تیمهای امنیتی از سیستم تشخیص نفوذ (IDS[۱]) جهت تحلیل ترافیک شبکه، شناسایی فعالیتهای مشکوک و ارسال هشدار استفاده میکنند. تعدادی از این سیستمها حتی توانایی انجام اقدام در صورت شناسایی ترافیک ناهنجار یا فعالیت مخرب را دارند. برای مثال این سیستمها میتوانند ترافیک ارسالی از سمت آدرسهای آیپی مشکوک را مسدود کنند.
بعضی از سیستمهای تشخیص نفوذ به نوعی در تقابل با سیستمهای جلوگیری از نفوذ (IPS[۲]) قرار دارند. راهکار امنیتی IPS هم مثل IDS بر ترافیک شبکه نظارت داشته تا ترافیک مخرب را شناسایی نماید. هدف اصلی از راهاندازی IPSها علاوه بر تشخیص، ثبت تهدیدات و اعلان هشدار را میتوان جلوگیری و مقابله با نفوذهای سایبری دانست.
سیستمهای تشخیص نفوذ چگونه کار میکنند؟
از سیستمهای تشخیص نفوذ (IDS) جهت شناسایی ناهنجاریها و با هدف به دام انداختن هکرها پیش از ایجاد آسیب در شبکه استفاده میشود. سیستمهای تشخیص نفوذ میتوانند مبتنی بر شبکه، میزبان یا ابر باشند. IDS مبتنی بر میزبان، بر روی کلاینتها نصب میشود در حالی که IDS مبتنی بر شبکه، در شبکه استقرار مییابد. سیستمهای تشخیص نفوذ مبتنی بر ابر هم برای حفاظت از دادهها و سیستمهای مستقر شده بر روی بستر ابر طراحی شدهاند.
سیستمهای تشخیص نفوذ به صورت پیوسته در حال تلاش برای شناسایی نشانههای حملات شناخته شده یا رفتارهای غیرعادی در شبکهها و سیستمها هستند. آنها به خوبی قابلیت تشخیص رویدادهای امنیتی و حملات مسمومسازی سیستم نام دامنه[۳] را دارند. ممکن است IDS به صورت یک نرمافزار بر روی سیستم مدنظر یا به عنوان یک تجهیز امنیتی در شبکه نصب شود.
انواع مختلف سیستمهای تشخیص نفوذ
انواع سیستمهای تشخیص نفوذ و همچنین روشهای مورد استفاده توسط هر کدام از آنها به شرح زیر است:
- سیستم تشخیص نفوذ شبکه (NIDS[۴]): این سیستم در یک یا چند نقطه کلیدی در شبکه نصب میشود تا امکان نظارت بر روی ترافیکهای ورودی و خروجی را در تمام تجهیزات شبکه داشته باشد.
- سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS[۵]): در این روش، HIDS بر روی همه رایانهها یا تجهیزات شبکه که دسترسی مستقیم به اینترنت و شبکه داخلی سازمان دارند، نصب میشود. این سیستم قابلیت تشخیص بستههای ناهنجار شبکه که از درون سازمان ارسال میشوند یا ترافیک مخربی که NIDS توانایی تشخیص آن را نداشته باشد، دارد. همچنین HIDS معمولاً ترافیک آلودهای که از سمت سیستمهای میزبان ارسال میشود را هم تشخیص میدهد. برای مثال احتمال دارد که سیستم میزبان کاملاً ناخواسته به بدافزار آلوده شده و در تلاش برای آلوده کردن سایر سیستمها باشد.
- سیستم تشخیص نفوذ مبتنی بر امضا (SIDS[۶]): این سیستم بر روی همه بستههایی که در شبکه عبور میکنند، نظارت داشته و آنها را با پایگاه دادهای متشکل از علائم و ویژگیهای حملات و تهدیدات شناخته شده مقایسه میکند.
- سیستم تشخیص نفوذ مبتنی بر ناهنجاری (AIDS[۷]): این سیستمها عموماً از یادگیری ماشینی برای ایجاد یک خط مبنا و تعریف یک سیاست امنیتی مشخص استفاده میکنند. AIDS بر روی ترافیک شبکه، پهنای باند، پروتکلها و پورتها نظارت داشته و در صورت مشاهده هرگونه فعالیت مشکوک یا مغایرت با سیاستهای امنیتی هشدارهای لازم را به کارشناسان مربوطه ارسال میکند. این سیستم بر اساس یک مدل گستردهتر، امکان شناسایی مخاطرات و تهدیدات امنیتی را داشته و محدودیت روشهای مبتنی بر امضا را به ویژه در زمینه تشخیص تهدیدات جدید برطرف میکند.
سیستمهای تشخیص نفوذ معمولاً به دو گروه فعال یا غیرفعال (منفعل) تقسیم میشوند. سیستمهای تشخیص نفوذ منفعل در صورت شناسایی فعالیت مخرب فقط یک هشدار یا گزارش را ثبت نموده و دیگر هیچ اقدام خاصی انجام نمیدهند. در حالی که سیستمهای فعال (که با عنوان سیستمهای تشخیص و جلوگیری از نفوذ هم شناخته میشوند) علاوه بر تولید لاگ و ثبت وقایع، قابلیت انجام کارهایی مثل مسدود کردن آدرس آیپی یا قطع دسترسی به منابع محدود شده را هم دارند.
Snort را میتوان از جمله پرکاربردترین سیستمهای تشخیص نفوذ دانست. بعضی از ویژگیهای آن عبارتند از:
- رایگان بودن
- متنباز و از نوع NIDS بودن
- قابلیت شناسایی تهدیدات جدید
- امکان نصب آن بر روی سیستمعاملهای لینوکس یا یونیکس، علاوه بر سیستمعاملهای ویندوزی.
امکانات سیستمهای تشخیص نفوذ
سیستمهای تشخیص نفوذ به صورت پیوسته و بدون وقفه ترافیک شبکه را بررسی و تحلیل نموده و در صورت مشاهده هر فعالیت غیرمجاز سریعاً آن را شناسایی و گزارشهای لازم را به تیمهای امنیتی صادر میکنند. برخی از ویژگیهای سیستمهای تشخیص نفوذ به شرح زیر هستند:
- نظارت بر روی عملکرد مسیریابها، فایروالها، سرورهای مدیریت کلید و فایلهای مورد نیاز سایر کنترلهای امنیتی با هدف تشخیص، جلوگیری یا بازیابی پس از وقوع حملات سایبری
- فراهم کردن یک روش کاربردی جهت تنظیم، سازماندهی و تشخیص لاگهای سیستمعامل و سایر لاگهایی که پیگیری یا تحلیل آنها چندان کار آسانی نیست.
- ایجاد یک رابط کاربرپسند به صورتی که کارمندان غیرمتخصص هم توانایی کار با آن را داشته باشند.
- ایجاد یک پایگاه داده جامع که شامل علائم و نشانههای تهدیدات بوده و قابلیت تطبیق با سایر اطلاعات سیستم را دارد.
- شناسایی تغییرات ایجاد شده، ثبت گزارش و ارسال هشدارهای لازم به تیمهای امنیتی
- قابلیت واکنش به نفوذ، مسدود کردن فعالیت مهاجمان و همچنین مسدود کردن ارتباطات سرور در صورت تشخیص یک نفوذ امنیتی.
مزایای سیستمهای تشخیص نفوذ
مهمترین مزیت سیستمهای تشخیص نفوذ برای سازمانها قابلیت شناسایی حوادث امنیتی است. بعضی از مهمترین مزایای سیستمهای تشخیص نفوذ شامل موارد زیر هستند:
- این سیستمها قابلیت تحلیل نوع و تعداد حملات را دارند.
- سازمانها میتوانند از اطلاعات ثبت شده توسط این سیستمها در جهت تغییر سیستمهای امنیتی یا پیادهسازی کنترلهای کارآمدتر استفاده کنند.
- سیستمهای تشخیص نفوذ به سازمانها کمک میکنند تا خطاها و مشکلات موجود در پیکربندی تجهیزات شبکه را شناسایی کرده و آنها را برطرف نمایند.
- سازمانها با استفاده از سیستمهای تشخیص نفوذ میتوانند عملکرد بهتر بر روی شبکهشان داشته باشند. در نتیجه پیروی از مقررات امنیتی و همسو ماندن با آنها برای سازمانها راحتتر خواهد بود. همچنین کسبوکارها میتوانند از لاگهای ایجاد شده توسط IDS به عنوان مدرک جهت اثبات پیروی از قوانین امنیتی استفاده کنند.
- سیستمهای تشخیص نفوذ میتوانند به بهبود واکنشهای امنیتی نیز کمک نمایند. حسگرهای IDS توانایی تشخیص تجهیزات و میزبانهای شبکه را دارند. بنابراین میتوانند به تیمهای امنیتی در بررسی دادههای موجود در بستههای شبکه و سیستمعامل سرویسهای مورد استفاده و در نتیجه بهبود واکنشهای امنیتی کمک کنند. استفاده از IDS برای جمعآوری این اطلاعات نسبت به بررسی دستی سیستمهای متصل بسیار راحتتر است.
چالشهای استفاده از سیستم تشخیص نفوذ
باید به این نکته توجه داشت که امکان تشخیص اشتباه توسط سیستمهای تشخیص نفوذ هم وجود دارد. اگر این سیستمها به درستی تنظیم و پیکربندی شوند قابلیت تشخیص تفاوتهای موجود در بین ترافیک معمولی و مخرب را خواهند داشت. اگرچه تشخیصهای کاذب هیچ آسیب جدی به شبکه وارد نکرده و حتی ممکن است منجر به پیکربندی بهتر در شبکه شوند ولی اگر IDS یک تهدید امنیتی را جزو ترافیک مجاز در نظر بگیرد و به آن مجوز ورود به شبکه را بدهد ممکن است مخاطرات جدی برای سازمان ایجاد شود.
در چنین شرایطی تیمهای امنیتی معمولاً زمانی متوجه وقوع حادثه میشوند که کل شبکه سازمان تحت تأثیر حمله قرار گرفته است. بنابراین باید IDS را به گونهای تنظیم کنید که نسبت به رفتارهای غیرعادی حساسیت بیشتری داشته باشد. در این صورت ایجاد تشخیصهای مثبت کاذب بهتر است از نادیده گرفتن ترافیکهای غیرمجاز.
بدافزارها همواره رو به رشد بوده و پیچیدهتر میشوند. مهاجمان نیز تلاش میکنند تغییرات چشمگیری را در الگوهای رفتاری که توسط سیستمهای تشخیص نفوذ شناسایی شدهاند ایجاد نمایند. از این رو تشخیص آلودگیهای منفی کاذب برای سیستمهای IDS به ویژه سیستمهایی که از نوع SIDS هستند مشکل مهمی محسوب میشود. در نتیجه سازمانها همواره به سیستمهایی نیاز دارند که قابلیت تشخیص رفتارهای مخرب و مقابله با تهدیدات جدید را داشته باشد.
[۱] Intrusion Detection System
[۲] Intrusion Prevention System
[۳] مسمومسازی نام دامنه یا جعل سیستم نام دامنه، یک نوع از روشهای هک است.
[۴] Network Intrusion Detection System
[۵] Host Intrusion Detection System
[۶] Signature-based Intrusion Detection System
[۷] Anomaly-based Intrusion Detection System