web-dev-qa-db-ja.com

IDSは標的型攻撃の捕捉にどの程度効果的ですか

私は最近、IBM Site Protectorに精通しました。私が理解しているように、Site ProtectorはIPS/IDSシステムの最上層にあり、Fortune 500の最大の企業のいくつかで使用されています。

大量の誤検知と、標的型攻撃を示すために固有のタグが全体的に欠如していることに驚きました。

SQLインジェクションに関連するものなど、疑わしい可能性のある多くのアラートが発生したとネットワークセキュリティアナリストが報告しているのを見ました。これらはアナリストによって偽陽性として却下されました。ソフトウェアでこれを確認する方法について問い合わせたところ、調査する必要のある特定のラベル/アラートタイプはこれ以上ないことがわかりました。

特定のアラートが不足しているように見えるので、特別な標的型攻撃を検出する上で、最高レベルのIDSソフトウェアがどれほど役立つかを考えなければなりません。

私が話している攻撃のタイプを明確にするために、私は例を挙げます:

  • 特定のターゲットに対するポートスキャン
  • 特定のターゲットに対するSQLインジェクションの試み
  • Succusfull SQLインジェクションを介してデータベースから取得するなどして取得した資格情報
  • SSHがインストールされているか、リモートシェルが確立されています。ターゲットにとって一般的ではない、ある種のリモートインターフェース。
  • ターゲットからの非標準ポートを介した大量のトラフィックなど、その他の異常な動作。

SQL_InjectionアラートはURLのパラメーターも表示せず、URLのファイル名のみを表示したため、SQLインジェクションが発生したかどうかを確認することも困難でした。

上記の攻撃シナリオでのアクティビティを示すアラートがなく、ほとんどのSQLインジェクションとバッファオーバーフローアラートでさえ、誤検知(1つのインスタンスでも攻撃が成功する可能性がある場合)として却下される傾向がある場合、そのような攻撃を検出するためのIDS?

6
Sonny Ordell

免責事項 IBM Site Protectorは独自仕様であるため、特定の質問には答えられません。しかし、ネットワークベースのIDS/IPSシステム全般についての私の印象を共有します。

特定の攻撃を検出する際の有効性特定の種類の攻撃を検出する際のIDSの効果について質問しました。

  • ポートスキャン。 IDSシステムはほとんどのポートスキャンを検出するのにかなり効果的であると思います。 (ポートスキャンを検出することが有用かどうかは別の質問です。)

  • SQLスキャン IDSシステムは、基本的なSQLインジェクション攻撃の試み(たとえば、誰かが簡単な方法でサーバーに侵入している場合)を検出するのに効果的であると思います。高度なSQLインジェクション攻撃を検出するのに効果があるとは思いません。 IDSによる検出を回避するSQLインジェクションエクスプロイトを構築することが可能です。

  • 資格情報を取得しました。これは広すぎます。あなたが考えていた資格情報を取得するための方法がわからないので、それに答える方法がわかりません。ユーザー名とパスワードを推測してWebアプリケーションにアクセスしようとする攻撃者について話している場合、ネットワークベースのIDSがこれらの攻撃を検出するとは思わないでしょう。

  • SSHのインストール IDSがSSHのインストールを検出するかどうかはわかりません。悪意を持ってSSHサーバーをオンにする攻撃者と正当な目的でSSHサーバーをオンにするシステム管理者をどのように区別するかは明確ではありません。これは、簡単に自分でテストできるもののようです。

  • Remote Shell。 IDSがほとんどのリモートシェルの検出に効果的であるとは思わないでしょう。おそらく場合によっては、攻撃者がマシンでコードを実行できるようになると、IDSが検出しないリモートアクセス用の独自のカスタムメソッドを作成するのは簡単すぎます。いくつかの一般的なケースが検出される可能性があります。わからないし、知るほどの経験もない。

  • その他の異常な動作。私の知る限り、現在のネットワークベースのIDSは通常、一般的に異常を検出しようとしません。むしろ、実際に観察されている特定の攻撃方法のシグネチャを持つことがより一般的です。つまり、未知の攻撃ではなく、既知の攻撃を検出しようとします。

    異常の検出は非常に困難であり、通常、多くの誤検知につながります。たとえば、どこかで大量のトラフィックが突然発生し始めた場合、Slashdottedが発生した場合(これは正当なトラフィックです)と、セキュリティ違反があった場合(これは不正なトラフィックです)をどのように区別しますか? ?一般的なケースでは、かなりトリッキーになります。

あなたが言及しなかったもう1つがありますが、これは重要だと思います。

  • 設定エラー。設定ミスは、セキュリティ問題の重要な原因の1つです。例としては、既知の脆弱性を持つ古いソフトウェアを実行して更新に失敗したり、脆弱なサービスを公開したファイアウォールに不注意で穴を開けたりすることが含まれます。これは、IDSが脆弱なアプリケーションや不正に構成されたアプリケーションを悪用しようとする試みを検出することで実際に役立つ種類の間違いです。

さらに、セキュリティ違反が発生した後、IDSは、良好なログを保持していれば、行われた損傷の法医学的調査をより簡単に実行できるようにする場合があります。

アラートに表示される情報最後に尋ねた質問は、アラートに表示される情報に関係しています。これは、IDSがそもそも攻撃を検出できるかどうかとは別の問題です。 IDSのほとんどのユーザーは、エクスプロイトのすべての技術的詳細を有効に解釈する立場にないため、ほとんどのユーザーにとって、そのような種類の詳細を示すことはそれほど有用ではないかもしれません。アラートでユーザーに表示される情報に関する限り、それは特定の製品に依存するユーザーインターフェースの質問なので、これがあなたにとって重要なものである場合は、試用版を入手することをお勧めしますあなたが検討し、この側面を評価している製品。

標的型攻撃。簡単な注記:上記の情報のほとんどは、特定の企業または企業の特定のマシンに対する標的型攻撃に固有のものではありません。非標的型攻撃に対する答えはほぼ同じです(ただし、IDSは標的型攻撃よりも非標的型攻撃に対していくらか効果的である可能性があります)。

IDSはどの程度役に立ちますか?この質問に対する信頼できる回答が見つかるかどうかはわかりません。それはかなり主観的です。個人的には、IDSの有用性は明確ではないと思います。IDSは過剰に宣伝されることが多いと思います。 IDSは次の2つの点で最も優れている傾向があると思います:(1)一般的な高度な攻撃の検出、(2)構成エラーによって引き起こされた違反の検出。

システムを防御する主要な手段としてIDSをお勧めしません。ただし、IDSは、たとえば他の防御が停止しなかったいくつかの穴を開けてしまう不注意な構成エラーをキャッチするために、二次防御として何らかの価値があるかもしれないというもっともらしい議論があります。 IDSが自分にとって意味があるかどうかは、自分で判断する必要がありますが、一般的に言って、IDSは、最初からセキュリティプログラムを作成する場合に優先する最初の数少ないものではありません。

IDSを使用する理由この時点での反応は、IDSがあまり役に立たない場合、待ってください。

IDSの導入は簡単です。ネットワークに接続するだけで準備完了です。エンドユーザーにソフトウェアをプッシュする必要はなく、ファイアウォールポリシーを更新する必要もありません。また、正当なトラフィックをブロックする可能性のあるセキュリティ制限を展開する必要もありません。それは、セキュリティの頭痛に対する無痛のソリューションのように感じます。

IDS/IPSの展開の2番目の理由として考えられるのは、コンプライアンスとチェックリストです。 IDSを持っている場合は、監査人に確認することができます。セキュリティ違反があった場合は、企業幹部との間でCYAによる保護が提供されます(最新のIDSを導入しましたが、私たちが持つことができるすべて)。これは、技術者ではない読者が侵入防止システムが侵入を確実に防止するものであると想定する可能性が高いという事実を利用しています。

考えられる3つ目の理由は、IDSがレポートや大量のレポートを作成し、グラフや図表を作成することです。マネージャーはレポートが好きです。セキュリティを「管理」できるように感じ、自分たちの状況を把握するのに役立ちます。また、セキュリティチームもこれらのレポートを好む場合があります。彼らは、会社が本当にセキュリティ防御に投資する必要がある理由を上級管理職に主張するのに役立ちます(1月だけで10,000件の攻撃がありました。本当にファイアウォールを設置する必要があります)。

5
D.W.

IDSは、標的型攻撃を非標的型攻撃と同じくらい効果的に検出します。

「標的型攻撃」とは何か誤解があるのではないでしょうか。標的型攻撃と非標的型攻撃の違いは、攻撃者が全員をハッキングしようとするのか、自分だけをハッキングしようとするのかです。標的型と非標的型は、攻撃者が攻撃で使用することを選択した技術的な方法から直交しています。

一般的に言って、IDSは一般的な高度な攻撃を検出するのに最適です。

ただし、高度な攻撃者はIDSを簡単に回避できます。カスタム攻撃はIDSによって検出される可能性はほとんどありません。また、IDSは高度な永続的脅威(APT)を検出する可能性は低いです。また、ネットワークレベルのIDSは、スピアフィッシングの検出にはあまり適していません。たとえば、標的型の悪意のある電子メール、ソーシャルネットワークを介した標的型攻撃などです。メールベースのベクターは、ネットワークを監視するものではなく、メールサーバーで検出される必要があります。 Webベースのベクトルは、ネットワークモニターが検出するのがさらに困難です。

一般的に言って、IDSを主要な防御線として信頼することはお勧めしません。二次防御としては、一次防御で止められなかったかもしれないいくつかのことをキャッチすることは問題ありませんが、唯一の防御としてIDSを使用すべきではありません。主な防御手段は、他の方法(ファイアウォール、ソフトウェアの更新/パッチ、システムの構成と管理、ユーザー教育、優れたソフトウェア開発プラクティスなど)を使用する必要があります。

5
D.W.