Moderne systemer for inntrengingsdeteksjon utfyller tradisjonelle brannmurer på en effektiv måte. De analyserer og overvåker kontinuerlig systemer og hele nettverk i sanntid, identifiserer potensielle trusler og varsler administratorer umiddelbart. Selve forsvaret mot angrep utføres deretter ved hjelp av tilleggsprogramvare.

Hva ligger bak et IDS (innbruddsdeteksjonssystem)?

Selv om moderne sikkerhetssystemer for datamaskiner og nettverk er avanserte, blir også nettangrepene stadig mer sofistikerte. For å beskytte sensitiv infrastruktur på en effektiv måte, bør man vurdere å ta i bruk flere sikkerhetstiltak. I denne sammenhengen er et inntrengingsdeteksjonssystem (IDS) et utmerket supplement til brannmuren. Et IDS er svært effektivt når det gjelder tidlig oppdagelse av angrep og potensielle trusler, og varsler umiddelbart administratorer som deretter kan iverksette raske forsvarsaksjoner. Det er viktig å merke seg at et inntrengingsdeteksjonssystem også kan identifisere angrep som kan ha brutt gjennom brannmurens forsvar.

I motsetning til for eksempel et system for forebygging av inntrenging, forsvarer ikke et IDS-system mot angrep i seg selv. I stedet analyserer inntrengingsdeteksjonssystemet all aktivitet i nettverket og sammenligner den med bestemte mønstre. Når uvanlig aktivitet oppdages, varsler systemet brukeren og gir detaljert informasjon om angrepets opprinnelse og art.

Tip

For mer informasjon om forskjellene mellom systemer for innbruddsdeteksjon og innbruddsforebygging, se vår egen artikkel om dette temaet.

Hvilke typer innbruddsdeteksjonssystemer finnes det?

Inntrengingsdeteksjonssystemer deles inn i tre typer: vertsbaserte (HIDS), nettverksbaserte (NIDS) eller hybridsystemer som kombinerer prinsippene fra HIDS og NIDS.

HIDS: Vertsbaserte innbruddsdeteksjonssystemer

Det vertsbaserte inntrengingsdeteksjonssystemet er den eldste formen for sikkerhetssystem. Her installeres IDS direkte på det aktuelle systemet. Det analyserer data både på logg- og kjernenivå, og undersøker også andre systemfiler. For å imøtekomme bruken av frittstående arbeidsstasjoner, er det vertsbaserte inntrengingsdeteksjonssystemet avhengig av overvåkingsagenter, som forhåndsfiltrerer trafikk og sender funn til en sentral server. Selv om det er svært nøyaktig og omfattende, kan det være sårbart for angrep som DoS og DDoS. Videre er det avhengig av det spesifikke operativsystemet.

NIDS: Nettverksbaserte inntrengingsdeteksjonssystemer

Et nettverksbasert innbruddsdeteksjonssystem analyserer datapakker som utveksles i et nettverk, og identifiserer umiddelbart uvanlige eller unormale mønstre for videre rapportering. Det kan imidlertid være utfordrende å håndtere store datamengder, noe som kan overbelaste innbruddsdeteksjonssystemet og hindre en jevn overvåking.

Hybride innbruddsdeteksjonssystemer

I dag velger mange leverandører hybride innbruddsdeteksjonssystemer som kombinerer begge tilnærmingene. Disse systemene består av vertsbaserte sensorer, nettverksbaserte sensorer og et sentralt administrasjonslag der resultatene samles for grundig analyse og kontroll.

Formål og fordeler ved et IDS

Et innbruddsdeteksjonssystem bør aldri betraktes eller brukes som en erstatning for en brannmur. Det er derimot et utmerket supplement som, i kombinasjon med brannmuren, identifiserer trusler på en mer effektiv måte. Siden innbruddsdeteksjonssystemet kan analysere selv det øverste laget i OSI-modellen, er det i stand til å avdekke nye og tidligere ukjente farekilder, selv om brannmurens forsvar har blitt brutt.

Slik fungerer et innbruddsdeteksjonssystem

Hybridmodellen er den vanligste typen innbruddsdeteksjonssystem, og benytter både verts- og nettverksbaserte tilnærminger. Innsamlet informasjon analyseres i det sentrale administrasjonssystemet ved hjelp av tre ulike komponenter.

Datamonitor

Datamonitoren samler inn alle relevante data via sensorer og filtrerer dem ut fra relevans. Dette omfatter data fra vertsiden, inkludert loggfiler og systemdetaljer, samt datapakker som overføres via nettverket. IDS-systemet samler blant annet inn og organiserer kilde- og destinasjonsadresser samt andre viktige attributter. Et avgjørende krav er at de innsamlede dataene stammer fra en pålitelig kilde eller direkte fra innbruddsdeteksjonssystemet for å sikre dataintegriteten og forhindre tidligere manipulering.

Analysator

Den andre komponenten i inntrengingsdeteksjonssystemet er analysatoren, som har til oppgave å vurdere alle mottatte og forhåndsfiltrerte data ved hjelp av ulike mønstre. Denne vurderingen utføres i sanntid, noe som kan være særlig krevende for prosessoren og hovedminnet. Tilstrekkelig kapasitet er avgjørende for en rask og nøyaktig analyse. Analysatoren benytter to forskjellige metoder til dette formålet:

  • Deteksjon av misbruk: Ved deteksjon av misbruk gjennomgår analysatoren innkommende data for å finne kjente angrepsmønstre som er lagret i en egen database, som oppdateres jevnlig. Når et angrep samsvarer med en tidligere registrert signatur, kan det identifiseres på et tidlig stadium. Denne metoden er imidlertid ineffektiv når det gjelder å oppdage angrep som systemet ennå ikke kjenner til.
  • Deteksjon av avvik: Deteksjon av avvik innebærer å vurdere hele systemet. Når en eller flere prosesser avviker fra de etablerte normene, blir slike avvik flagget. Hvis for eksempel CPU-belastningen overskrider en spesifisert terskel, eller hvis det er en uvanlig økning i sidevisninger, utløser dette en varsling. Inntrengingsdeteksjonssystemet kan også analysere den kronologiske rekkefølgen av ulike hendelser for å identifisere ukjente angrepsmønstre. Det er imidlertid viktig å merke seg at det i noen tilfeller også kan rapporteres om ufarlige avvik.

Varsling

Den tredje og siste komponenten i innbruddsdeteksjonssystemet er selve varslingen. Hvis det oppdages et angrep eller i det minste uregelmessigheter, varsler systemet administratoren. Dette varselet kan sendes via e-post, gjennom en lokal alarm eller via en melding på smarttelefonen eller nettbrettet.

Hva er ulempene ved et innbruddsdeteksjonssystem?

Selv om innbruddsdeteksjonssystemer forbedrer sikkerheten, er de ikke uten ulemper, som nevnt tidligere. Vertsbaserte IDS-er kan være sårbare for DDoS-angrep, og nettverksbaserte systemer kan slite i større nettverkskonfigurasjoner, noe som kan føre til at datapakker går tapt. Avhengig av konfigurasjonen kan deteksjon av avvik utløse falske alarmer. Videre er alle IDS-er utelukkende utviklet for å oppdage trusler, noe som krever tilleggsprogramvare for effektivt angrepsforsvar.

System for inntrengingsdeteksjon og eksemplet Snort

Et av de mest kjente og populære systemene for inntrengingsdeteksjon er Snort. Sikkerhetsverktøyet, som ble utviklet av Martin Roesch allerede i 1998, er ikke bare plattformuavhengig og åpen kildekode, men gir også brukerne omfattende forebyggende tiltak som et system for forebygging av inntrenginger. Programmet er tilgjengelig både gratis og i en betalt versjon, der man blant annet får oppdateringer raskere.

Go to Main Menu