Moderní systémy detekce narušení účinně doplňují tradiční firewally. Nepřetržitě analyzují a monitorují systémy a celé sítě v reálném čase, identifikují potenciální hrozby a okamžitě informují správce. Skutečná obrana proti útokům je následně prováděna pomocí dalšího softwaru.

Co se skrývá za zkratkou IDS (systém detekce narušení)?

Ačkoli jsou moderní počítačové a síťové bezpečnostní systémy pokročilé, kybernetické útoky jsou také stále chytřejší. Chcete-li účinně chránit citlivou infrastrukturu, zvažte použití více bezpečnostních opatření. V této souvislosti je systém detekce narušení (IDS) prvotřídním doplňkem brány firewall. Systém IDS vyniká včasnou detekcí útoků a potenciálních hrozeb a okamžitě upozorňuje správce, kteří pak mohou přijmout rychlá obranná opatření. Důležité je, že systém detekce narušení dokáže identifikovat i útoky, které mohly prolomit obranu firewallu.

Na rozdíl od systému prevence narušení například IDS sám proti útokům nechrání. Místo toho systém detekce narušení analyzuje veškerou aktivitu v síti a porovnává ji se specifickými vzory. Pokud jsou detekovány neobvyklé aktivity, systém upozorní uživatele a poskytne podrobné informace o původu a povaze útoku.

Tip

Více informací o rozdílech mezi systémy detekce narušení a systémy prevence narušení naleznete v našem samostatném článku věnovaném tomuto tématu.

Jaké typy systémů detekce narušení existují?

Systémy detekce narušení se dělí do tří typů: hostitelské (HIDS), síťové (NIDS) nebo hybridní systémy, které kombinují principy HIDS a NIDS.

HIDS: Systémy detekce narušení založené na hostiteli

Hostitelský systém detekce narušení je nejstarší formou bezpečnostního systému. V tomto případě je IDS nainstalován přímo na příslušném systému. Analyzuje data na úrovni protokolu i jádra a zkoumá také další systémové soubory. Aby bylo možné systém používat na samostatných pracovních stanicích, využívá hostitelský systém detekce narušení monitorovací agenty, které předběžně filtrují provoz a odesílají zjištěné informace na centrální server. Ačkoli je tento systém velmi přesný a komplexní, může být zranitelný vůči útokům typu DoS a DDoS. Navíc je závislý na konkrétním operačním systému.

NIDS: Síťové systémy detekce narušení

Síťový systém detekce narušení zkoumá datové pakety vyměňované v rámci sítě a okamžitě identifikuje neobvyklé nebo abnormální vzorce, které následně nahlásí. Zpracování velkého objemu dat však může být náročné, což může systém detekce narušení přetížit a bránit plynulému monitorování.

Hybridní systémy detekce narušení

V současné době se mnoho dodavatelů rozhoduje pro hybridní systémy detekce narušení, které integrují oba přístupy. Tyto systémy se skládají z hostitelských senzorů, síťových senzorů a centrální správní vrstvy, kde se výsledky shromažďují pro hloubkovou analýzu a kontrolu.

Účel a výhody IDS

Systém detekce narušení by nikdy neměl být považován za náhradu firewallu ani jako tak používán. Jedná se spíše o prvotřídní doplněk, který ve spojení s firewallem identifikuje hrozby efektivněji. Jelikož systém detekce narušení dokáže analyzovat i nejvyšší vrstvu modelu OSI, je schopen odhalit nové a dosud neznámé zdroje nebezpečí, a to i v případě, že obrana firewallu byla prolomena.

Jak funguje systém detekce narušení

Hybridní model je nejrozšířenějším typem systému detekce narušení, který využívá jak hostitelský, tak síťový přístup. Shromážděné informace jsou vyhodnocovány v centrálním systému správy pomocí tří odlišných komponent.

Monitor dat

Monitor dat shromažďuje všechna relevantní data pomocí senzorů a filtruje je podle jejich relevance. To zahrnuje data ze strany hostitele, včetně logových souborů a podrobností o systému, jakož i datové pakety přenášené přes síť. IDS mimo jiné shromažďuje a organizuje zdrojové a cílové adresy a další důležité atributy. Zásadním požadavkem je, aby shromážděná data pocházela z důvěryhodného zdroje nebo přímo ze systému detekce narušení, aby byla zajištěna integrita dat a zabráněno jejich předchozí manipulaci.

Analyzátor

Druhou součástí systému detekce narušení je analyzátor, který je zodpovědný za vyhodnocení všech přijatých a předfiltrovaných dat pomocí různých vzorů. Toto vyhodnocení se provádí v reálném čase, což může být zvláště náročné na CPU a hlavní paměť. Pro rychlou a přesnou analýzu jsou nezbytné odpovídající kapacity. Analyzátor k tomuto účelu používá dvě odlišné metody:

  • Detekce zneužití: Při detekci zneužití analyzátor pečlivě zkoumá příchozí data a hledá v nich známé vzorce útoků uložené v speciální databázi, která je pravidelně aktualizována. Pokud útok odpovídá dříve zaznamenané signatuře, lze jej identifikovat v rané fázi. Tato metoda je však neúčinná při detekci útoků, které systém dosud nezná.
  • Detekce anomálií: Detekce anomálií zahrnuje posouzení celého systému. Pokud jeden nebo více procesů vybočuje ze stanovených norem, jsou takové anomálie označeny. Například pokud zatížení CPU překročí stanovenou hranici nebo dojde k neobvyklému nárůstu přístupů na stránky, spustí se výstraha. Systém detekce narušení může také analyzovat chronologické pořadí různých událostí, aby identifikoval neznámé vzorce útoků. Je však důležité si uvědomit, že v některých případech mohou být hlášeny i neškodné anomálie.

Upozornění

Třetí a poslední součástí systému detekce narušení je samotné upozornění. Pokud je detekován útok nebo alespoň anomálie, systém informuje správce. Toto oznámení může být zasláno e-mailem, prostřednictvím lokálního alarmu nebo zprávou na smartphone či tablet.

Jaké jsou nevýhody systému detekce narušení?

Systémy detekce narušení sice zvyšují bezpečnost, ale jak již bylo zmíněno, mají i své nevýhody. Hostitelské systémy IDS mohou být zranitelné vůči útokům DDoS a síťové systémy mohou mít potíže ve větších síťových konfiguracích, kde mohou docházet ke ztrátám datových paketů. Detekce anomálií může v závislosti na konfiguraci vyvolávat falešné poplachy. Navíc jsou všechny systémy IDS určeny výhradně k detekci hrozeb a pro účinnou obranu proti útokům vyžadují další software.

Systém detekce narušení a příklad Snort

Jedním z nejznámějších a nejoblíbenějších systémů detekce narušení je Snort. Tento bezpečnostní nástroj, vyvinutý Martinem Roeschem v roce 1998, je nejen multiplatformní a open-source, ale také poskytuje uživatelům rozsáhlá preventivní opatření jako systém prevence narušení. Program je k dispozici zdarma a v placené verzi, pro kterou jsou například poskytovány rychlejší aktualizace.

Přejít do hlavního menu