この記事は機械翻訳されました。
侵入検知システム(IDS)は、ネットワーク内の悪意のあるアクティビティや異常なアクティビティを見つけるために、24時間アクティブに動作するソフトウェアのフォームです。 このような製品をインストールすることは、ハッカーや侵入者などから会社の概要を保護するための例外的なステップになる可能性があります。
従来の IDS では、IT 部門が見つけたものは何も修正できません。 これは 、侵入防止システムの タスクです。これに対し、IDS は異常を別のプログラム (または人間) に送信して評価し、対処します。
IDS セキュリティプログラムは新しいものではありません。最も初期のフォームは1980年代に開発されました。 しかし、脅威が進化するにつれて、脅威から保護するシステムも進化します。
IDS のしくみと、IDS の適切なインストール方法について概説します。また、いくつかのリスクとメリットについても概説しますので、これが本当に探していたソリューションであるかどうかを判断できます。
侵入検知の仕組み
現在、米国で営業しているすべての企業のうち、 1,400万社がハッキングに対して脆弱です。大企業は明らかにリスクにさらされています。しかし、小さな会社概要でも、泥棒やいたずら好きなプログラマーにとっては魅力的かもしれません。 IDSは、大きなダメージを受ける前に問題を早期に発見するのに役立ちます。
IDS には大きく分けて 2 つのタイプがあります。
- NIDS: ネットワーク侵入検知システムは、ネットワーク上のデバイスに出入りするすべてのものを監視します。
- HIDS: ホスト侵入検知システムは、ネットワーク内の個々のデバイス(またはホスト)を監視します。IT 部門は、受信トラフィックと送信トラフィックをスキャンします。
IDS はトラフィック パターン内の問題をどのように特定しますか?主に 2 つの検出タイプがあります。システムは、次の項目に基づいて問題にフラグを立てることができます。
- 署名。 IDSは、システム内の動きを既知のハッキング手法の膨大なデータベースと比較します。基本的に、プログラムは、現在システムで起こっていることが過去に誰かに害を及ぼしたかどうかを判断しようとします。
- 異常。 このシステムは、現在起こっているアクションを、過去に同じ場所で起こったことと比較します。活動の突然の急増、または急激な減少は、十分に無害である可能性があります。しかし、ITは問題の兆候である可能性もあります。
使用している IDS の種類や検出の種類に関係なく、ソリューションは IDS 内には存在しません。これらのプログラムは、交通を止めたり、トラップドアを閉じたり、混乱を片付けたりすることはできません。
煙探知器が火を消せないのと同じように、IDS は進行中の攻撃を止めることはできません。これらのプログラムにできることは、問題を警告することだけです。
IDSはどこに配置すべきですか?
ネットワークにはたくさんの入口と出口があります。データが自由に出入りできるようにするために必要です。しかし、それぞれが脆弱性であり、多くの脆弱性がある場合、IDSをインストールする適切な場所を見つけるのは難しい場合があります。
IDSは次のように配置できます。
- ファイアウォールの内側。 すべての会社概要は、サイズや構成に関係なく、 ファイアウォールを持つべきです。 ファイアウォールのすぐ後ろにIDSをインストールして、システムに入るトラフィックを綿密に監視します。
- ファイアウォール内。 2 つのシステムを統合して、ネットワークに侵入する攻撃を確実に監視します。
- ネットワーク上。 このアプローチでは、サーバー内の攻撃が広がらないようにします。
過去の攻撃と現在のリスクを分析して、どの配置の選択肢が適切かを判断します。やがて、最高レベルの保護のためにIDSを移動する必要があることに気付くかもしれません。
IDSは他のセキュリティ方法とどう違うのですか?
セキュリティシステムは数多く存在し、それらはしばしば連携して機能しますが、それらを頭の中で別々にしておくことは必ずしも容易ではありません。
IDS は、次のものとは異なります。
- ファイアウォール。 誰かがネットワークに入るべきですか?ファイアウォールは、その質問に答えます。ルールは、誰が入るべきか、そしてそこにいる間に何が起こるべきかを定義します。ファイアウォールは、IDS のように問題を警告しません。代わりに、ファイアウォールは単に定義したルールに従います。
- IPSです。 侵入防止システム(IPS)は、問題を発見し、解決します。このようなシステムは、IDS よりも少し洗練されています。問題が発生したときにIPSアラートが表示される場合がありますが、ソリューションがすでに機能していることがわかります。 IDS では、そのような保証はありません。
- IDPSです。 侵入検知および防止システム (IDPS) は、問題を特定して報告し、問題の再発防止に取り組みます。このようなシステムは、攻撃に対して脆弱になる計画の欠陥を指摘する可能性があります。標準の IDS では、問題の原因を明らかにするために調査作業を行う必要があります。
セキュリティプログラムには多くの頭字語があり、IT部門はそれらを混乱させがちです。 しかし、一般的には、IDS は自社の知恵と組み合わせ、会社の概要を保護するための便利なツールと考えてください。 他の製品は、あなたの仕事を少し楽にするのに役立つツールと考えてください。
IDS の利点と欠点
ハッカーは多発しています。2020年12月だけでも、 14件のハッキングが行われています。たった1件で、ハッカーは100万ドルのビットコインを要求しました。
適切な防御がなければ、このような攻撃は起こりやすいです。また、トラフィックを監視していない場合、攻撃は数か月または数年続く可能性があります。侵入者がシステム内に長く滞在するほど、壊滅的な損害のリスクが高まります。
しかし、IDSを導入していても、ハッカーは次のような方法で精巧な保護の網をくぐり抜けることができます。
- マスキング。 プロキシサーバーを使用すると、攻撃のソースを非常に簡単に隠すことができます。
- 共有。 ハッカーは、多くのデバイスやユーザーに作業を分散させる可能性があります。ダメージが一目でわかりにくくなります。
- 分割。 ハッカーは、検出を回避するためにパケットを断片化する可能性があります。
お客様のIDSには、以下のような既知の制限が適用される場合もあります。
- 古いソフトウェア。 IDS がトラフィックを数か月または数年前の以前の攻撃と比較すると、新しいバージョンのシグナルを見逃す可能性があります。
- 復号化の問題。 ほとんどのシステムでは、暗号化されたパケットを評価できません。
- 悪い慣行。 攻撃を受けている中小規模の企業全体の半数以上が 、6か月以内に廃業しています。 彼らは、攻撃が進行中のときに彼らを導くための次のステップを開発しません。これらのルールがなければ、問題に直面していることはわかりますが、ITをどのように解決するかはわかりません。
- 人的資源の不足。 誤検知を含むすべてのアラートに目を通すために、誰かが対応できるようにする必要があります。IDSは大量のデータを生成し、人間はすべての部分に目を通さなければなりません。
それでも、 ハッキングは 39 秒ごとに発生しているため、会社概要 はメリットを無視してリスクだけに焦点を当てるわけにはいきません。 IDS は、会社の概要を保護するために使用できる貴重なデータの優れた案件を提供します。 ITを使用しない場合、ハッカーに対してドアを大きく開いたままにしています。
IDS の未来
会社概要 標準 IDS の限界を認識しています。 一部の企業は、顧客のためにより大きく、より優れた製品を構築するために反応しています。
1 年か 2 年も経てば、新しい IDS ソリューションが提供されるようになり、管理上の負担が軽減されるかもしれません。誤検知のリスクを下げるために機械学習に頼る可能性があるため、スタッフは毎日調べる必要が少なくなります。また、ベンダーはそれらを同時に更新できるため、システムは常に新しい課題に関する最新情報にアクセスできます。
IDSとIPSの違いについてはこちらをご覧ください。
参考文献
米国の 1,400 万の企業がハッカーの脅威にさらされています。(2017年7月、CNBCの。
すべてのビジネスにファイアウォールが必要な理由(2018年11月、フェニックスビジネスジャーナル。
重大なサイバーインシデント。戦略国際問題研究所(CSIS)センター。
会社概要 60% は、この理由で 6 か月で失敗します (あなたが思っているのとは違います)。(2017年5月、株式 会社。
ハッカーは39秒ごとに攻撃します。(2017年2月)。安全。
