Mọi thứ bạn luôn muốn biết về các hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập (IDS) sử dụng kết hợp các sản phẩm phần cứng và phần mềm để phân tích lưu lượng mạng. Các phần mềm phân tích và kiểm tra các mô hình đã biết của giao thông và ferret ngoài hoạt động mà nó nghi ngờ là độc hại. Một ID tinh vi thậm chí có thể tự động chấm dứt kết nối và gửi cảnh báo cho quản trị viên ngay khi phát hiện hoạt động đáng ngờ.

Một ID được sử dụng chủ yếu bởi các công ty để phát hiện các loại hành vi độc hại khác nhau, chủ yếu thông qua Internet, có thể đặt các máy tính được nối mạng của họ có nguy cơ nghiêm trọng. Nó phát hiện bất kỳ loại tấn công nào trên các hệ thống mạng hoặc trên phần mềm, cũng như thông tin đăng nhập không chính thức và trái phép và truy cập vào các tài liệu quan trọng.

Các sơ đồ phát hiện xâm nhập rơi vào một trong các loại sau: ID dị thường – các hệ thống này tìm kiếm hành vi và lưu lượng không thường xuyên. ID sử dụng sai – Những trinh sát này cho hành vi Internet phù hợp với kịch bản tấn công đã biết, các đặc điểm đã được lưu trữ trong ID; Chúng được so sánh với hành vi hệ thống thời gian thực.

Có một loại ID khác được gọi là Hệ thống phát hiện xâm nhập dựa trên mạng (NIDS). Các hệ thống này giám sát các gói dữ liệu trên mạng và trinh sát cho hoạt động độc hại. Một hệ thống như vậy có thể theo dõi một số máy tính trên mạng cùng một lúc và điều này khiến chúng khác biệt với các loại ID khác, thường chỉ có thể theo dõi một máy tính cùng một lúc.

Vì vậy, ai đang cố gắng đột nhập vào mạng lưới công ty?

Bạn sẽ ngạc nhiên khi biết rằng máy tính của một công ty có nguy cơ nhiều hơn từ nhân viên của mình hơn là từ các tin tặc bên ngoài! Corporate America phát triển mạnh trong một môi trường cực kỳ cạnh tranh và các đối thủ cạnh tranh sẽ trả đô la hàng đầu nếu họ có thể đặt tay vào dữ liệu quan trọng. Ngoài ra, nhân viên đang nhảy công việc mọi lúc hoặc thiết lập liên doanh của riêng họ, vì vậy nếu họ có thể nhận được dữ liệu có giá trị miễn phí, nó sẽ làm cho họ rất nhiều điều tốt-và công ty rất có hại.

Làm thế nào để những kẻ xâm nhập tấn công hệ thống?

Phương pháp dễ dàng nhất để đột nhập vào một hệ thống bởi một người trong cuộc là có được quyền truy cập vật lý vào một hệ thống. Trong các công ty, rất khó để ngăn chặn nhân viên tiếp cận với hệ thống máy tính ở bất cứ đâu trong văn phòng.

Ngoài ra, nhân viên muốn đột nhập vào một hệ thống có thể đã am hiểu về máy tính và có thể biết cách hack vào các hệ thống. Tất cả những gì anh ta phải làm là sử dụng các thủ thuật thông thường của giao dịch hack để có quyền truy cập vào bất kỳ hệ thống nào trên mạng văn phòng.

Cuối cùng, các tin tặc tinh vi đang hoạt động từ một địa điểm từ xa cũng có thể đột nhập vào mạng của một công ty. Các phương pháp hack từ xa như vậy là khó khăn để phát hiện và phức tạp để chiến đấu.

Làm thế nào để tôi nhận được một ID?

Các nhà phát triển liên kết với phong trào nguồn mở đã xây dựng một vài IDSS có sẵn miễn phí. Đây là chi tiết của họ:

Aide (Môi trường phát hiện xâm nhập tiên tiến) là một sự thay thế miễn phí cho Tripwire-ID bán miễn phí. Aide là một ID hiệu quả và người dùng Tripwire mới cũng như cũ phải dùng thử.

Hệ thống tệp Saint (FSS) là một ID nguồn mở khác có sẵn để tải xuống tại http://insecure.dk/. FSS quá hoạt động như Tripwire – nó nhẹ, được phát triển bằng ngôn ngữ Perl và hoạt động trên bất kỳ nền tảng nào chạy Perl.

Snort là một ID nguồn mở khác bắt đầu nhỏ nhưng đã trưởng thành đáng kể. Nó phát hiện các xâm nhập vào một mạng dựa trên các quy tắc, kết hợp các lợi ích của các phương pháp kiểm tra dựa trên đặc trưng, ​​giao thức và dị thường. Bạn có thể khịt mũi ở đây: http://www.snort.org/

ID thương mại

Nếu bạn muốn các hệ thống phát hiện xâm nhập thương mại, thì bạn phải xem xét máy dò xâm nhập bảo mật Tripwire hoặc PolyCenter – cả hai IDSS này đã thu được danh tiếng đáng gờm trên thị trường.