System wykrywania włamań oparty na hoście - Host-based intrusion detection system

Część serii na
Bezpieczeństwo informacji
Powiązane kategorie bezpieczeństwa
Bezpieczeństwo samochodowe Cyberprzestępczość Handel cyberseksem Oszustwa komputerowe Cybergeddon Cyberterroryzm Cyberwojna Elektroniczna wojna Wojna informacyjna Ochrona Internetu Mobilne zabezpieczenia Bezpieczeństwo sieci Ochrona przed kopiowaniem Zarządzanie Prawami Cyfrowymi
Zagrożenia
Oprogramowanie reklamowe Zaawansowane trwałe zagrożenie Wykonanie kodu arbitralnego Backdoory Backdoory sprzętowe Wstrzyknięcie kodu Oprogramowanie kryminalne Skrypty między witrynami Malware Cryptojacking Botnety Naruszenie danych Drive-by download obiekty pomocnicze przeglądarki Przestępstwo komputerowe Wirusy Skrobanie danych Odmowa usługi Podsłuchiwanie Oszustwa e-mail Podszywanie się pod e-maile Exploity Keyloggery Bomby logiczne Bomby zegarowe Bomby widełkowe Bomby Zip Fałszywe dialery Złośliwe oprogramowanie Ładunek Wyłudzanie informacji Silnik polimorficzny Eskalacja uprawnień Ransomware Rootkity Bootkity Strach Kod powłoki Spamowanie Inżynieria społeczna (bezpieczeństwo) Skrobanie ekranu Programy szpiegujące Błędy oprogramowania konie trojańskie Trojany sprzętowe Trojany zdalnego dostępu Słaby punkt Powłoki internetowe Wycieraczka Robaki Wstrzyknięcie SQL Nieuczciwe oprogramowanie zabezpieczające Zambi
Obrony
Bezpieczeństwo aplikacji Bezpieczne kodowanie Bezpieczne domyślnie Bezpieczne z założenia Przypadek nadużycia Kontrola dostępu do komputera Uwierzytelnianie Uwierzytelnianie wieloskładnikowe Upoważnienie Oprogramowanie zabezpieczające komputer Oprogramowanie antywirusowe System operacyjny ukierunkowany na bezpieczeństwo Bezpieczeństwo zorientowane na dane Zaciemnianie kodu Szyfrowanie Zapora System wykrywania włamań System wykrywania włamań oparty na hoście (HIDS) Wykrywanie anomalii Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) Mobilna bezpieczna brama Samoochrona aplikacji w czasie wykonywania
v T mi

System wykrywania włamań oparty na hoście ( HIDS ) to system wykrywania włamań, który jest w stanie monitorować i analizować elementy wewnętrzne systemu komputerowego, a także pakiety sieciowe na jego interfejsach sieciowych, podobnie jak system wykrywania włamań oparty na sieci (NIDS) działa. Był to pierwszy rodzaj oprogramowania do wykrywania włamań, który został zaprojektowany, a pierwotnym systemem docelowym był komputer typu mainframe, w którym interakcja z zewnątrz była rzadka.

Przegląd

System IDS oparty na hoście jest w stanie monitorować całość lub część dynamicznego zachowania i stanu systemu komputerowego, w oparciu o sposób jego konfiguracji. Oprócz takich działań, jak dynamiczna inspekcja pakietów sieciowych skierowanych do tego konkretnego hosta (opcjonalny komponent z większością dostępnych na rynku rozwiązań programowych), HIDS może wykryć, który program uzyskuje dostęp do jakich zasobów i odkryć, że na przykład edytor tekstu nagle i w niewytłumaczalny sposób zaczął modyfikować systemowa baza haseł. Podobnie HIDS może patrzeć na stan systemu, jego przechowywane informacje, czy to w pamięci RAM , w systemie plików, plikach dziennika lub gdzie indziej; i sprawdź, czy ich zawartość wygląda zgodnie z oczekiwaniami, np. nie została zmieniona przez intruzów.

Można myśleć o HIDS jako o agencie, który monitoruje, czy cokolwiek lub ktokolwiek, zarówno wewnętrzny, jak i zewnętrzny, ominął politykę bezpieczeństwa systemu .

Monitorowanie dynamicznego zachowania

Wielu użytkowników komputerów napotkało narzędzia monitorujące dynamiczne zachowanie systemu w postaci pakietów antywirusowych (AV). Chociaż programy AV często również monitorują stan systemu, spędzają dużo czasu na sprawdzaniu, kto robi co w komputerze – i czy dany program powinien mieć dostęp do określonych zasobów systemowych. Tutaj linie się zacierają, ponieważ wiele narzędzi pokrywa się funkcjonalnością.

Niektóre systemy zapobiegania włamaniom chronią przed atakami przepełnienia bufora na pamięć systemową i mogą wymuszać politykę bezpieczeństwa .

Stan monitorowania

Zasada działania HIDS polega na tym, że skuteczni intruzi ( hakerzy ) zazwyczaj zostawiają ślad po swoich działaniach. W rzeczywistości tacy intruzi często chcą być właścicielem zaatakowanego komputera i ustalają swoją „własność” poprzez zainstalowanie oprogramowania, które zapewni intruzom w przyszłości dostęp do wszelkich działań ( rejestrowanie naciśnięć klawiszy , kradzież tożsamości , spamowanie , aktywność botnetów , oprogramowanie szpiegujące). -użytkowanie itp.) przewidują.

Teoretycznie użytkownik komputera ma możliwość wykrycia wszelkich takich modyfikacji, a HIDS próbuje to zrobić i zgłasza swoje ustalenia.

Idealnie HIDS działa w połączeniu z NIDS, tak że HIDS znajdzie wszystko, co prześlizgnie się poza NIDS. Dostępne na rynku rozwiązania programowe często korelują wyniki badań NIDS i HIDS, aby dowiedzieć się, czy intruz sieciowy odniósł sukces na docelowym hoście.

Większość intruzów, którzy odnieśli sukces, po wejściu na maszynę docelową natychmiast stosuje najlepsze techniki bezpieczeństwa, aby zabezpieczyć system, który zinfiltrowali, pozostawiając otwarte tylko własne tylne drzwi , aby inni intruzi nie mogli przejąć ich komputerów.

Technika

Ogólnie HIDS używa bazy danych ( baza -obiektów) obiektów systemowych, które powinien monitorować – zwykle (ale niekoniecznie) obiekty systemu plików. HIDS może również sprawdzić, czy odpowiednie regiony pamięci nie zostały zmodyfikowane – na przykład tablica wywołań systemowych dla Linuksa i różne struktury vtable w Microsoft Windows .

Dla każdego obiektu, o którym mowa, HIDS zwykle zapamiętuje jego atrybuty (uprawnienia, rozmiar, daty modyfikacji) i tworzy pewnego rodzaju sumę kontrolną ( hasz MD5 , SHA1 lub podobny) dla zawartości, jeśli taka istnieje. Informacje te są przechowywane w bezpiecznej bazie danych do późniejszego porównania (baza sum kontrolnych).

Alternatywną metodą dla HIDS byłoby zapewnienie funkcjonalności typu NIDS na poziomie interfejsu sieciowego (NIC) punktu końcowego (serwera, stacji roboczej lub innego urządzenia końcowego). Zapewnienie HIDS w warstwie sieciowej ma tę zaletę, że zapewnia bardziej szczegółowe rejestrowanie źródła (adresu IP) ataku i szczegółów ataku, takich jak dane pakietów, których żadne z metod dynamicznego monitorowania behawioralnego nie można zobaczyć.

Operacja

W czasie instalacji — i za każdym razem, gdy którykolwiek z monitorowanych obiektów ulegnie uzasadnionej zmianie — system HIDS musi zainicjować swoją bazę danych sum kontrolnych, skanując odpowiednie obiekty. Osoby odpowiedzialne za bezpieczeństwo komputerowe muszą ściśle kontrolować ten proces, aby uniemożliwić intruzom dokonywanie nieautoryzowanych zmian w bazach danych. Taka inicjalizacja zazwyczaj zajmuje dużo czasu i obejmuje kryptograficzne zablokowanie każdego monitorowanego obiektu i baz danych sum kontrolnych lub gorzej. Z tego powodu producenci HIDS zwykle konstruują obiektową bazę danych w taki sposób, że częste aktualizacje bazy sum kontrolnych nie są konieczne.

Systemy komputerowe generalnie mają wiele dynamicznych (często zmieniających się) obiektów, które intruzi chcą modyfikować – i które HIDS powinien monitorować – ale ich dynamiczna natura sprawia, że ​​nie nadają się do zastosowania techniki sum kontrolnych. Aby rozwiązać ten problem, HIDS stosuje różne inne techniki wykrywania: monitorowanie zmieniających się atrybutów plików, pliki dziennika, których rozmiar zmniejszył się od czasu ostatniego sprawdzenia oraz wiele innych sposobów wykrywania nietypowych zdarzeń.

Gdy administrator systemu zbuduje odpowiednią bazę danych obiektów – najlepiej z pomocą i radą z narzędzi instalacyjnych HIDS – i zainicjuje bazę danych sum kontrolnych, HIDS ma wszystko, czego potrzebuje do regularnego skanowania monitorowanych obiektów i raportowania wszystkiego, co może się pojawić poszło nie tak. Raporty mogą mieć formę logów, e-maili lub tym podobnych.

Ochrona HIDS

HIDS zazwyczaj dokłada wszelkich starań, aby zapobiec jakiejkolwiek formie manipulacji w bazie danych obiektów, bazie danych sum kontrolnych i ich raportach. W końcu, jeśli intruzom uda się zmodyfikować którykolwiek z obiektów monitorowanych przez HIDS, nic nie może powstrzymać takich intruzów przed zmodyfikowaniem samego HIDS – chyba że administratorzy bezpieczeństwa podejmą odpowiednie środki ostrożności. Na przykład wiele robaków i wirusów będzie próbowało wyłączyć narzędzia antywirusowe.

Oprócz technik kryptograficznych, HIDS może pozwalać administratorom na przechowywanie baz danych na CD-ROM-ach lub na innych urządzeniach pamięci tylko do odczytu (kolejny czynnik przemawiający za rzadkimi aktualizacjami...) lub przechowywanie ich w pamięci poza systemem. Podobnie, HIDS często wysyła swoje logi z systemu natychmiast – zazwyczaj używając kanałów VPN do jakiegoś centralnego systemu zarządzania.

Można argumentować, że zaufany moduł platformy zawiera rodzaj HIDS. Chociaż jego zakres różni się pod wieloma względami od zakresu HIDS, zasadniczo zapewnia środki do określenia, czy cokolwiek/ktoś manipulował przy części komputera. Architektonicznie zapewnia to ostateczną (przynajmniej w tym momencie) wykrywanie włamań na hoście, ponieważ zależy od sprzętu zewnętrznego względem samego procesora , co znacznie utrudnia intruzowi uszkodzenie jego baz danych obiektów i sum kontrolnych.

Przyjęcie

InfoWorld twierdzi, że oprogramowanie systemowe do wykrywania włamań oparte na hoście jest użytecznym sposobem dla menedżerów sieci na znalezienie złośliwego oprogramowania i sugeruje, aby uruchamiali je na każdym serwerze, a nie tylko na serwerach krytycznych.

Zobacz też

• Porównanie systemów wykrywania włamań opartych na hoście
• IBM Internet Security Systems – komercyjne HIDS / NIDS
• Open Source Tripwire – open source HIDS
• OSSEC – wieloplatformowy open source HIDS
• Zaufana grupa komputerowa

Bibliografia

Zewnętrzne linki

• Deep Security – komercyjny wieloplatformowy HIDS
• Lacework HIDS – komercyjny HIDS do wdrożeń w chmurze