Consiglia un sistema di rilevamento delle intrusioni (IDS / IPS) e ne vale la pena?

Nel corso degli anni ho provato vari sistemi IDS e IPS basati su rete e non sono mai stato soddisfatto dei risultati. O i sistemi erano troppo difficili da gestire, attivati ​​solo su exploit noti basati su vecchie firme, o erano semplicemente troppo chiacchieroni con l'output.

In ogni caso, non credo che abbiano fornito una protezione reale per la nostra rete. In alcuni casi, erano dannosi a causa della caduta di connessioni valide o di un semplice fallimento.

Negli ultimi anni, sono sicuro che le cose sono cambiate, quindi quali sono i sistemi IDS consigliati in questi giorni? Hanno euristiche che funzionano e non avvisano del traffico legittimo?

Oppure, è solo meglio fare affidamento su buoni firewall e host rinforzati?

Se consigli un sistema, come fai a sapere che sta facendo il suo lavoro?

Come alcuni hanno menzionato nelle risposte seguenti, otteniamo anche alcuni feedback sui sistemi di rilevamento delle intrusioni dell'host in quanto sono strettamente correlati agli ID basati sulla rete.

Per la nostra configurazione attuale, dovremmo monitorare due reti separate con una larghezza di banda totale di 50 Mbps. Sto cercando un feedback del mondo reale qui, non un elenco di dispositivi o servizi in grado di fare IDS.

Diversi anni fa ho recensito diversi sistemi di prevenzione delle intrusioni.

Volevo distribuire qualcosa tra un paio di posizioni e la rete aziendale.
Il sistema doveva fornire una gestione e un monitoraggio facili (qualcosa che poteva essere consegnato a una persona dell'help desk di secondo livello). Erano inoltre necessari allarmi e segnalazioni automatizzati.

Il sistema che ho finito per scegliere era l'IPS di Tipping Point. Ci piace ancora dopo essere stato sul posto per diversi anni. La nostra implementazione include l'abbonamento al loro vaccino digitale, che espelle le vulnerabilità e sfrutta le regole settimanalmente.

Il sistema è stato molto utile per osservare cosa sta succedendo (avvisare ma non intervenire) e bloccare o mettere automaticamente in quarantena i sistemi.

Questo ha finito per essere uno strumento molto utile per individuare e isolare i computer infetti da malware, nonché per bloccare il controllo della larghezza di banda o il traffico relativo alle politiche di sicurezza senza dover lavorare con gli elenchi di controllo degli accessi al router.

http://www.tippingpoint.com/products_ips.html

Un pensiero; chiedi "ne valgono la pena". Odio dare una risposta non tecnica, ma se la tua organizzazione deve disporre di un IDS per indicare a un organo di regolamentazione che sei conforme a un regolamento o altro, anche se ritieni che dal punto di vista tecnologico il dispositivo non dia ciò che vuoi, possono essere per definizione "ne vale la pena" se ti mantengono conforme.

Non sto suggerendo che "non importa se è buono o no", ovviamente qualcosa che fa un buon lavoro è preferito a qualcosa che non lo fa; ma raggiungere la conformità normativa è un obiettivo in sé.

I sistemi di rilevamento delle intrusioni sono strumenti preziosi, ma devono essere utilizzati correttamente. Se tratti il ​​tuo NIDS come un sistema basato sugli avvisi, dove l'avviso è alla fine, ti sentirai frustrato (ok, è stato generato l'avviso X, cosa devo fare ora?).

Ti consiglio di esaminare l'approccio NSM (Network security monitoring) in cui mescoli NIDS (sistemi di allarme) con dati di sessione e contenuti, in modo da poter esaminare correttamente qualsiasi avviso e ottimizzare il tuo sistema IDS.

* Non riesco a collegarmi, quindi solo Google per Taosecurity o NSM

Oltre alle informazioni basate sulla rete, se mescoli HIDS + LIDS (rilevamento delle intrusioni basato sul registro) otterrai una visione chiara di ciò che sta accadendo.

** Inoltre, non dimenticare che questi strumenti non hanno lo scopo di proteggerti da un attacco, ma di fungere da videocamera di sicurezza (confronto fisico) in modo da poter prendere la risposta corretta all'incidente.

Per avere un buon IDS, hai bisogno di più fonti. Se un IDS ha più avvisi da più fonti per lo stesso attacco, sarà in grado di lanciare un avviso che ha molto più significato di un semplice avviso standard.

Questo è il motivo per cui è necessario correlare l'output di HIDS (Host IDS) come OSSEC e NIDS (Network IDS) come Snort. Questo può essere fatto usando Prelude per esempio. Preludio aggregherà e correlerà gli avvisi per essere in grado di generare avvisi di sicurezza reali che hanno molto più significato. Supponiamo che ad esempio tu abbia un attacco di rete, se rimane un attacco di rete, probabilmente non è niente di male, ma se diventa un attacco host, questo attiverà avvisi appropriati con un alto livello di importanza.

A mio avviso, IDS / IPS standard non vale la pena a meno che non si conosca la natura esatta di tutte le attività che dovrebbero essere visualizzate sulla rete. Puoi impazzire creando eccezioni per il comportamento degli utenti stupidi e comportamenti scorretti (legittimi). Su reti che non sono molto bloccate, ho trovato il rumore travolgente in qualsiasi sistema che ho usato. Ecco perché alla fine abbiamo reindirizzato la spina dorsale in una singola macchina Linux che eseguiva un pezzo personalizzato di codice C. Quel pezzo di codice racchiudeva tutte le stranezze che conoscevamo e qualsiasi altra cosa era sospetta.

Se fare una rete altamente bloccato, i migliori sistemi avranno una sorta di integrazione con il dispositivo di perimetro, in modo che ci sia corrispondenza politica completa.

Per quanto riguarda sapere se sta facendo il suo lavoro, il modo migliore è eseguire periodicamente alcuni attacchi.

Penso che qualsiasi sistema IDS / IPS debba essere personalizzato in base al proprio ambiente per vedere eventuali vantaggi reali. Altrimenti verrai inondato di falsi positivi. IDS / IPS non sostituiranno mai i firewall e l'indurimento del server corretti.

Abbiamo usato un'unità Fortigate in cui lavoro l'anno scorso e ne sono stato davvero contento. Fa molto di più di un semplice IDS / IPS, quindi potrebbe non essere esattamente quello che stai cercando, ma vale la pena dare un'occhiata.

Le regole IDS / IPS vengono aggiornate automaticamente (impostazione predefinita) o possono essere aggiornate manualmente. Trovo che le sue regole IDS / IPS siano abbastanza gestibili anche tramite la sua interfaccia web. Penso che la facilità di gestione sia dovuta alla suddivisione della protezione in profili di protezione che vengono quindi assegnati alle regole sul firewall. Quindi, piuttosto che osservare tutte le regole di ogni pacchetto sulla rete, si ottiene una protezione e avvisi molto più mirati.

Nella nostra organizzazione abbiamo un numero di IDS attualmente in atto, tra cui un mix di sistemi commerciali e aperti. Ciò è dovuto in parte al tipo di considerazioni storiche che accadono in un'università e ai motivi della performance. Detto questo, parlerò di Snort per un po '.

Sto distribuendo un sensore di sbuffo a livello aziendale da qualche tempo. Questo è un array di dimensioni ridotte attualmente (pensa <10), con l'obiettivo di raggiungere un paio di dozzine. Ciò che ho imparato attraversando questo processo è stato inestimabile; principalmente con tecniche per gestire sia il numero di avvisi in arrivo sia per gestire questi numerosi nodi altamente distribuiti. Utilizzando MRTG come guida, abbiamo sensori che vedono una media di 5 Mbps fino a 96 Mbps. Tieni presente che ai fini di questa risposta sto parlando di IDS, non IDP.

I principali risultati sono:

1. Snort è un IDS molto completo e mantiene facilmente la propria funzionalità wrt impostata su fornitori di apparecchiature di rete molto più grandi e senza nome.
2. Gli avvisi più interessanti provengono dal progetto Emerging Threats .
3. WSUS si traduce in un numero incredibilmente elevato di falsi positivi, in gran parte dal preprocessore sfPortscan.
4. Più di 2/3 sensori richiedono una buona configurazione e un sistema di gestione delle patch.
5. Aspettatevi di vedere un numero molto elevato di falsi positivi fino a quando non viene eseguita una messa a punto aggressiva.
6. BASE non si adatta molto bene con un gran numero di avvisi e snort non ha un sistema di gestione degli avvisi integrato.

Per essere onesti da sbuffare, ho notato 5 in un gran numero di sistemi, tra cui Juniper e Cisco. Mi hanno anche raccontato storie su come Snort può essere installato e configurato più facilmente di TippingPoint, sebbene non abbia mai usato quel prodotto.

Tutto sommato, sono stato molto contento di Snort. Ho preferito in gran parte attivare la maggior parte delle regole e passare il mio tempo a sintonizzarsi piuttosto che passare attraverso migliaia di regole e decidere quali attivare. Ciò ha reso il tempo trascorso a sintonizzare un po 'più in alto, ma ho pianificato fin dall'inizio. Inoltre, dato che questo progetto si stava intensificando, abbiamo anche effettuato un acquisto SEIM, che ha facilitato il coordinamento dei due. Così sono riuscito a sfruttare la buona correlazione e aggregazione dei log durante il processo di ottimizzazione. Se non si dispone di tale prodotto, la regolazione dell'esperienza potrebbe essere diversa.

Sourcefire ha un buon sistema e ha componenti che aiutano a scoprire quando un nuovo traffico imprevisto inizia a emanare da un sistema. Lo eseguiamo in modalità IDS anziché in modalità IPS perché ci sono problemi in cui il traffico legittimo potrebbe essere bloccato, quindi monitoriamo i rapporti e nel complesso sembra fare un lavoro abbastanza decente.

Ben prima che tu possa rispondere di quali IDS / IPS hai bisogno vorrei capire meglio la tua architettura di sicurezza. Cosa usi per instradare e cambiare la tua rete, quali altre misure di sicurezza hai nella tua architettura di sicurezza?

Quali sono i rischi che stai cercando di mitigare, ovvero quali risorse informative sono a rischio e da cosa?

La tua domanda è troppo generica per darti qualsiasi cosa, ma cosa pensa la gente del prodotto X ed è la migliore per ragioni di X.

La sicurezza è un processo di mitigazione del rischio e l'implementazione delle soluzioni di sicurezza IT deve essere in linea con i rischi identificati. Il semplice lancio di IDS / IPS nella propria rete in base a ciò che la gente pensa sia il prodotto migliore, è improduttivo e spreca tempo e denaro.

Saluti Shane

Snort combinato con ACID / BASE per la creazione di report, è piuttosto elegante per un prodotto OSS. Ci proverei, almeno per bagnarti i piedi.

I sistemi di rilevamento delle intrusioni sono più di un semplice NIDS (basato sulla rete). Trovo che per il mio ambiente, un HIDS sia molto più utile. Attualmente sto usando OSSEC, che monitora i miei registri, file, ecc.

Quindi, se non ottieni abbastanza valore da Snort, prova un approccio diverso. Forse modsecurity per apache o ossec per l'analisi dei log.

So che molte persone emetteranno lo sbuffo come soluzione, ed è buono - snort e sguil sono una buona combinazione per il monitoraggio di diverse sottoreti o VLAN.

Attualmente utilizziamo Strataguard di StillSecure , è un'implementazione snort su una distro GNU / Linux potenziata. È molto semplice da installare (molto più semplice dello snort da solo), ha una versione gratuita per ambienti con larghezza di banda ridotta e un'interfaccia Web molto intuitiva e utile. Rende ragionevolmente facile aggiornare, mettere a punto, modificare e ricercare le regole.

Sebbene possa essere installato in modalità IPS e bloccare automaticamente il firewall per te, lo utilizziamo solo in modalità IDS: installato sulla porta del monitor sul nostro switch centrale, inserito una seconda scheda di rete per la gestione e ha funzionato benissimo per scrutando il traffico. Il numero di falsi positivi (soprattutto pre-tuning) è l'unico aspetto negativo, ma questo ci fa sapere che funziona, e l'interfaccia rende molto facile esaminare la firma della regola, ispezionare i pacchetti acquisiti e seguire i collegamenti per ricercare la vulnerabilità così si può decidere se l'avviso è veramente un problema o meno e regolare l'avviso o la regola come necessario.

Consiglierei Snort. Snort è supportato da quasi tutti gli altri strumenti di sicurezza, i tutorial sono prontamente disponibili, così come molte applicazioni front-end. Non c'è salsa segreta, che rende un IDS migliore di un altro. Le regole pubbliche e locali forniscono il potere.

Ma qualsiasi IDS (HIDS o NIDS) è uno spreco di denaro a meno che tu non sia disposto a controllare i registri e gli avvisi, ogni ora o ogni giorno. È necessario il tempo e il personale per rimuovere i falsi positivi e creare nuove regole per le anomalie locali. Un IDS è meglio descritto come una videocamera per la tua rete. Qualcuno deve guardarlo e avere l'autorità di agire sulle informazioni che invia. Altrimenti è inutile.

Linea di fondo. Risparmia sul software, usa un IDS open source. Spendere soldi per la formazione e sviluppare un ottimo team di sicurezza.

Quando le persone chiedono il rilevamento delle intrusioni, penso agli ID server in quanto non importa chi penetra nella tua rete se non fanno nulla una volta dentro. Un IDS come AIDE farà hash di istantanee di un server che ti permettono di vedere esattamente cosa ha modificato su disco in un determinato periodo.

Alcune persone preferiscono reinventare tutti i loro server dopo una violazione della sicurezza, ma penso che possa essere un po 'eccessivo per la maggior parte dei problemi.

Francamente, IDS di solito è una totale perdita di tempo in quanto gli operatori trascorrono tutto il loro tempo a sintonizzare i falsi positivi. Diventa un tale onere che il sistema viene lasciato in un angolo e ignorato.

La maggior parte delle organizzazioni posiziona la sonda all'esterno della rete e si stupisce di vedere migliaia di attacchi. È come mettere un allarme antifurto all'esterno della casa ed essere sorpreso che si spenga ogni volta che qualcuno passa.

IDS è amato dai consulenti di sicurezza per mostrare quanto sia pericoloso là fuori, i revisori come una casella di spunta e ignorato da tutti gli altri in quanto è una completa perdita di tempo e risorse.

Sarebbe meglio passare il tempo accettando che ci siano migliaia di attacchi ogni giorno, progettando l'accesso esterno e soprattutto assicurandosi che i sistemi di rivestimento esterni siano adeguatamente induriti.

Dave