Посоветуйте систему обнаружения вторжений (IDS / IPS), и стоят ли они того?

В течение многих лет я опробовал различные сетевые системы IDS и IPS и никогда не был доволен результатами. Либо системы были слишком сложны в управлении, вызывались только известными эксплойтами, основанными на старых сигнатурах, либо просто слишком болтливы с выводом.

В любом случае, я не чувствую, что они обеспечили реальную защиту нашей сети. В некоторых случаях они были вредны из-за разрыва действующих соединений или просто из-за сбоя.

Я уверен, что за последние несколько лет все изменилось, и какие рекомендованные системы IDS сегодня? Есть ли у них эвристика, которая работает и не предупреждает о законном трафике?

Или лучше просто положиться на хорошие брандмауэры и защищенные хосты?

Если вы рекомендуете систему, откуда вы знаете, что она делает свою работу?

Как некоторые из них упоминали в ответах ниже, давайте также получим некоторые отзывы о системах обнаружения вторжений на хост, поскольку они тесно связаны с сетевыми IDS.

Для нашей текущей настройки нам потребуется мониторинг двух отдельных сетей с общей пропускной способностью 50 Мбит / с. Я ищу здесь реальную обратную связь, а не список устройств или сервисов, способных делать IDS.

Несколько лет назад я рассмотрел несколько систем предотвращения вторжений.

Я хотел разместить что-то между парой локаций и корпоративной сетью.
Система должна была обеспечить простое управление и мониторинг (что-то, что можно было передать сотруднику службы поддержки второго уровня). Автоматическая сигнализация и отчетность также были необходимы.

Система, которую я выбрал, была IPS от Tipping Point. Нам все еще нравится после нескольких лет работы. Наша реализация включает в себя подписку на их Digital Vaccine, которая еженедельно устраняет уязвимости и эксплуатирует правила.

Система была очень полезна для наблюдения за происходящим (оповещение, но бездействия), а также для автоматического блокирования или карантина систем.

Это оказалось очень полезным инструментом для обнаружения и изоляции компьютеров, зараженных вредоносным ПО, а также для блокирования пропускной способности трафика или трафика, связанного с политикой безопасности, без необходимости работать со списками контроля доступа маршрутизатора.

http://www.tippingpoint.com/products_ips.html

Одна мысль; Вы спрашиваете "стоят ли они этого". Я не хочу давать нетехнический ответ, но если вашей организации требуется IDS для указания регулирующему органу, что вы соблюдаете те или иные правила, даже если вы обнаружите, что с технологической точки зрения устройство не дает Вы, что вы хотите, они могут быть по определению «стоит», если они будут держать вас в соответствии.

Я не утверждаю, что «не имеет значения, хорошо это или нет», очевидно, что то, что делает хорошую работу, предпочтительнее чего-то, что не делает; но достижение соответствия нормативным требованиям является самоцелью.

Системы обнаружения вторжений являются бесценным инструментом, но их нужно использовать правильно. Если вы относитесь к своему NIDS как к системе, основанной на предупреждениях, где предупреждение является концом, вы будете разочарованы (хорошо, предупреждение X сгенерировано, что мне теперь делать?).

Я рекомендую взглянуть на подход NSM (мониторинг сетевой безопасности), в котором вы смешиваете NIDS (системы оповещения) с данными сеанса и контента, чтобы вы могли правильно изучить любое оповещение и лучше настроить вашу систему IDS.

* Я не могу связать, так что просто Google для Taosecurity или NSM

В дополнение к сетевой информации, если вы смешаете HIDS + LIDS (логическое обнаружение вторжений), вы получите четкое представление о том, что происходит.

** Кроме того, не забывайте, что эти инструменты предназначены не для защиты вас от атаки, а для того, чтобы выступать в качестве камеры безопасности (физическое сравнение), чтобы можно было принять правильное реагирование на инцидент.

Чтобы иметь хороший IDS, вам нужно несколько источников. Если у IDS есть несколько предупреждений от нескольких источников для одной и той же атаки, она сможет запустить предупреждение, которое имеет гораздо большее значение, чем просто стандартное предупреждение.

Вот почему вам необходимо сопоставить выходные данные HIDS (Host IDS), такие как OSSEC, и NIDS (Network IDS), такие как Snort. Это можно сделать с помощью Prelude, например. Prelude будет агрегировать и сопоставлять предупреждения, чтобы иметь возможность генерировать реальные предупреждения безопасности, которые имеют гораздо большее значение. Скажем, в каждом примере у вас есть сетевая атака, если она остается сетевой атакой, то, вероятно, ничего страшного, но если она станет атакой хоста, это вызовет соответствующие оповещения с высоким уровнем важности.

По моему мнению, готовые IDS / IPS не стоят того, если вы не знаете точный характер всех действий, которые следует наблюдать в вашей сети. Вы можете свести себя с ума, создавая исключения для глупого поведения пользователя и плохого поведения (законных) приложений. В сетях, которые не сильно заблокированы, я обнаружил, что шум является подавляющим в любой из систем, которые я использовал. Вот почему мы в конечном итоге подключили магистраль к единственной машине Linux, которая выполняла пользовательский фрагмент кода C. Этот кусок кода инкапсулировал все странности, о которых мы знали, и все остальное было подозрительным.

Если вы делаете имеете очень запертые вниз сети, лучшие системы будут иметь какое - то интеграцию с периметром устройством, так что есть полное совпадение политики.

Чтобы узнать, выполняет ли он свою работу, лучше всего периодически выполнять некоторые атаки.

Я думаю, что любая система IDS / IPS должна быть индивидуально настроена для вашей среды, чтобы увидеть какие-либо реальные преимущества. В противном случае вы просто наводнены ложными срабатываниями. Но IDS / IPS никогда не заменит надлежащие брандмауэры и усиление защиты сервера.

Мы использовали подразделение Fortigate, где я работаю в течение прошлого года, и были очень довольны им. Он делает гораздо больше, чем просто IDS / IPS, поэтому он может быть не совсем тем, что вы ищете, но его стоит посмотреть.

Правила IDS / IPS обновляются автоматически (по умолчанию) или могут быть обновлены вручную. Я нахожу, что это правила IDS / IPS, которые довольно легко управляются через веб-интерфейс. Я думаю, что простота управления связана с разбиением защиты на профили защиты, которые вы затем назначаете правилам брандмауэра. Таким образом, вместо просмотра всех правил для каждого пакета в сети, вы получаете гораздо более целенаправленную защиту и предупреждения.

В нашей организации у нас есть несколько IDS, в том числе сочетание коммерческих систем и открытых. Частично это связано с типом исторических соображений, которые происходят в университете, и соображениями эффективности. При этом я собираюсь немного поговорить о Snort.

Я уже некоторое время развертываю рассредоточенные датчики для фырканья на предприятии. В настоящее время это небольшой массив (думаю, <10), рассчитанный на пару десятков. То, что я узнал, пройдя через этот процесс, было бесценным; главным образом, с помощью методов управления количеством оповещений, поступающих через, а также управления этим большим количеством распределенных узлов. Используя MRTG в качестве руководства, у нас есть датчики, которые видят в среднем 5 Мбит / с до 96 Мбит / с. Имейте в виду, что для целей этого ответа я говорю о IDS, а не IDP.

Основные выводы:

1. Snort - это полнофункциональный IDS, который легко поддерживает свой собственный набор функций для гораздо более крупных и неназванных поставщиков сетевых устройств.
2. Самые интересные оповещения приходят из проекта « Новые угрозы ».
3. WSUS приводит к глупо большому количеству ложных срабатываний, в основном от препроцессора sfPortscan.
4. Для более чем 2/3 датчиков требуется хорошая конфигурация и система управления исправлениями.
5. Ожидайте увидеть очень большое количество ложных срабатываний, пока не будет выполнена агрессивная настройка.
6. BASE плохо масштабируется при большом количестве оповещений, а в snort нет встроенной системы управления оповещениями.

Чтобы быть справедливым, чтобы нюхать, я заметил 5 в большом количестве систем, включая Juniper и Cisco. Мне также рассказывали истории о том, как Snort можно установить и настроить проще, чем TippingPoint, хотя я никогда не использовал этот продукт.

В целом, я был очень счастлив со Snort. Я в основном предпочел включить большинство правил и тратить свое время на настройку, а не на прохождение тысяч правил и решение, какие из них включить. Это сделало время, потраченное на настройку, немного выше, но я планировал это с самого начала. Кроме того, так как этот проект развивался, мы также совершили покупку SEIM, что позволило легко координировать их. Поэтому мне удалось использовать хорошую корреляцию и агрегацию журналов в процессе настройки. Если у вас нет такого продукта, ваш опыт настройки может отличаться.

Sourcefire имеет хорошую систему, и у них есть компоненты, которые помогают обнаружить, когда из системы начинает исходить новый неожиданный трафик. Мы запускаем его в режиме IDS, а не в режиме IPS, поскольку существуют проблемы, из-за которых может быть заблокирован законный трафик, поэтому мы отслеживаем отчеты, и в целом он, кажется, выполняет довольно приличную работу.

Задолго до того, как вы сможете ответить, какой IDS / IPS вам нужен, я бы хотел лучше понять вашу архитектуру безопасности. Что вы используете для маршрутизации и коммутации вашей сети, какие другие меры безопасности вы используете в своей архитектуре безопасности?

Какие риски вы пытаетесь уменьшить, то есть какие информационные активы подвержены риску и от чего?

Ваш вопрос слишком общий, чтобы дать вам что-либо, кроме того, что люди думают о продукте X и его лучшем по причинам X.

Безопасность - это процесс снижения рисков, и внедрение решений ИТ-безопасности должно соответствовать выявленным рискам. Простое добавление IDS / IPS в вашу сеть на основе того, что люди считают лучшим продуктом, является непродуктивным и пустой тратой времени и денег.

Приветствия Шейн

Snort в сочетании с ACID / BASE для создания отчетов довольно удобен для продукта OSS. Я бы попробовал это, по крайней мере, чтобы ваши ноги промокли.

Системы обнаружения вторжений - это больше, чем просто NIDS (сетевая система). Я считаю, что для моей среды, HIDS гораздо полезнее. В настоящее время я использую OSSEC, который контролирует мои журналы, файлы и т. Д.

Итак, если вы не получаете достаточную ценность Snort, попробуйте другой подход. Может быть, modsecurity для apache или ossec для анализа логов.

Я знаю, что многие люди выберут snort как решение, и это хорошо - snort и sguil - хорошая комбинация для мониторинга различных подсетей или VLAN.

В настоящее время мы используем Strataguard из StillSecure , это реализация snort в защищенном дистрибутиве GNU / Linux. Он очень прост в настройке (намного проще, чем просто snort), имеет бесплатную версию для сред с низкой пропускной способностью и очень интуитивно понятный и полезный веб-интерфейс. Это позволяет достаточно легко обновлять, настраивать, изменять и исследовать правила.

Хотя его можно установить в режиме IPS и автоматически заблокировать для вас брандмауэр, мы используем его только в режиме IDS - установили его на порт монитора на нашем центральном коммутаторе, подключили второй сетевой адаптер для управления, и он отлично работал для изучение трафика. Количество ложных срабатываний (особенно предварительная настройка) является единственным недостатком, но это позволяет нам знать, что оно работает, а интерфейс позволяет очень легко проверять сигнатуру правила, проверять захваченные пакеты и переходить по ссылкам для исследования уязвимости. поэтому можно решить, является ли предупреждение действительно проблемой или нет, и отрегулировать предупреждение или правило по мере необходимости.

Я бы порекомендовал Snort. Snort поддерживается почти всеми другими инструментами безопасности, учебные пособия легко доступны, как и многие внешние приложения. Там нет секретного соуса, который делает один IDS лучше, чем другой. Общественные и местные наборы правил обеспечивают власть.

Но любая IDS (HIDS или NIDS) является пустой тратой денег, если вы не желаете проверять журналы и оповещения, ежечасно или ежедневно. Вам нужно время и персонал, чтобы удалить ложные срабатывания и создать новые правила для локальных аномалий. IDS лучше всего описать как видеокамеру для вашей сети. Кто-то должен наблюдать за ним и иметь полномочия действовать в соответствии с информацией, которую он посылает. В противном случае это бесполезно.

Нижняя граница. Экономьте деньги на программном обеспечении, используйте IDS с открытым исходным кодом. Тратьте деньги на обучение и создайте отличную команду безопасности.

Когда люди просят об обнаружении вторжений, я думаю о серверных IDS, поскольку не имеет значения, кто проникнет в вашу сеть, если они ничего не сделают один раз. IDS, такой как AIDE , сделает хэш-снимки сервера, позволяя вам точно видеть, что имеет изменилось на диске за определенный период.

Некоторые люди предпочитают переосмысливать все свои серверы после нарушения безопасности, но я думаю, что это может быть немного излишним для большинства проблем.

Честно говоря, IDS - это обычно пустая трата времени, поскольку операторы тратят все свое время, настраивая ложные срабатывания. Это становится таким бременем, что система остается в углу и игнорируется.

Большинство организаций размещают зонд снаружи сети и поражены тысячами атак. Это как поставить охранную сигнализацию снаружи дома и удивляться, что она срабатывает каждый раз, когда кто-то проходит мимо.

Консультанты по безопасности любят IDS, чтобы показать, насколько это опасно, аудиторов в виде галочки и игнорируют все остальные, так как это пустая трата их времени и ресурсов.

Лучше было бы потратить время на то, чтобы ежедневно принимать тысячи атак, разрабатывать внешний доступ и, прежде всего, следить за тем, чтобы внешние системы защиты были надежно защищены.

Дейв