havaitsemisen avulla. Tämä tarkoittaa kuitenkin myös, että niillä on yhteisiä potentiaalisia heikkouksia. Yksi niistä on, että väärinkäytön havaitsemisessa tuntemattomat uhat voivat jäädä huomaamatta. Poikkeamien havaitsemisessa puolestaan raportoidaan usein vaarattomia datapaketteja.
Tietokanta
Sekä IDS että IPS käyttävät tietokantaa, jonka avulla uhat voidaan tunnistaa nopeammin ja tarkemmin. Mitä kattavampi tietokanta on, sitä parempi tunnistustarkkuus kummallakin järjestelmällä on. Siksi IDS:ää ja IPS:ää ei voida pitää staattisina järjestelminä, vaan ne ovat itse asiassa muuttuvia ja mukautuvia järjestelmiä, jotka kehittyvät päivitysten myötä.
Tekoälyn käyttö
Tekoäly on erittäin tärkeää sekä IDS- että IPS-järjestelmille. Nykyaikaiset järjestelmät parantavat uhkien havaitsemista ja laajentavat tietokantojaan koneoppimisen avulla. Tämän ansiosta ne pystyvät ymmärtämään uusia hyökkäysmalleja paremmin, tunnistamaan ne aikaisemmin ja raportoimaan vähemmän vaarattomia paketteja.
Asetukset
Sekä IDS- että IPS-järjestelmät voidaan räätälöidä ja mukauttaa verkon tai järjestelmän tarpeisiin. Oikeanlainen konfigurointi varmistaa, että prosessit eivät häiriinny ja että kaikki komponentit toimivat sujuvasti valvonnasta huolimatta. Tämä on erittäin tärkeää, sillä sekä IDS- että IPS-järjestelmät suorittavat tarkistuksia ja analysoivat tilannetta reaaliajassa.
Automaatio
Sekä IDS että IPS toimivat automaattisesti ja itsenäisesti. Kun ne on määritetty, niitä ei tarvitse valvoa manuaalisesti. Ne hoitavat tehtävänsä ja antavat palautetta vain uhkatilanteissa.
Uhkien havaitseminen ja varoittaminen
Molemmilla järjestelmillä on myös sama perustoiminto: ne havaitsevat uhat ja ilmoittavat asiasta välittömästi järjestelmänvalvojalle. Varoitus voidaan lähettää sähköpostina, älypuhelimen tai tabletin ilmoituksena tai järjestelmähälytyksenä. Sen jälkeen vastuuhenkilöt voivat päättää, miten asiassa edetään.
Protokollan ominaisuus
Sekä IDS:llä että IPS:llä on protokollaominaisuus. Sen ansiosta ne eivät ainoastaan ilmoita uhkista tai torju niitä, vaan myös tallentavat ne omiin tietokantoihinsa. Tämä parantaa niiden suorituskykyä ajan myötä ja auttaa niitä tunnistamaan ja korjaamaan heikkouksiaan.
Yhdistelmä palomuurien kanssa
Sekä IDS:ää että IPS:ää tulisi pitää palomuurin lisäominaisuuksina. Jotta järjestelmäsi olisi mahdollisimman hyvin suojattu hyökkäyksiltä, sinun tulisi yhdistää useita turvatoimenpiteitä. Jos käytät vain yhtä IDS- tai IPS-järjestelmää, verkkoasi tai tietokonettasi ei ole suojattu riittävällä tavalla.
Mikä erottaa IDS:n ja IPS:n toisistaan?
Kuten edellä on todettu, näillä kahdella järjestelmällä on paljon yhteistä. Niitä erottaa toisistaan kuitenkin myös useita seikkoja. Seuraavassa selitämme joitakin tärkeimpiä eroja IDS:n ja IPS:n välillä.
Reagoiminen uhkiin
Kuten edellä mainittiin, sekä IDS että IPS valvovat järjestelmää ja raportoivat sekä kirjaavat uhat. IDS:n tehtävä päättyy kuitenkin tähän, kun taas IPS menee pidemmälle. IPS on aktiivinen tietoturvajärjestelmä, joka reagoi uhkiin itsenäisesti. Tähän voi kuulua yhteyksien katkaiseminen tai datapakettien pysäyttäminen ja hävittäminen, jos niissä havaitaan poikkeamia. IDS puolestaan on passiivinen järjestelmä, joka vain valvoo ja raportoi uhkia.
Sijoittuminen
IDS- ja IPS-järjestelmät eroavat toisistaan myös sijoituspaikan suhteen. IDS sijoitetaan joko tietokoneelle tai verkon reunaan, missä saapuvien ja lähtevien datapakettien seuranta on helpointa. IPS puolestaan sijoitetaan palomuurin taakse, missä se voi paitsi ilmoittaa uhista myös estää ne.
Tyypit
Molemmat ratkaisut voivat olla isäntäkonepohjaisia (HIPS) tai verkkopohjaisia (NIPS). Toisin kuin IDS-järjestelmät, IPS-ratkaisut voivat kuitenkin olla myös WiFi-pohjaisia (WIPS).
Itsenäisyys
IPS toimii pääosin itsenäisesti ja löytää ratkaisuja erilaisiin uhkiin. IDS valvoo myös datapaketteja itsenäisesti, mutta ei voi toimia omatoimisesti havaittuaan uhkia. Jos järjestelmä lähettää varoituksen, järjestelmänvalvoja käynnistää vastatoimet.
Asetukset
IDS toimii yleensä linjassa verkon kanssa, joten sillä ei ole haitallisia vaikutuksia verkon suorituskykyyn. Sen asetusten määrittäminen vaatii kuitenkin jonkin verran harkintaa. IDS voi esimerkiksi välittää havaitsemansa uhan suoraan reitittimeen tai palomuuriin ja ilmoittaa asiasta järjestelmänvalvojalle. IPS puolestaan voi vaikuttaa negatiivisesti verkon suorituskykyyn. Siksi järjestelmän tarkka konfigurointi on sitäkin tärkeämpää. Jos se päästää vaarallisia datapaketteja läpi, se ei enää suojaa järjestelmääsi. Mutta jos se estää vaaratonta liikennettä, koko verkko voi kärsiä.