Hostitelský systém detekce narušení - Host-based intrusion detection system

Část série na
Informační bezpečnost
Související kategorie zabezpečení
Zabezpečení automobilů Počítačová kriminalita Obchodování s Cybersexem Počítačový podvod Cybergeddon Kyberterorismus Kybernetická válka Elektronická válka Informační válka Internetová bezpečnost Zabezpečení mobilu Zabezpečení sítě Ochrana proti kopírování Správa digitálních práv
Hrozby
Adware Pokročilá trvalá hrozba Libovolné spuštění kódu Zadní vrátka Hardwarová zadní vrátka Vložení kódu Crimeware Skriptování mezi weby Cryptojacking malware Botnety Únik dat Stahování za jízdy objekty pomocníka prohlížeče Počítačová kriminalita Viry Škrábání dat Odmítnutí služby Odposlech E -mailové podvody Falešné e -maily Exploity Keyloggery Logické bomby Časované bomby Vidlicové bomby Bomby na zip Podvodné číselníky Malware Užitečné zatížení Phishing Polymorfní motor Zvýšení oprávnění Ransomware Rootkity Bootkity Strašidlo Shellcode Spamování Sociální inženýrství (bezpečnost) Škrábání obrazovky Spyware Softwarové chyby Trojské koně Hardwarové trojské koně Vzdálený přístup trojské koně Zranitelnost Webové mušle Stěrač Červi SQL injekce Podvodný bezpečnostní software Zombie
Obrany
Zabezpečení aplikace Bezpečné kódování Zabezpečit ve výchozím nastavení Zabezpečené designem Případ zneužití Řízení přístupu k počítači Ověření Vícefaktorová autentizace Oprávnění Počítačový bezpečnostní software Antivirový software Operační systém zaměřený na zabezpečení Zabezpečení zaměřené na data Obfuskace kódu Šifrování Firewall Systém detekce vniknutí Hostitelský systém detekce narušení (HIDS) Detekce anomálií Bezpečnostní informace a správa událostí (SIEM) Mobilní zabezpečená brána Vlastní ochrana běhové aplikace
proti t E

Systém detekce narušení na hostitelském počítači ( HIDS ) je systém detekce narušení , že je schopen sledovat a analyzovat vnitřní části výpočetního systému, stejně jako síťové pakety na svých síťových rozhraní, podobně jako síť na bázi systému detekce narušení (NIDS) funguje. Jednalo se o první typ softwaru pro detekci narušení, který byl navržen, přičemž původní cílový systém byl počítač sálového počítače, kde byla vnější interakce jen zřídka.

Přehled

Hostitelský IDS je schopen monitorovat všechny dynamické chování a stav počítačového systému nebo jeho části podle toho, jak je nakonfigurován. Kromě takových činností, jako je dynamická kontrola síťových paketů zaměřených na tohoto konkrétního hostitele (volitelná součást s většinou komerčně dostupných softwarových řešení), může HIDS zjistit, který program přistupuje k jakým zdrojům, a zjistit, že například textový procesor náhle a nevysvětlitelně začal upravovat databáze systémových hesel. Podobně se HIDS může podívat na stav systému, jeho uložené informace, ať už v RAM , v systému souborů, protokolových souborech nebo jinde; a zkontrolujte, zda jejich obsah vypadá očekávaným způsobem, např. nebyl změněn vetřelci.

Lze si představit HIDS jako agenta, který monitoruje, zda cokoli nebo kdokoli, ať už interní nebo externí, obešel bezpečnostní politiku systému .

Monitorování dynamického chování

Mnoho uživatelů počítačů se setkalo s nástroji, které monitorují dynamické chování systému ve formě antivirových (AV) balíčků. Zatímco AV programy často také monitorují stav systému, tráví spoustu času hledáním toho, kdo co dělá v počítači - a zda by daný program měl nebo neměl mít přístup ke konkrétním systémovým prostředkům. Čáry se zde rozmazávají, protože mnoho nástrojů se funkčně překrývá.

Některé systémy prevence narušení chrání před útoky přetečení vyrovnávací paměti na systémovou paměť a mohou vynutit zásady zabezpečení .

Stav monitorování

Princip fungování HIDS závisí na skutečnosti, že úspěšní vetřelci ( hackeři ) po nich obecně zanechají stopu. Ve skutečnosti takoví vetřelci často chtějí vlastnit počítač, na který zaútočili, a své „vlastnictví“ si založí instalací softwaru, který vetřelcům poskytne budoucí přístup k provádění jakékoli činnosti ( protokolování úhozů , krádež identity , spamování , aktivita botnetů , spyware -použití atd.), které předpokládají.

Uživatel počítače má teoreticky schopnost detekovat jakékoli takové úpravy a HIDS se o to pokusí a podá zprávu o svých zjištěních.

V ideálním případě HIDS funguje ve spojení s NIDS, takže HIDS najde vše, co klouže kolem NIDS. Komerčně dostupná softwarová řešení často korelují poznatky z NIDS a HIDS, aby se dozvěděly o tom, zda byl narušitel sítě u cílového hostitele úspěšný či nikoli.

Nejúspěšnější vetřelci při vstupu na cílový počítač okamžitě použijí osvědčené postupy zabezpečení k zabezpečení systému, do kterého pronikli, přičemž ponechají otevřená pouze vlastní zadní vrátka , takže ostatní vetřelci nemohou převzít kontrolu nad svými počítači.

Technika

Obecně HIDS používá databázi (objektovou databázi) systémových objektů, které by měla sledovat-obvykle (ale ne nutně) objekty systému souborů. HIDS by také mohl zkontrolovat, zda nebyly upraveny příslušné oblasti paměti - například tabulka systémových volání pro Linux a různé struktury vtable v systému Microsoft Windows .

Pro každý předmětný předmět si HIDS obvykle pamatuje jeho atributy (oprávnění, velikost, data úprav) a vytvoří kontrolní součet nějakého druhu ( hash MD5 , SHA1 nebo podobný) pro obsah, pokud existuje. Tyto informace se ukládají do zabezpečené databáze pro pozdější srovnání (databáze kontrolního součtu).

Alternativní metodou k HIDS by bylo poskytnout funkce typu NIDS na úrovni síťového rozhraní (NIC) koncového bodu (serveru, pracovní stanice nebo jiného koncového zařízení). Poskytování HIDS na síťové vrstvě má ​​tu výhodu, že poskytuje podrobnější protokolování zdroje (IP adresy) útoku a podrobností útoku, jako jsou paketová data, z nichž ani jeden neviděl přístup dynamického monitorování chování.

Úkon

V době instalace-a kdykoli se kterýkoli ze sledovaných objektů oprávněně změní-musí HIDS inicializovat svou databázi kontrolního součtu skenováním příslušných objektů. Osoby odpovědné za počítačovou bezpečnost musí tento proces přísně kontrolovat, aby vetřelci zabránili neoprávněným změnám v databázích. Taková inicializace tedy obecně trvá dlouho a zahrnuje kryptografické uzamčení každého monitorovaného objektu a databází kontrolního součtu nebo ještě hůře. Z tohoto důvodu výrobci HIDS obvykle vytvářejí objektovou databázi takovým způsobem, který činí časté aktualizace databáze kontrolního součtu zbytečnými.

Počítačové systémy obecně mají mnoho dynamických (často se měnících) objektů, které vetřelci chtějí upravit - a které by tedy HIDS měla sledovat - ale díky jejich dynamické povaze jsou pro techniku ​​kontrolního součtu nevhodné. K překonání tohoto problému využívá HIDS různé další detekční techniky: monitorování měnících se atributů souborů, souborů protokolů, jejichž velikost se od poslední kontroly zmenšila, a mnoho dalších prostředků k detekci neobvyklých událostí.

Jakmile správce systému zkonstruuje vhodnou databázi objektů-ideálně s pomocí a radami od instalačních nástrojů HIDS-a inicializuje databázi kontrolního součtu, HIDS má vše, co potřebuje k pravidelnému skenování monitorovaných objektů a podávání zpráv o čemkoli, co se může objevit. že se pokazil. Zprávy mohou mít formu protokolů, e-mailů nebo podobně.

Ochrana HIDS

HIDS obvykle půjde do krajnosti, aby zabránila databázi objektů, kontrolnímu součtu a jejím zprávám před jakoukoli formou manipulace. Pokud se vetřelcům podaří upravit některý z objektů, které HIDS monitoruje, nic nemůže takovým vetřelcům zabránit v úpravě samotného HIDS - pokud správci zabezpečení nepřijmou příslušná opatření. Mnoho červů a virů se například pokusí deaktivovat antivirové nástroje.

Kromě krypto-technik může HIDS správcům umožnit ukládat databáze na disk CD-ROM nebo na jiná paměťová zařízení pouze pro čtení (další faktor ve prospěch častých aktualizací ...) nebo je ukládat do nějaké mimosystémové paměti. Podobně HIDS často odešle své protokoly mimo systém okamžitě-obvykle pomocí kanálů VPN do nějakého systému centrální správy.

Dalo by se namítnout, že modul důvěryhodné platformy obsahuje typ HIDS. Ačkoli se jeho rozsah v mnoha ohledech liší od rozsahu HIDS, v zásadě poskytuje prostředek k identifikaci toho, zda něco/kdokoli manipuloval s částí počítače. Architektonicky to poskytuje konečnou (alespoň v tomto okamžiku) detekci narušení na bázi hostitele, která závisí na hardwaru vně samotného procesoru , což vetřelci znesnadňuje poškození databází jeho objektů a kontrolního součtu.

Recepce

Společnost InfoWorld uvádí, že software systému detekce narušení na bázi hostitele je užitečným způsobem, jak mohou správci sítě najít malware, a navrhují, aby jej spustili na každém serveru, nejen na kritických serverech.

Viz také

• Porovnání systému detekce narušení na bázi hostitele
• IBM Internet Security Systems - komerční HIDS / NIDS
• Open Source Tripwire - open source HIDS
• OSSEC -multiplatformní open source HIDS
• Trusted Computing Group

Reference

externí odkazy

• Deep Security -komerční multiplatformní HIDS
• Lacework HIDS - komerční HIDS pro cloudová nasazení