فایروال ها و برنامه های ضد بدافزار به تنهایی برای محافظت از کل شبکه در برابر حمله کافی نیستند. یک استراتژی امنیتی جامعه باید شامل یک سیستم تشخیص نفوذ(IDC) باشد که وقتی از فایروال عبور می کند و وارد شبکه می شود، ترافیک مشکوک را شناسایی کند.

این مقاله مقدمه‌ای برای سیستم های تشخیص نفوذ و نقش IDsec در امنیت شبکه است. برای آشنایی با نحوه عملکرد این سیستم ها و چرایی اهمیت آنها در جلوگیری از خرابی پرهزینه و نقض اطلاعات، ادامه مطلب را مطالعه کنید.

سیستم تشخیص نفوذ(IDS) چیست؟

یک سیستم تشخیص نفوذ(IDS) یک برنامه یا دستگاهی است که به طور مداوم ترافیک شبکه را زیر نظر دارد و در صورت بروز هرگونه فعالیت مشکوک، به مدیر شبکه هشدار می دهد. سپس، مدیر مربوطه هشدارها را بررسی و اقداماتی را برای حذف تهدید انجام می دهد.

صرف نظر از اینکه دستگاه فیزیکی فیزیکی تنظیم کرده‌اید یا برنامه IDS، سیستم می تواند:

– الگوهای حمله در بسته های شبکه را تشخیص دهد

– بر رفتار کاربران نظارت کند.

– فعالیت های غیرعادی را شناسایی کند.

– اطمینان حاصل می کند که فعالیت کاربر و سیستم بر خلاف سیاست ها و دستورالعمل های امنیتی نیست.

همچنین، اطلاعات یک سیستم تشخیص نفوذ می تواند به تیم امنیتی در موارد زیر کمک کند:

– شبکه را از نظر آسیب پذیری و پیکربندی ضعیف بررسی کنید

– یکپارچگی سیستم ها و پرونده های مهم را ارزیابی کنید

– کنترل های موثرتر و واکنش های حادثه‌ای ایجاد کنید.

– مقدار و انواع تهدیدات سایبری که به شبکه حمله می کنند را تجزیه تحلیل کنید.

صرف نظر از مزایای امنیت سایبری، IDS، همچنین به دستیابی به رعایت نظم نیز کمک می کند. دید بیشتر شبکه و ثبت بهتر رویدادها باعث می شود عملیات شبکه مطابق با تمام مقررات باشد.

اهداف سیستم های تشخیص نفوذ

هدف اصلی IDS تشخیص ناهنجاری ها قبل از تکمیل هدف هکرها است. هنگامی که سیستم تهدیدی را تشخیص می دهد، IDS پرسنل IT را مطلع کرده و اطلاعات زیر را در مورد خطر ارائه می دهد:

– آدرس منبع نفوذ

-آدرس هدف و قربانی

– نوع تهید

هدف ثانویه یک سیستم تشخیص نفوذ، مشاهده مزاحمان و شناسایی موارد زیر است:

– مهاجمان سعی می کنند به چه منابعی دسترسی پیدا کنند.

– چگونه هکرها سعی می کنند اقدامات امنیتی را دور بزنند.

– متجاوزان چه نوع حملاتی را آغاز می کنند.

مرکز عملیات امنیتی شرکت(SOC) و تحلیلگران می توانند از این اطلاعات برای بهبود استراتژی امنیت شبکه استفاده کنند.

تشخیص و گزارش ناهنجاری دو عملکرد اصلی یک سیستم تشخیص نفوذ است. با این حال، برخی از سیستم های تشخیص می توانند به فعالیت های مخرب پاسخ دهند. مانند مسدود کردن خودکار IP یا بستن دسترسی به پرونده های حساس. سیستم هایی با این قابلیت های پاسخ، سیستم های جلوگیری از نفو(IPS) هستند.

سیستم های تشخیص نفوذ چگونه کار می کنند؟

IDS ترافیک ورودی و خروجی تمام دستگاه های موجود در شبکه را کنترل می کند. این سیستم پشت یک فایروال به عنوان فیلتر ثانویه برای بسته های مخرب عمل می کند و در درجه اول نیز به دنبال دو سرنخ مشکوک است:

1. امضای حملات شناخته شده
2. انحراف از فعالیت منظم

یک سیستم تشخیص نفوذ معمولاً برای تعیین تهدیدها به الگوی همبستگی متکی است. این روش به IDS اجازه می دهد بسته های شبکه را با امضای حملات سایبری شناخته شده با دیتابیس مقایسه کند. شایع ترین حملاتی که IDS می تواند با الگوی همبستگی نشان دهد عبارتند از:

– بد افزارها(کرم ها، باج افزارها، تروجان ها، ویروس ها، ربات ها و…)

– اسکن حملاتی که بسته هایی را به شبکه ارسال می کند تا اطلاعات مربوط به پورت های باز یا بسته، اوع ترافیک مجاز، هاست های فعال و نسخه های نرم افزاری را جمع آوری کند.

– مسیریابی نامتقارن که یک بسته مخرب را ارسال می کند و کنترل های امنیتی را با مسیرهای مختلف ورود و خروج دور می زند.

– حملات سرریز بافر که محتوای دیتابیس را با فایل های اجرایی مخرب جایگزین می کند.

– حملات اختصاصی پروتکل که پروتکل خاصی را هدف قرار می دهند(TCP ,، ICMP، ARP و …).

-سیل ناشی از ترافیک که بار شبکه را بیش از اندازه زیاد می کند، مانند حمله DDoS

هنگامی که IDS یک ناهنجاری را کشف می کند، سیستم مشکل را نشان می دهد و زنگ خطر را به صدا در می آورد. هشدارها می تواند از یک یادداشت ساده در یک گزارش حسابرسی تا یک پیام فوری به مدیر IT متغیر باشد. سپس تیم باید مشکل را برطرف کرده و علت اصلی مشکل را مشخص کند.

انواع سیستم های تشخیص نفوذ چیست؟

دو نوع اصلی IDSes بر اساس محل ایجاد تیم امنیتی وجود دارد:

– سیستم تشخیص نفوذ به شبکه(NIDS)

– سیستم تشخیص نفوذ میزبان(HIDS)

روشی که یک سیستم تشخیص نفوذ فعالیت مشکوک را تشخیص می دهد نیز به ما امکان می دهد دو دسته را تعریف کنیم:

– یک سیستم تشخیص نفوذ مبتنی بر اعضا(SIDS)

– سیستم تشخیص نفوذ مبتنی بر ناهنجاری(AIDS)

بسته به مورد استفاده و بودجه، میتوانید NIDS یا HIDS را اجرا کنید یا به هر دو نوع اصلی IDS تکیه کنید. همین امر در مورد مدل های تشخیص نیز صدق می کند. زیرا بسیاری از تیم ها یک سیستم ترکیبی با قابلیت SIDS و AIDS ایجاد کرده‌اند.

قبل از تعیین استراتژی، باید تفاوت بین انواع IDS و نحوه تکمیل آنها  را درک کنید. اجازه دهید هریک از چهار نوع اصلی IDS، مزایا و معایب آنها را بررسی کنیم.

سیستم تشخیص نفوذ شبکه(NIDS)

یک سیستم تشخیص نفوذ مبتنی بر شبکه، ترافیک ورودی و برگشتی به همه دستگاه های شبکه را بررسی و تحلیل می کند. NIDS از یک نقطه استراتژیک(یا نقاطی، در صورت استقرار سیستم های چندگانه) در شبکه، معمولا در نقاط خاموش داده کار می کند.

مزایای NIDS:

– امنیت IDS را در کل شبکه ارائه می دهد.

– چند NIDSes استراتژیک می توانند شبکه‌ای با اندازه سازمانی را زیر نظر داشته باشند.

– یک دستگاه منفعل که در دسترس بودن یا توان شبکه را به خطر نمی اندازد.

– برای ایمن سازی و پنهان شدن از مزاحمان نسبتاً آسان است.

– شبکه هایی را پوشش می دهد که ترافیک در آنها آسیب پذیرتر است.

معایب NIDS:

– راه اندازی آن گران و پرهزینه است.

– اگر NIDS باید یک شبکه شلوغ را تحت نظر داشته باشد، سیستم ممکن است از ویژگی پایین و گاه به گاه نقض ناخواسته رنج ببرد.

– تشخیص تهدیدها در ترافیک رمزگذاری ده می تواند مشکل ساز باشد.

معمولاً با شبکه های مبتنی بر سوئیچ مناسب نیست.

سیستم تشخیص نفوذ هاست(HIDS):

HIDS از نقطه پایانی خاصی عمل می کند که در آن ترافیک شبکه و ورود سیستم به یک دستگاه را بررسی می کند.

این نوع امنیت IDS متکی به اسنپ شات است، مجموعه فایل هایی که وضعیت کل سیستم را ضبط می کنند. وقتی سیستم یک اسنپ شات می گیرد، IDS آن را با وضعیت قبلی مقایسه می کند و فایل ها یا تنظیمات از بین رفته یا تغییر یافته را بررسی می کند.

مزایای HIDS

– دید عنیقی به دستگاه میزبان و فعالیت های آن (تغییر در پیکربندی، مجوزها، پرونده‌ها، رجیستری و…) ارائه می دهد.

– دومین خط دفاعی عالی در برابر بسته های مخرب که NIDS تشخیص نداده

– در تشخیص بسته هایی که منشا آنها از داخل سازمان، مانند تغییرات غیر مجاز در فایل های یک سیستم، خوب عمل می کند.

-در تشخیص و جلوگیری از نقض یکپارچگی نرم افزار موثر است.

– به دلیل بسته های کمتر، تجزیه و تحلیل ترافیک رمزگذاری شده بهتر از NIDS است.

– بسیار ارزانتر از راه اندازی NIDS است.

معایب HIDS:

– دید محدود به عنوان تنها سیستم نظارت بر دستگاه

– زمینه کمتر برای تصمیم گیری

– مدیریت برای شرکت های بزرگ دشوار است. زیرا تیم نیازبه پیکربندی و مدیریت اطلاعات برای هر هاست دارد.

– برای مهاجمان بیشتر از NIDS قابل مشاهده است.

– در تشخیص اسکن های شبکه یا سایر حملات نظارتی در سطح شبکه خوب نیست.

سیستم تشخیص نفوذ مبتنی بر امضا(SIDS)

SIDS، بسته هایی را که از طریق یک شبکه در حال حرکت هستند را نظارت می کند و آنها را با دیتابیسی از امضا یا ویژگی های حمله شناخته شده مقایسه می کند. این نوع رایج از امنیت IDS به دنبال الگوهای خاصی مانند بایت یا توالی دستورالعمل است.

مزایای SIDS:

– با استفاده از امضا های شناخته شده حمله، در برابر مهاجمان خوب عمل می کند.

– برای کشف تلاش های حمله با مهارت کم مفید است.

– در نظارت بر ترافیک شبکه ورودی موثر است.

– می تواند حجم بالایی از ترافیک شبکه را به طور کارآمد پردازش کند.

معایب SIDS:

– نمی توان نقض را بدون امضای خاص در دیتابیس تهدید، تشخیص داد.

– یک هکر باهوش می تواند برای جلوگیری از تطبیق امضا های شناخته شده، مانند تغییر حروف کوچک به حروف بزرگ یا تبدیل نماد به کد کاراکتر، حمله را تغییر دهد.

– برای بروز نگه داشتن سیستم جهت مقابله با خطرات نیاز است دیتابیس تهدید را به صورت منظم بروز رسانی کرد.

سیستم تشخیص نفوذ مبتنی بر ناهنجاری(AIDS)

AIDS، فراتر از مدل امضای حمله است و به جای الگوهای داده خاص، الگوهای رفتاری مخرب را تشخیص می دهد.

این نوع IDS از یادگیری ماشین برای تعیین مبنایی از رفتار مورد انتظار سیستم(مدل اعتماد) از نظر پهنای باند، پروتکل ها، پورت ها و استفاده از دستگاه استفاده می کند. سپس سیستم می تواند هرگونه رفتار جدید را با مدل های تایید شده مورد اعتماد مقایسه کند و حملات ناشناخته‌ای را شناسایی کند که IDS مبتنی بر امضا نمی تواند آنها را شناسایی کند.

به عنوان مثال، فردی در بخش فروش سعی می کند برای اولین بار به پشتیبان وب سایت دسترسی پیدا کند، ممکن است یک پرچم قرمز برای SIDS نباشد، با این حال، برای تنظیم مبتنی بر ناهنجاری، شخصی که برای اولین بار سعی می کند به یک سیستم حساس دسترسی پیدا کند، باید بررسی شود.

مزایای AIDS:

– می تواند علائم انواع ناشناخته حملات و تهدیدهای جدید را تشخیص دهد.

– برای ایجاد مدل رفتار قابل اعتماد، به یادگیری ماشین و هوش مصنوعی متکی است.

معایب AIDS:

– مدیریت پیچیده‌ای دارد.

– به منابع پردازشی بیشتری نسبت به IDS مبتنی بر امضا نیاز دارد.

– مقادیر زیاد هشدارها می تواند مدیران را تحت تاثیر قرار دهد.

نقاط قوت و محدودیت های IDS

استفاده از IDS برای محافظت از شبکه یک استراتژی معتبر برای افزایش امنیت است. وقتی با یک برنامه ضد بدافزار قوی و فایروال همراه شود، IDS به تیم اطمینان میدهد که:

– از درصد زیادی از مشکلات سایبری جلوتر است.

– برای اطلاعات مهم نیازی به مرور هزاران گزارش سیستمی نیست.

– می تواند با اطمینان سیاست های امنیتی شرکت را در سطح شبکه اجرا کند.

IDSec( و حتی IPSec) نیز ارزان تر و آسان تر اداره می شود، بنابراین حتی SMB هایی با بودجه کمتر و کارکنان IT کمتر نیز می توانند به این استراتژی تکیه کنند. با وجود تمام مزایا، IDSec همچنین دارای چالش های منحصر به فردی است:

– اجتناب از IDS اولویت یک حمله موفق است و این سیستم ها را به هدف هکر تبدیل می کند.

– تشخیص فعالیت های مخرب در ترافیک رمزگذاری شده یک مسئله رایج است.

– IDS میتواند در شبکه‌ای با حجم زیاد ترافیک موثر باشد.

– حتی بهترین سیستم نیز ممکن است در تشخیص علائم حمله جدید مشکل داشه باشد.

بزرگترین چالش IDS اجتناب از اشتباهات است. زیرا حتی بهترین سیستم نیز می تواند:

-برای چیزی که حمله نیست(مثبت کاذب) هشدار دهد.

– در صورت وجود تهدید واقعی(منفی کاذب) هشدار ندهد.

 بیش از حد مثبت کاذب به این معنی است که تیم فناوری اطلاعات از هشدارهای IDS اطمینان کمتری خواهد داشت. با این حال، منفی های کاذب به این معنی است که بسته های مخرب بدون ایجاد هشدار وارد شبکه می شوند. بنابراین، IDS بیش از حد حساس همیشه گزینه بهتر و مناسب تری است.

بهترین شیوه های IDS

هنگامی که می دانید چه نوع IDS و مدل تشخیصی را باید تنظیم کنید، اطمینان حاصل کنید که استراتژی شما از بهترین شیوه ها پیروی می کند:

– قبل از تنظیم IDS، رفتار معمولی شبکه را ثبت کنید. تعریف یک خط مبنای اولیه واضح به جلوگیری از مثبت کاذب و منفی کاذب کمک می کند.

– IDS را در بالاترین نقطه دید قرار دهید تا سیستم را با داده ها غرق نکنید.

– در صورت نیاز به مقابله با ترافیک درون هاست، چندین IDSes در سراسر شبکه نصب کنید.

– اطمینان حاصل کنید که تیم راه اندازی IDS درک کاملی از موجودی دستگاه شما و نقش هر دستگاه دارد.

– تنظیمات NIDS و تقسیم بندی شبکه را برای تشخیص موثرتر و مدیریت آسان تر، ترکیب کنید.

– IDS را طوری تنظیم کنید که در حالت مخفی کاری اجرا شود تا تشخیص سیستم برای مهاجمان دشوار شود. ساده ترین راه این است که مطمئن شوید IDS دارای دو رابط شبکه است، یکی برای شبکه و دیگری برای ایجاد هشدار. IDS باید از رابط تحت نظارت فقط به عنوان ورودی استفاده کند.

– هنگامی که IDS راه اندازی شد، تیم شما باید دائماً دیتابیس تهدید را بروز کند تا سیستم موثر و ایمن باشد.

– افزودن یک پلتفرم تجزیه و تحلیل ثانویه برای ارزیابی تهدیدها پس از اینکه IDS هشدار را به صدا در آورد.

 اطمینان حاصل کنید که همه IDSes و دیتابیس های تهدید شما از اصل امنیت صفر(Zero Trust) پیروی می کنند.