Recomende um sistema de detecção de intrusões (IDS / IPS) e vale a pena?

Eu experimentei vários sistemas IDS e IPS baseados em rede ao longo dos anos e nunca fiquei satisfeito com os resultados. Os sistemas eram muito difíceis de gerenciar, acionados apenas em explorações conhecidas com base em assinaturas antigas ou eram simplesmente muito faladores com a saída.

De qualquer forma, não acho que eles tenham fornecido proteção real à nossa rede. Em alguns casos, eles eram prejudiciais devido à queda de conexões válidas ou simplesmente à falha.

Nos últimos anos, tenho certeza de que as coisas mudaram; então, quais são os sistemas de IDS recomendados atualmente? Eles têm heurísticas que funcionam e não alertam sobre tráfego legítimo?

Ou é melhor confiar em bons firewalls e hosts protegidos?

Se você recomenda um sistema, como você sabe que ele está fazendo seu trabalho?

Como alguns mencionaram nas respostas abaixo, também recebemos comentários sobre os sistemas de detecção de intrusão de host, pois eles estão intimamente relacionados ao IDS baseado em rede.

Para nossa configuração atual, precisaríamos monitorar duas redes separadas com uma largura de banda total de 50mbps. Estou procurando algum feedback do mundo real aqui, não uma lista de dispositivos ou serviços capazes de executar IDS.

Há vários anos, revi vários sistemas de prevenção de intrusões.

Eu queria implantar algo entre alguns locais e a rede corporativa.
O sistema era fornecer um fácil de gerenciar e monitorar (algo que poderia ser entregue a uma pessoa do suporte técnico de segunda camada). Também foram necessários alarmes e relatórios automatizados.

O sistema que acabei escolhendo foi o IPS do Tipping Point. Nós ainda gostamos depois de estar no local por vários anos. Nossa implementação inclui a assinatura da Vacina Digital, que elimina as regras de vulnerabilidade e exploração semanalmente.

O sistema tem sido muito útil para observar o que está acontecendo (alerta, mas não executa nenhuma ação), bem como bloquear ou colocar em quarentena os sistemas automaticamente.

Isso acabou sendo uma ferramenta muito útil para localizar e isolar computadores infectados por malware, além de bloquear o consumo de largura de banda ou o tráfego relacionado à política de segurança sem precisar trabalhar com as listas de controle de acesso do roteador.

http://www.tippingpoint.com/products_ips.html

Um pensamento; você pergunta "eles valem a pena". Detesto dar uma resposta não técnica, mas se a sua organização precisar de um IDS para indicar a um órgão regulador que você está em conformidade com alguma regulamentação ou outra, mesmo se você achar que, do ponto de vista da tecnologia, o dispositivo não fornece você o que quiser, eles podem ser, por definição, "vale a pena" se mantiverem você em conformidade.

Não estou sugerindo que "não importa se é bom ou não", obviamente algo que faz um bom trabalho é preferível a algo que não faz; mas alcançar a conformidade regulamentar é um objetivo em si.

Os sistemas de detecção de intrusões são ferramentas valiosas, mas precisam ser usadas corretamente. Se você tratar o seu NIDS como um sistema baseado em alerta, onde o alerta é o fim, você ficará frustrado (ok, o alerta X foi gerado, o que eu faço agora?).

Eu recomendo observar a abordagem NSM (Monitoramento de segurança de rede), na qual você mistura NIDS (sistemas de alerta) com dados de sessão e conteúdo, para que você possa examinar adequadamente qualquer alerta e ajustar melhor seu sistema IDS.

* Não consigo vincular, basta procurar no Google for taosecurity ou NSM

Além das informações baseadas na rede, se você combinar o HIDS + LIDS (detecção de intrusão baseada em log), obterá uma visão clara do que está acontecendo.

** Além disso, não esqueça que essas ferramentas não são para protegê-lo de um ataque, mas para atuar como uma câmera de segurança (comparação física) para que uma resposta adequada a incidentes possa ser tomada.

Para ter um bom IDS, você precisa de várias fontes. Se um IDS tiver vários alertas de várias fontes para o mesmo ataque, poderá disparar um alerta com muito mais significado do que apenas um alerta padrão.

É por isso que você precisa correlacionar a saída de HIDS (Host IDS), como OSSEC, e NIDS (Network IDS), como Snort. Isso pode ser feito usando o Prelude, por exemplo. O Prelude agregará e correlacionará alertas para poder gerar avisos de segurança reais com muito mais significado. Digamos, por exemplo, que você tenha um ataque à rede; se ele continuar sendo um ataque à rede, provavelmente não será nada ruim, mas se se tornar um ataque ao host, ele acionará alertas apropriados com um alto nível de importância.

Na minha opinião, o IDS / IPS pronto para uso não vale a pena, a menos que você saiba a natureza exata de toda a atividade que deve ser vista na sua rede. Você pode ficar louco criando exceções para o comportamento estúpido do usuário e aplicativos que se comportam mal (legítimos). Em redes que não são altamente bloqueadas, achei o ruído excessivo em qualquer um dos sistemas que usei. É por isso que, eventualmente, canalizamos o backbone em uma única máquina Linux que executava um código C personalizado. Esse único pedaço de código encapsulava todas as estranhezas que conhecíamos e qualquer outra coisa era suspeita.

Se você fazer tem uma rede altamente bloqueado, os melhores sistemas terão algum tipo de integração com o dispositivo de perímetro, de modo que haja completa correspondência política.

Quanto a saber se está fazendo seu trabalho, a melhor maneira é executar alguns ataques periodicamente.

Eu acho que qualquer sistema IDS / IPS precisa ser ajustado de acordo com o seu ambiente para obter benefícios reais. Caso contrário, você será inundado de falsos positivos. Mas o IDS / IPS nunca substituirá firewalls e proteção de servidor adequados.

Temos usado uma unidade Fortigate onde trabalho no ano passado e ficamos muito felizes com isso. Ele faz muito mais do que apenas IDS / IPS, portanto, pode não ser exatamente o que você está procurando, mas vale a pena dar uma olhada.

As regras do IDS / IPS são atualizadas automaticamente (padrão) ou podem ser atualizadas manualmente. Acho que as regras do IDS / IPS também são bastante gerenciáveis ​​por meio da interface da web. Eu acho que a facilidade de gerenciamento se deve à quebra da proteção em perfis de proteção que você atribui às regras do firewall. Portanto, em vez de observar todas as regras em todos os pacotes da rede, você recebe alertas e proteção muito mais focados.

Em nossa organização, temos um número de IDSs atualmente em vigor, incluindo uma mistura de sistemas comerciais e abertos. Isso se deve em parte ao tipo de considerações históricas que acontecem em uma universidade e a razões de desempenho. Dito isto, vou falar um pouco sobre Snort.

Estou lançando um desembolso de sensor de snort corporativo há algum tempo. Atualmente, essa é uma matriz de tamanho pequeno (pense <10), com escopo definido para atingir algumas dúzias. O que aprendi ao longo deste processo foi inestimável; principalmente com técnicas para gerenciar o número de alertas recebidos, bem como gerenciar muitos nós altamente distribuídos. Usando o MRTG como guia, temos sensores com uma média de 5 Mbps até 96 MBps. Lembre-se de que, para os fins desta resposta, estou falando de IDS, não de IDP.

As principais conclusões são:

1. O Snort é um IDS muito completo e possui facilmente seu próprio conjunto de recursos errados para fornecedores de dispositivos de rede muito maiores e sem nome.
2. Os alertas mais interessantes vêm do projeto de ameaças emergentes .
3. O WSUS resulta em um número estupidamente grande de falsos positivos, principalmente do pré-processador sfPortscan.
4. Mais de 2/3 dos sensores requerem um bom sistema de configuração e gerenciamento de patches.
5. Espere ver um número muito grande de falsos positivos até que o ajuste agressivo seja realizado.
6. O BASE não escala muito bem com um grande número de alertas e o snort não possui um sistema de gerenciamento de alertas embutido.

Para ser sincero, observei 5 em um grande número de sistemas, incluindo Juniper e Cisco. Também me foram contadas histórias de como o Snort pode ser instalado e configurado com mais facilidade do que o TippingPoint, embora eu nunca tenha usado esse produto.

No geral, fiquei muito feliz com Snort. Preferia, em grande parte, ativar a maioria das regras, e gastar meu tempo ajustando em vez de passar por milhares de regras e decidir quais ativar. Isso fez o tempo gasto afinar um pouco mais alto, mas eu planejei isso desde o início. Além disso, como esse projeto estava aumentando, também passamos por uma compra do SEIM, o que facilitou a coordenação dos dois. Então, eu consegui aproveitar uma boa correlação e agregação de log durante o processo de ajuste. Se você não tiver esse produto, o ajuste da sua experiência poderá ser diferente.

O Sourcefire possui um bom sistema e eles têm componentes que ajudam a descobrir quando um novo tráfego inesperado começa a emanar de um sistema. Nós o executamos no modo IDS, em vez do modo IPS, porque há problemas em que o tráfego legítimo pode ser bloqueado, por isso monitoramos os relatórios e, em geral, ele parece fazer um trabalho bastante decente.

Bem antes que você possa responder de que IDS / IPS você precisa, eu gostaria de entender melhor sua arquitetura de segurança. O que você usa para rotear e alternar sua rede, que outras medidas de segurança você possui em sua arquitetura de segurança?

Quais são os riscos que você está tentando mitigar, ou seja, quais ativos de informação estão em risco e de quê?

Sua pergunta é genérica demais para fornecer a você, exceto o que as pessoas pensam do produto X e é o melhor por razões X.

A segurança é um processo de mitigação de riscos e a implementação de soluções de segurança de TI precisa estar alinhada com os riscos identificados. Apenas lançar IDS / IPS na sua rede com base no que as pessoas pensam ser o melhor produto, é improdutivo e é um desperdício de tempo e dinheiro.

Cheers Shane

O snort combinado com o ACID / BASE para geração de relatórios é muito bom para um produto OSS. Eu tentaria isso, pelo menos, para molhar os pés.

Os sistemas de detecção de intrusão são mais do que apenas um NIDS (baseado na rede). Acho que para o meu ambiente, um HIDS é muito mais útil. Atualmente, estou usando o OSSEC, que monitora meus logs, arquivos etc.

Portanto, se você não está obtendo um valor suficiente do Snort, tente uma abordagem diferente. Talvez modsecurity para apache ou ossec para análise de log.

Sei que muitas pessoas jogarão o snort como uma solução, e isso é bom - o snort e o sguil são uma boa combinação para monitorar diferentes sub-redes ou VLANs também.

Atualmente, usamos o Strataguard do StillSecure , é uma implementação snort em uma distribuição GNU / Linux reforçada. É muito fácil de instalar e executar (muito mais fácil do que bufar sozinho), possui uma versão gratuita para ambientes com largura de banda menor e uma interface da web muito intuitiva e útil. Isso torna razoavelmente fácil atualizar, ajustar, modificar e pesquisar regras.

Embora possa ser instalado no modo IPS e bloquear automaticamente o firewall para você, nós o usamos apenas no modo IDS - instalamos na porta do monitor em nosso switch central, instalamos uma segunda NIC para gerenciamento e funcionou muito bem para examinando o tráfego. O número de falsos positivos (espeically pré-ajuste) é a única desvantagem, mas isso nos informa que está funcionando, e a interface facilita muito o exame da assinatura da regra, a inspeção dos pacotes capturados e o uso de links para pesquisar a vulnerabilidade. para que se possa decidir se o alerta é realmente um problema ou não e ajustá-lo conforme necessário.

Eu recomendaria Snort. O Snort é suportado por quase todas as outras ferramentas de segurança, os tutoriais estão prontamente disponíveis e muitos aplicativos front-end. Não há molho secreto, que torna um IDS melhor que outro. Os conjuntos de regras públicas e locais fornecem o poder.

Mas qualquer IDS (HIDS ou NIDS) é um desperdício de dinheiro, a menos que você esteja disposto a verificar os registros e alertas, a cada hora ou diariamente. Você precisa de tempo e pessoal para remover falsos positivos e criar novas regras para anomalias locais. Um IDS é melhor descrito como uma câmera de vídeo para sua rede. Alguém precisa estar assistindo e ter autoridade para agir de acordo com as informações que envia. Caso contrário, é inútil.

Linha de fundo. Economize dinheiro em software, use um IDS de código aberto. Gaste dinheiro com treinamento e desenvolva uma ótima equipe de segurança.

Quando as pessoas solicitam detecção de intrusão, penso nos IDSs do servidor, pois não importa quem penetra na sua rede se eles não fizerem nada uma vez. Um IDS como o AIDE fará hashes de instantâneo de um servidor, permitindo que você veja exatamente o que alterado no disco durante um certo período.

Algumas pessoas preferem recriar todos os seus servidores após uma violação de segurança, mas acho que pode ser um pouco exagerado para a maioria dos problemas.

Francamente, o IDS geralmente é uma perda total de tempo, pois os operadores gastam todo o seu tempo atentos aos falsos positivos. Torna-se um fardo que o sistema é deixado em um canto e ignorado.

A maioria das organizações coloca o probe na parte externa da rede e fica espantada ao ver milhares de ataques. É como colocar um alarme contra o lado de fora da casa e ficar surpreso ao tocar sempre que alguém passa.

O IDS é amado pelos consultores de segurança para mostrar o quão perigoso é lá fora, os auditores como uma caixa de seleção e ignorado por todos os outros, pois é um completo desperdício de tempo e recursos.

Seria melhor gastar tempo aceitando a existência de milhares de ataques todos os dias, projetando o acesso externo e, principalmente, garantindo que os sistemas externos sejam adequadamente reforçados.

Dave