Mikä on tunkeutumisen havaitsemisjärjestelmä (IDS)?
Nykyaikaiset tunkeutumisen havaitsemisjärjestelmät täydentävät tehokkaasti perinteisiä palomuureja. Ne analysoivat ja valvovat järjestelmiä ja kokonaisia verkkoja jatkuvasti reaaliajassa, tunnistavat mahdolliset uhat ja ilmoittavat niistä välittömästi järjestelmänvalvojille. Varsinainen puolustus hyökkäyksiä vastaan toteutetaan tämän jälkeen lisäohjelmistojen avulla.
Mitä IDS (tunkeutumisen havaitsemisjärjestelmä) tarkoittaa?
Vaikka nykyaikaiset tietokone- ja verkkoturvajärjestelmät ovat kehittyneitä, myös kyberhyökkäykset muuttuvat yhä ovelammiksi. Herkän infrastruktuurin tehokkaaksi suojaamiseksi kannattaa harkita useiden turvatoimenpiteiden käyttöä. Tässä yhteydessä tunkeutumisen havaitsemisjärjestelmä (IDS) on erinomainen lisä palomuurille. IDS on erityisen tehokas hyökkäysten ja mahdollisten uhkien varhaisessa havaitsemisessa, ja se hälyttää välittömästi järjestelmänvalvojat, jotka voivat sitten ryhtyä nopeisiin puolustustoimiin. Merkittävää on, että tunkeutumisen havaitsemisjärjestelmä pystyy tunnistamaan myös hyökkäykset, jotka ovat mahdollisesti läpäisseet palomuurin puolustuksen.
Toisin kuin esimerkiksi tunkeutumisenestojärjestelmä, tunkeutumisen havaitsemisjärjestelmä(IDS) ei itse torju hyökkäyksiä. Sen sijaan tunkeutumisen havaitsemisjärjestelmä analysoi kaiken verkossa tapahtuvan toiminnan ja vertaa sitä tiettyihin malleihin. Kun epätavallista toimintaa havaitaan, järjestelmä hälyttää käyttäjää ja antaa yksityiskohtaista tietoa hyökkäyksen alkuperästä ja luonteesta.
Lisätietoja tunkeutumisen havaitsemis- ja estojärjestelmien eroista löytyy aiheesta kirjoitetusta erillisestä artikkelistamme.
Millaisia tunkeutumisen havaitsemisjärjestelmiä on olemassa?
Tunkeutumisen havaitsemisjärjestelmät jaetaan kolmeen tyyppiin: isäntäkoneisiin perustuvat (HIDS), verkkoon perustuvat (NIDS) sekä hybridijärjestelmät, joissa yhdistyvät HIDS- ja NIDS-periaatteet.
HIDS: Isäntäkoneisiin perustuvat tunkeutumisen havaitsemisjärjestelmät
Isäntäkoneeseen perustuva tunkeutumisen havaitsemisjärjestelmä on vanhin tietoturvajärjestelmän muoto. Tässä tapauksessa IDS asennetaan suoraan kyseiseen järjestelmään. Se analysoi tietoja sekä loki- että ytimen tasolla ja tutkii myös muita järjestelmätiedostoja. Itsenäisten työasemien käytön mahdollistamiseksi isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä käyttää valvontaprosesseja, jotka suodattavat liikenteen etukäteen ja lähettävät havainnot keskuspalvelimelle. Vaikka järjestelmä on erittäin tarkka ja kattava, se voi olla alttiina DoS- ja DDoS-hyökkäyksille. Lisäksi se on riippuvainen tietystä käyttöjärjestelmästä.
NIDS: Verkkoon perustuvat tunkeutumisen havaitsemisjärjestelmät
Verkkopohjainen tunkeutumisen havaitsemisjärjestelmä tarkastelee verkossa vaihdettavia datapaketteja ja tunnistaa välittömästi epätavalliset tai poikkeavat mallit raportointia varten. Suurten tietomäärien käsittely voi kuitenkin olla haastavaa, mikä voi ylikuormittaa tunkeutumisen havaitsemisjärjestelmän ja haitata saumatonta valvontaa.
Hybridiset tunkeutumisen havaitsemisjärjestelmät
Nykyään monet toimittajat valitsevat hybridiset tunkeutumisen havaitsemisjärjestelmät, joissa yhdistyvät molemmat lähestymistavat. Nämä järjestelmät koostuvat isäntäkoneisiin asennetuista antureista, verkkoon asennetuista antureista sekä keskitetystä hallintakerroksesta, johon tulokset kootaan perusteellista analysointia ja hallintaa varten.
Tunkeutumisen havaitsemisjärjestelmän (IDS) tarkoitus ja edut
Tunkeutumisen havaitsemisjärjestelmää ei pidä koskaan pitää palomuurin korvaajana eikä käyttää sellaisena. Se on sen sijaan erinomainen lisä, joka yhdessä palomuurin kanssa tunnistaa uhat tehokkaammin. Koska tunkeutumisen havaitsemisjärjestelmä pystyy analysoimaan jopa OSI-mallin ylimmän kerroksen, se kykenee paljastamaan uusia ja aiemmin tuntemattomia vaaralähteitä, vaikka palomuurin puolustuslinjat olisi murrettu.
Miten tunkeutumisen havaitsemisjärjestelmä toimii
Hybridimalli on yleisin tunkeutumisen havaitsemisjärjestelmän tyyppi, jossa hyödynnetään sekä isäntäkoneisiin että verkkoon perustuvia menetelmiä. Kerättyjä tietoja analysoidaan keskushallintajärjestelmässä kolmen eri komponentin avulla.
Tietojen seuranta
Tietomonitori kerää kaikki olennaiset tiedot antureiden kautta ja suodattaa ne niiden merkityksellisyyden perusteella. Tähän sisältyvät isäntäkoneen puolelta peräisin olevat tiedot, kuten lokitiedostot ja järjestelmätiedot, sekä verkon kautta lähetetyt datapaketit. IDS kerää ja järjestää muun muassa lähettäjän ja vastaanottajan osoitteet sekä muut keskeiset tiedot. Keskeinen vaatimus on, että kerätyt tiedot ovat peräisin luotettavasta lähteestä tai suoraan tunkeutumisen havaitsemisjärjestelmästä, jotta tietojen eheys voidaan varmistaa ja estää niiden aiempi manipulointi.
Analysointilaite
Tunkeutumisen havaitsemisjärjestelmän toinen osa on analysointiyksikkö, jonka tehtävänä on arvioida kaikki vastaanotetut ja esisuodatetut tiedot erilaisten mallien avulla. Tämä arviointi tapahtuu reaaliajassa, mikä voi kuormittaa prosessoria ja päämuistia huomattavasti. Riittävät resurssit ovat välttämättömiä nopean ja tarkan analyysin kannalta. Analysointiyksikkö käyttää tähän tarkoitukseen kahta erillistä menetelmää:
- Väärinkäytön havaitseminen: Väärinkäytön havaitsemisessa analysointijärjestelmä tutkii saapuvat tiedot etsiäkseen tunnistettuja hyökkäysmalleja, jotka on tallennettu säännöllisesti päivitettävään erilliseen tietokantaan. Kun hyökkäys vastaa aiemmin tallennettua tunnistekuviota, se voidaan tunnistaa jo varhaisessa vaiheessa. Tämä menetelmä on kuitenkin tehoton sellaisten hyökkäysten havaitsemisessa, joita järjestelmä ei vielä tunne.
- Poikkeamien havaitseminen: Poikkeamien havaitseminen edellyttää koko järjestelmän arviointia. Kun yksi tai useampi prosessi poikkeaa vakiintuneista normeista, tällaiset poikkeamat merkitään. Esimerkiksi jos CPU:n kuormitus ylittää määritetyn kynnysarvon tai jos sivujen käynneissä esiintyy epätavallinen piikki, se laukaisee hälytyksen. Tunkeutumisen havaitsemisjärjestelmä voi myös analysoida eri tapahtumien kronologista järjestystä tunnistaakseen tuntemattomia hyökkäysmalleja. On kuitenkin tärkeää huomata, että joissakin tapauksissa myös vaarattomat poikkeamat voivat tulla raportoiduiksi.
Hälytys
Tunkeutumisen havaitsemisjärjestelmän kolmas ja viimeinen osa on varsinainen hälytys. Jos järjestelmä havaitsee hyökkäyksen tai edes poikkeamia, se ilmoittaa asiasta järjestelmänvalvojalle. Ilmoitus voidaan lähettää sähköpostitse, paikallisella hälytyksellä tai älypuhelimeen tai tablet-laitteeseen lähetettävällä viestillä.
Mitkä ovat tunkeutumisen havaitsemisjärjestelmän haitat?
Vaikka tunkeutumisen havaitsemisjärjestelmät parantavat tietoturvaa, niillä on, kuten aiemmin mainittiin, myös haittapuolia. Isäntäkoneisiin perustuvat IDS-järjestelmät voivat olla alttiita DDoS-hyökkäyksille, ja verkkoon perustuvat järjestelmät voivat kohdata vaikeuksia suurissa verkkoasennuksissa, jolloin ne saattavat jättää datapaketteja huomaamatta. Poikkeamien havaitseminen voi konfiguraatiosta riippuen aiheuttaa vääriä hälytyksiä. Lisäksi kaikki IDS-järjestelmät on suunniteltu yksinomaan uhkien havaitsemiseen, minkä vuoksi tehokkaaseen hyökkäysten torjuntaan tarvitaan lisäohjelmistoja.
Tunkeutumisen havaitsemisjärjestelmä ja Snortin esimerkki
Yksi tunnetuimmista ja suosituimmista tunkeutumisen havaitsemisjärjestelmistä on Snort. Martin Roeschin vuonna 1998 kehittämä tietoturvatyökalu on paitsi alustojen välinen ja avoimen lähdekoodin ohjelmisto, myös tarjoaa käyttäjille kattavia suojauskeinoja tunkeutumisen estojärjestelmänä. Ohjelma on saatavilla ilmaiseksi sekä maksullisena versiona, jossa esimerkiksi päivitykset toimitetaan nopeammin.