IPS i deszyfracja ruchu

Liczba luk w zabezpieczeniach, a co za tym idzie ataków na sieci wewnętrzne, rośnie z każdym rokiem. W celu zapewnienia sieci firmowej skutecznej ochrony konieczne jest wdrożenie zaawansowanych technologii, które zabezpieczą sieć na różnych poziomach. Jedną z nich jest IDS / IPS.

Jak chronić sieć firmową?

Niestety ochrona sieci wewnętrznej robi się coraz trudniejsze, a firmy coraz gorzej radzą sobie obroną przed atakami z zewnątrz. Z raportu Microsoft wynika, że w 96,88 % przypadków infekcji ransomware hakerzy potrzebują cztery godziny, aby pomyślnie przeniknąć do celu. Najszybsze złośliwe oprogramowanie może przejąć system firmy w mniej niż 45 minut. [1] Wg szacunków ekspertów każda z większych polskich firm odpiera od kilkudziesięciu do kilkuset ataków tygodniowo. Największym problemem są trojany (Trickbot), programy do wyłudzania danych logowania (Qbot i Dridex) czy oprogramowanie ransomware. W tym ostatnim hakerzy zazwyczaje szyfrują część danych, blokują system przedsiębiorstwa, a następnie żądają okupu za deszyfrację.

Z roku na rok gwałtownie wzrasta też liczba zgłoszonych luk w zabezpieczeniach systemu operacyjnego. Raport Microsoft CVE pokazuje, że w porównaniu z latami poprzednimi liczba luk w zabezpieczeniach zgłoszonych w 2020 r. wzrosła o ponad 40% rok do roku, a liczba i waga luk w zabezpieczeniach osiągnęły rekordowy poziom.

Części tych problemów można by było uniknąć, gdyby firmy skupiły się na tworzeniu wielopoziomowych i zaawansowanych zabezpieczeń sieci firmowej. Obecnie podstawowe zapory jak NGFW już nie wystarczą. Konieczne jest wykorzystywanie technologii pokrywających różne warstwy sieci. Do takich należy rozwiązanie IDS/IPS i funkcja deszyfracji danych.

Czytaj więcej: Audyt bezpieczeństwa infrastruktury sprzętowej IT

Czym jest IDS/IPS?

IDS (Intrusion Detection System) i IPS (Intrusion Prevention System) to sprzętowe lub wirtualne oprogramowania, które wykorzystywane są do wykrywania i zapobiegania włamaniom do sieci.

Zadaniem IDS jest wykrywanie intruzów, czyli prób dostępu do sieci. Monitoruje i analizuje ruch w sieci pod kątem sygnatur pasujących do znanych ataków. W przypadku wykrycia zagrożenia ostrzega administratora.

System zapobiegania włamaniom (IPS) sprzęgnięty jest zazwyczaj z zaporą sieciową i zlokalizowany między światem zewnętrznym a siecią wewnętrzną. IPS prewencyjnie, z wyprzedzeniem blokuje ruch, jeśli uzna, że dany pakiet stanowi zagrożenie dla sieci wewnętrznej.

Istnieje kilka rodzajów IPS:

• NIPS (Network-based Intrusion Prevention System) czyli system zapobiegania włamaniom do sieci. Rodzaj IPS, którego zadaniem jest monitorowanie sieci pod kątem złośliwej aktywności lub podejrzanego ruchu i proaktywne skanowanie w poszukiwaniu zagrożeń.
• WIPS (Wireless Intrusion Prevention System) czyli system zapobiegania włamaniom do sieci bezprzewodowej. To IPS dedykowany do obsługi sieci bezprzewodowej. Monitoruje WLAN pod kątem podejrzanego ruchu, analizując protokoły sieci bezprzewodowych.
• HIPS (Host Intrusion Prevention System) to system zapobiegania włamaniom do hosta. Rodzaj IPS, który instalowany jest na punkcie końcowym (np. komputerze). Analizuje ruch przychodzący i wychodzący tylko do konkretnego urządzenia. Współpracuje z NIPS i stanowi w pewnym sensie ostatni bastion obrony przed zagrożeniami.
• Analiza zachowania sieci NBA (Network Behavior Analysis) to IPS bazujący na analizie behawioralnej, który ma na celu wykrywanie podejrzanych ruchów i przepływów, które mogą być związane z m.in. z atakami typu DDoS (Distributed Denial of Service).

Na czym polega deszyfracja ruchu SSL/TLS?

Aby skutecznie bronić się przed atakami i wykrywać wszystkie zagrożenia, konieczny jest nieograniczony wgląd do wszystkich plików. Niestety obecnie większość (ponad 90%) ruchu sieciowego jest szyfrowana. Szyfrowanie uniemożliwia zaporze i innym systemom antywirusowym przejrzenie zawartości pliku. A to znaczy, że nie mogą sprawdzić, czy znajduje się w nim niebezpieczna zawartość (wirus).
Wg danych niemal 68% złośliwego oprogramowania ukrytego jest właśnie w ruchu internetowym SSL/TLS. Aby wykryć złośliwe oprogramowanie, należy najpierw dokonać deszyfracji ruchu SSL/TLS, a to zazwyczaj zabiera dużo mocy obliczeniowej zapór sieciowych i odbija się na wydajności sieci.
Z pomocą przychodzi funkcja deszyfracji. W ramach tej opcji oprogramowanie IDS/IPS rozszyfrowuje dane, analizuje je, a następnie ponownie je zaszyfrowuje. W ten sposób jest w stanie wyłapać niebezpieczną zawartość. Funkcja deszyfracji SSL TLS wykonywana z poziomu oprogramowania IPS jest znacznie mniej obciążająca dla systemu niż w przypadku gdybyśmy to robi na poziomie firewalla >>.

Czytaj więcej: Audyt bezpieczeństwa aplikacji – testy penetracyjne

Najważniejsze funkcje IPS

Wykrywanie zagrożeń

IPS zlokalizowane jest bezpośrednio za zaporą sieciową i stanowi uzupełniającą warstwę bezpieczeństwa, która filtruje niebezpieczne treści. Sposób wykrywania zagrożeń zależy od rodzaju oprogramowania i jego zaawansowania. W rozwiązaniach IPS najczęściej możemy spotkać się z dwiema metodami:

Monitoring oparty na sygnaturach. Oprogramowanie IPS wyposażone jest w zaawansowaną bazę sygnatur, wg której dokonuje analizy ruchu sieciowego. Po tym, jak dany pakiet znajdzie się w systemie, IPS zaczyna szukać w nim ciągów danych charakterystycznych dla konkretnych zagrożeń sieciowych. W sytuacji, gdy pakiet trafi na regułę blokującą, jest zatrzymywany przez programowanie.

Monitoring oparty na anomaliach. W tym rozwiązaniu oprogramowanie definiuje zagrożenie na podstawie niepożądanych zdarzeń, które występują w danej sieci. Zazwyczaj ustalone są pewne reguły, których przekroczenie staje się sygnałem alarmowym dla systemu, że w sieci dzieje się coś podejrzanego np. w ostatniej godzinie wzrosła liczba wejść na stronę lub nieudanych logowań użytkowników.

Zastosowanie sztucznej inteligencji i uczenia maszynowego w IPS.

W standardowych systemach IPS bardzo często wykrywanie zagrożeń opiera na sygnaturach. To rozwiązanie doskonale sprawdza się w przypadku gdy znamy potencjalne zagrożenia a sygnatury znajdują się w bazie danych. Zdecydowanie inaczej sprawa przedstawia się w przypadku ataków zero-day. Wówczas sygnatury nie są w stanie szybko zidentyfikować nadchodzącego zagrożenia. Z tego względu zaawansowanie rozwiązania IPS/IDS coraz częściej do wykrywania zagrożeń wykorzystują technologię uczenia maszynowego

W przypadku pojawienia się zagrożenia IPS może wykonać następujące działania:

• dokonać konfiguracji zapory sieciowej, aby zwiększyć ochronę
• wysłać powiadomienie do administratorów systemu o możliwych naruszeniach
• zablokować ruch z podejrzanych adresów IT
• zresetować połączenie

Chcesz wiedzieć więcej o zabezpieczeniu sieci? Przeczytaj również: Kontrola dostępu do sieci (Network Access Control) – jak chroni sieć firmową?

Wielowymiarowe wykrywanie zagrożeń z analizą ryzyka.

W systemie IPS/IDS algorytmy działają na wielu płaszczyznach, co znacznie poprawia skuteczność działania. Na podstawie zróżnicowanych danych (analizy behawioralnej ruchu, sygnatur zagrożeń lub wskazywania nietypowych aktywności i korelacji) są w stanie przewidzieć potencjalne zagrożenie i skutecznie zapobiec atakowi na sieć wewnętrzną. Za pomocą analizy korelacji są w stanie określić prawdopodobieństwo wystąpienia danego zagrożenia i jego natężenie.

Różnica pomiędzy NGFW a IPS

Często Next Generation Firewall i IDS/IPS są ze sobą mylone. Tymczasem funkcje i zakres zadań jakie mają do wykonania Next Generation Firewall różni się znacząco od rozwiązania IDS/IPS.
W sferze zadań sieciowego firewalla (zapory ogniowej) jest blokowanie i filtrowanie ruchu. Funkcjami IDS/IPS jest prewencja, wykrywanie zagrożeń i ostrzeganie administratora systemu przed potencjalnymi atakami.
Rozwiązanie IDS/IPS przydaje się również wówczas gdy zależy ci na zachowaniu określonej wydajności i przepustowości sieci.

Przeczytaj również: Web Application Firewall: jak chroni aplikacje webowe?

Jakie są zalety z wykorzystania deszyfracji ruchu i integracji z IPS?

Deszyfracji ruchu SSL/TLS sprzęgnięta z rozwiązaniami IDS/IPS pozwala na pełny monitoring ruchu i pakietów przesyłanych w sieci. W ten sposób sprawdzony zostaje każdy plik a ryzyko zagrożenia zmniejszone jest do minimum.
Możliwość przesyłania deszyfrowanego ruchu do innych systemów bezpieczeństwa
Deszyfrowane w ten sposób dane mogą zostać przesłane do innych systemów realizowanych specjalizujący systemów bezpieczeństwa. W ten sposób plik może zostać zweryfikowany na wielu płaszczyznach, co poprawia współczynnik wykrywalności.

Podsumowując korzystanie z IDS/IPS znacząco wpływa na poziom bezpieczeństwo w sieci wewnętrznej i dostarcza wielu innych benefitów.

• Rozwiązanie IPS/IDS połączone z deszyfracją danych i firewallem jest w stanie wykryć zagrożenia, z którymi nie mogą poradzić sobie inne narzędzia. Systemy bazujące na sztucznej inteligencji i analizie korelacji doskonale radzą sobie z wykrywaniem zagrożeń nowych, które stanowią największe niebezpieczeństwo dla sieci wewnętrznych np ataki zero-day.
• W związku, z tym że system IDS/IPS odseparowuje złośliwy ruch zanim dotrze do innych urządzeń, zwiększa się wydajność i zmniejsza obciążenie sieci.
• Systemy IDS/IPS działają w sposób automatyczny przez co oszczędzamy czas i zasoby ludzkie.
• System IDS/IPS można skonfigurować w ten sposób, aby doskonale radził sobie z wszystkimi potencjalnymi zagrożeniami, które są charakterystyczne dla danej branży czy specyfiki działalności.
• Systemy IPS mogą być wdrożone w innym modelu niż NGFW, dzięki temu chronią umieszczone pomiędzy segmentami sieci (segmentacja sieci) i krytyczne zasoby wewnętrzne.

Hillstone NIPS

Zaawansowany zestaw silników zabezpieczeń Hillstone NIPS pozwala wykrywać i zapobiegać zagrożeniom sieciowym. Rozwiązanie to pomaga w zabezpieczeniu sieci przez cały cykl życia zagrożenia, chroniąc na każdym etapie ataku. NIPS oferuje również rozbudowane i szczegółowe raporty, które ułatwiają podejmowanie właściwych decyzji. Atutem jest ujednolicone, centrala zarządzaniem, które pozwala na komfortowy dostęp do wszystkich danych i łatwe zarządzanie bezpieczeństwem.

Tylko szybkie i skuteczne wykrywanie zagrożeń i kompleksowe podejście zmniejszy ryzyko ataku. Z tego powodu silniki Hillstone NIPS zapewniają całościową ochronę sieci organizacji: od warstwy 2 do warstwy 7.

Jak to wygląda w praktyce?

• Usługi IP Reputation namierzają i blokują żądania z witryn,które mogą potencjalnie zawierać złośliwe oprogramowanie i spam.
• Botnet C&C Prevention blokuje komunikację z kanałem kontrolnym oraz wykrywa i blokuje boty również w intranecie.
• Gwarantuje skuteczne zabezpieczenie przed atakami DDoS.
• IPS blokuje wszelkie próby wykorzystania luk w systemie w warstwie sieciowej
• Antyspam i filtrowanie adresów URL mają za zadanie odfiltrowywać ataki w warstwie internetowej i złośliwe adresy URL.
• Antywirus korzystając z zaawansowanej, aktualizowanej bazy sygnatur wykrywa i blokuje znane złośliwe oprogramowanie na poziomie sieci
• Cloud Sandbox oferuje zaawansowane wykrywanie i zapobieganie złośliwym plikom.
• Na końcowym etapie Hillstone NIPS wprowadza inteligentne silniki,które wykrywają różnego typu złośliwych zachowań.

Zapobieganie włamaniom oparte na sztucznej inteligencji

Prócz tradycyjnych silników wykrywania, Hillstone IPS oferuje inteligentne rozwiązania do zapobiegania włamaniom oparte na AI i uczeniu maszynowym. W skład tego rozwiązania wchodzi wiele zaawansowanych technologii.

• Abnormal Behaviour Detection, ABD. Algorytm najpierw uczy się normalnych zachowań w sieci serwerów i użytkowników, a potem wyodrębnia z nich cechy behawioralne. Model behawioralny stworzony na tej podstawie służy do wykrywania wszelkich anomalii.
• Advanced Threat Detection, ATD. Na podstawie silników AI i uczenia maszynowego może identyfikować zachowanie typowe dla złośliwych zachowań (plików i programów).
• Analizuje i koreluje dane z różnych silników i mechanizmów zabezpieczeń (w tym również tych opartych na sygnaturach). Daje mu to możliwość pełnego wykrywania zaawansowanych zagrożeń.
• W etapach Cyber ​​Kill Chain mechanizmy silników detekcji mapują zagrożenia wraz dowodami kryminalistycznymi i innymi opcjami. W ten sposób zespoły bezpieczeństwa w organizacji mogą przeanalizować i podjąć odpowiednie działania w maksymalnie krótkim czasie.

Zalety rozwiązania Hillstone NIPS

Rozwiązania Hillstone Networks zapewniają utrzymanie maksymalnej wydajności warstwy aplikacji, przy zachowaniu wysokiego bezpieczeństwa sieci.

Zaletami rozwiązań Hillstone są:

• Wysoka przepustowość NGFW, IPS, AV;
• Wykrywanie oparte na uczeniu maszynowym i AI;
• Wysoka skuteczność w wykrywania znanych i nieznanych zagrożeń;
• Ekosystem rozwiązań w celu budowy retrospektywnej analizy incydentów;
• Elastyczność wdrażania i dostosowywania do warunków sieci;
• Widoczność zagrożeń w SSL/TLS poprzez wydajną analizę zaszyfrowanego ruchu HTTPS.
• Scentralizowana platforma zarządzania i intuicyjny interfejs (HSM, skrót od Hillstone Security Management Platform). Z jednego miejsca mamy dostęp do wszystkich narzędzi (Hillstone NGFW, NIPS, sBDS, ADC);
• Integracja z systemami zarządzania innych firm za pośrednictwem interfejsu API RESTful;
• Skalowalność systemu. Hillstone NIPS może chronić klientów różnej wielkości, od małych firm po duże przedsiębiorstwa, od centrum danych po sieci szkieletowe dostawców usług internetowych.

Chcesz skutecznie chronić sieć firmową przed zagrożeniami?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.

Przypisy:

1. https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/

Ostatnia aktualizacja 2023-07-28