Halo lagi. Untuk mengantisipasi dimulainya kursus "Rekayasa Balik", kami memutuskan untuk berbagi dengan Anda sebuah artikel kecil tentang keamanan informasi, yang, meskipun memiliki hubungan yang tidak langsung dengan rekayasa terbalik, dapat menjadi bahan yang bermanfaat bagi banyak orang.
Pasar global untuk produk keamanan informasi berkembang di bawah pengaruh berbagai ancaman kompleks dan kompleks yang berkembang pesat, yang mengarah pada dampak langsung pada bisnis, dan menjadi tuntutan tidak hanya untuk perusahaan besar dan menengah, tetapi juga untuk organisasi kecil. Saat ini, ini adalah kasus ketika alat keamanan tradisional, seperti firewall dan antivirus, tidak dapat memberikan tingkat perlindungan yang memadai untuk jaringan internal organisasi, karena malware dapat "menutupi" dan mengirim paket yang terlihat sepenuhnya dari sudut pandang firewall. sah Ada banyak solusi komersial yang dapat memberikan tingkat perlindungan yang memadai untuk jaringan internal organisasi, namun hari ini kami akan fokus pada kelas solusi seperti sistem deteksi intrusi dan sistem pencegahan intrusi. Dalam literatur bahasa Inggris, ini adalah Intrusion Detection Systems (IDS) dan Intrusion Prevention Systems (IPS).
Perbedaan di antara mereka hanyalah bahwa satu dapat secara otomatis memblokir serangan, dan yang lainnya hanya memperingatkan tentang hal itu.
Solusi dari kelas ini dapat berupa komersial (kepemilikan) atau open source, dan di tangan kanan dapat menjadi tambahan yang sangat baik untuk sistem umum perlindungan organisasi. Kelas fitur keamanan ini berkaitan dengan metode pelacakan upaya yang tidak sah untuk mendapatkan akses ke sumber daya yang dilindungi dari suatu organisasi, yang disebut pemantauan kontrol akses. Ini bertujuan untuk mengidentifikasi dan mendaftarkan kelemahan keamanan dalam infrastruktur internal - serangan jaringan, upaya akses yang tidak sah atau eskalasi hak istimewa, pengoperasian perangkat lunak berbahaya, dll. Dengan demikian, dibandingkan dengan firewall yang hanya mengontrol parameter sesi, IDS dan IPS menganalisis aliran data internal yang ditransmisikan, menemukan di dalamnya serangkaian bit yang dapat berupa tindakan atau peristiwa berbahaya. Selain itu, mereka dapat memonitor log sistem dan file log aktivitas pengguna lainnya.
Tetapi hal pertama yang pertama. Jadi,
IDS adalah sistem deteksi intrusi yang dirancang untuk mendaftarkan aktivitas mencurigakan di jaringan dan memberi tahu karyawan yang bertanggung jawab atas keamanan informasi dengan mengirim pesan ke konsol manajemen, mengirim e-mail, pesan SMS ke ponsel, dll.
IDS tradisional terdiri dari sensor yang memindai lalu lintas jaringan atau log dan mentransmisikannya ke alat analisis, alat analisis mencari data berbahaya dalam data yang diterima dan, jika berhasil, mengirim hasilnya ke antarmuka administratif. Bergantung pada lokasi, IDS dibagi menjadi
jaringan (IDS berbasis jaringan, NIDS) dan
host (berbasis host, HIDS). Berdasarkan namanya, jelas bahwa yang satu memantau semua lalu lintas jaringan dari segmen tempat segmen itu diinstal, dan yang lainnya dalam satu komputer. Untuk klasifikasi IDS yang lebih mudah dipahami, perlu untuk membedakan dua subset lagi yang dibagi berdasarkan jenis lalu lintas yang dianalisis: IDS berbasis protokol (PIDS), yang menganalisis protokol komunikasi dengan sistem atau pengguna yang terkait, dan IDS, berdasarkan protokol aplikasi (IDS berbasis Protokol Aplikasi, APIDS), dirancang untuk menganalisis data yang dikirimkan menggunakan protokol khusus aplikasi.
Secara alami, aktivitas jahat dalam lalu lintas yang dianalisis dapat dideteksi dengan berbagai cara. Oleh karena itu, karakteristik berikut ada di IDS yang membedakan berbagai jenis teknologi IDS dari satu sama lain dan dapat dijelaskan sebagai berikut:
- IDS tanda tangan . Lacak pola spesifik dalam lalu lintas dan bekerja seperti perangkat lunak antivirus. Kelemahan dari pendekatan ini: tanda tangan harus mutakhir dan IDS jenis ini tidak dapat mendeteksi serangan yang tidak dikenal. Kategori ini juga dapat dibagi menjadi dua jenis: IDS tanda tangan, templat pelacakan - bandingkan paket jaringan dengan tanda tangan, dan pelacakan status - bandingkan tindakan dengan templat. Saya yakin bahwa prinsip NIDS tanda tangan yang melacak templat diketahui dan dimengerti. Adapun IDS tanda tangan yang memantau negara bagian, di sini kita harus memahami konsep negara tempat IDS beroperasi. Setiap perubahan dalam pengoperasian sistem (meluncurkan perangkat lunak, memasukkan data, interaksi antar aplikasi, dll.) Menyebabkan perubahan status. Adapun IDS, keadaan awal adalah sebelum serangan, dan negara yang dikompromikan adalah setelah serangan, yaitu infeksi yang berhasil.
- IDS berbasis anomali . IDS jenis ini tidak menggunakan tanda tangan. Ini didasarkan pada perilaku sistem dan sebelum mulai bekerja, tahap belajar aktivitas sistem "normal" terjadi. Oleh karena itu, ia dapat mendeteksi serangan asing. Anomali, pada gilirannya, dalam kategori ini dibagi menjadi tiga jenis: statistik - IDS membuat profil kegiatan reguler sistem dan membandingkan semua lalu lintas yang lewat dan kegiatan dengan profil ini; anomali protokol - IDS menganalisis lalu lintas untuk mengidentifikasi fragmen penggunaan protokol yang tidak sah; anomali lalu lintas - IDS mendeteksi aktivitas tidak sah dalam lalu lintas jaringan.
- IDS berbasis aturan . Data IDS menggunakan pemrograman berbasis aturan “JIKA situasi KEMUDIAN aksi ” IDS berbasis aturan mirip dengan sistem pakar, seperti Sistem pakar adalah karya gabungan dari basis pengetahuan, kesimpulan logis dan pemrograman berbasis aturan. Dalam hal ini, pengetahuan adalah aturan, dan data yang dianalisis dapat disebut fakta-fakta yang berlaku aturan. Sebagai contoh: "JIKA pengguna administrator masuk ke System1 DAN membuat perubahan ke File2, MAKA meluncurkan" Utility3 "KEMUDIAN mengirim pemberitahuan", yaitu. jika pengguna masuk ke sistem 1 dan membuat perubahan ke file 2, dan kemudian jalankan utilitas 3, kemudian kirim pemberitahuan.
Dengan demikian, IDS kami dapat memperingatkan aktivitas jahat, tetapi seringkali tugasnya justru untuk mencegah aktivitas jahat pada tahap awal.
IPS , yang disebutkan sebelumnya, dapat membantu dengan ini. Metode kerjanya tepat waktu (preventif) dan proaktif, berbeda dengan IDS, yang melakukan fungsi detektif. Perlu dicatat bahwa IPS adalah subkelas dari IDS, sehingga didasarkan pada metode deteksi serangannya. IPS dapat beroperasi di level host (HIPS) dan di level jaringan (NIPS). Kemampuan untuk mencegah serangan diimplementasikan karena fakta bahwa jaringan IPS, sebagai aturan, dibangun ke dalam jaringan dan melewati semua lalu lintas melaluinya, serta antarmuka eksternal yang menerima lalu lintas dan antarmuka internal yang melewati lalu lintas lebih jauh jika diakui aman Ada juga kemungkinan bekerja dengan salinan lalu lintas dalam mode pemantauan, tetapi kemudian kita kehilangan fungsi utama dari sistem ini.
Secara global, IPS dapat dibagi menjadi orang-orang yang menganalisis lalu lintas dan membandingkannya dengan tanda tangan yang diketahui dan orang-orang yang, berdasarkan analisis protokol, mencari lalu lintas tidak sah berdasarkan pengetahuan tentang kerentanan yang ditemukan sebelumnya. Kelas kedua memberikan perlindungan terhadap jenis serangan yang tidak diketahui. Adapun metode menanggapi serangan, sejumlah besar dari mereka telah menumpuk, tetapi yang berikut dapat dibedakan dari yang utama: memblokir koneksi menggunakan paket TCP dengan bendera RST atau melalui firewall, mengkonfigurasi ulang peralatan komunikasi, dan juga memblokir catatan pengguna atau host tertentu dalam infrastruktur. .
Pada akhirnya, ide paling efektif untuk melindungi infrastruktur adalah menggunakan IDS dan IPS bersama dalam satu produk - firewall, yang, melalui analisis mendalam paket jaringan, mendeteksi serangan dan memblokirnya. Perlu dicatat bahwa kita hanya berbicara tentang satu garis pertahanan, yang, biasanya terletak di belakang firewall. Dan untuk mencapai perlindungan jaringan yang komprehensif, perlu menggunakan seluruh gudang alat perlindungan, misalnya UTM (Unified Threat Management) - firewall yang bekerja bersama, VPN, IPS, antivirus, alat penyaringan, dan alat anti-spam.
Dihadapkan dengan sejumlah masalah arsitektur, putaran pengembangan sistem berikutnya untuk vendor dunia adalah firewall generasi berikutnya (NGFW, Next Generation Firewall), yang menang dengan analisis paralel dari lalu lintas yang sama dengan semua alat perlindungan, mengurai lalu lintas untuk memeriksa antivirus dalam memori, tidak setelah disimpan ke hard drive, tetapi juga karena analisis protokol OSI level 7, yang memungkinkan Anda untuk menganalisis operasi aplikasi tertentu.