Moderna intrångsdetekteringssystem kompletterar traditionella brandväggar på ett effektivt sätt. De analyserar och övervakar kontinuerligt system och hela nätverk i realtid, identifierar potentiella hot och meddelar omedelbart administratörerna. Det faktiska försvaret mot attacker utförs därefter med hjälp av ytterligare programvara.

Vad ligger bakom ett IDS (intrångsdetekteringssystem)?

Även om moderna dator- och nätverkssäkerhetssystem är avancerade blir cyberattackerna också allt mer sofistikerade. För att skydda känslig infrastruktur på ett effektivt sätt bör du överväga att använda flera säkerhetsåtgärder. I detta sammanhang är ett intrångsdetekteringssystem (IDS) ett förstklassigt komplement till brandväggen. Ett IDS är utmärkt för att tidigt upptäcka attacker och potentiella hot och varnar omedelbart administratörer som sedan kan vidta snabba försvarsåtgärder. Viktigt är att ett intrångsdetekteringssystem också kan identifiera attacker som kan ha brutit igenom brandväggens försvar.

Till skillnad från exempelvis ett intrångsskyddssystem skyddar ett IDS inte mot attacker i sig. Istället analyserar intrångsdetekteringssystemet all aktivitet i ett nätverk och jämför den med specifika mönster. När ovanliga aktiviteter upptäcks varnar systemet användaren och ger detaljerad information om attackens ursprung och karaktär.

Tips

För mer information om skillnaderna mellan system för intrångsdetektering och intrångsförebyggande, se vår separata artikel om detta ämne.

Vilka typer av intrångsdetekteringssystem finns det?

Intrångsdetekteringssystem delas in i tre typer: värdbaserade (HIDS), nätverksbaserade (NIDS) eller hybridsystem som kombinerar HIDS- och NIDS-principer.

HIDS: Värdbaserade intrångsdetekteringssystem

Det värdbaserade intrångsdetekteringssystemet är den äldsta formen av säkerhetssystem. Här installeras IDS direkt på motsvarande system. Det analyserar data på både logg- och kärnnivå och undersöker även andra systemfiler. För att kunna användas på fristående arbetsstationer är det värdbaserade intrångsdetekteringssystemet beroende av övervakningsagenter som förfiltrerar trafiken och skickar resultaten till en central server. Systemet är mycket noggrant och omfattande, men kan vara sårbart för attacker som DoS och DDoS. Dessutom är det beroende av det specifika operativsystemet.

NIDS: Nätverksbaserade intrångsdetekteringssystem

Ett nätverksbaserat intrångsdetekteringssystem undersöker datapaket som utbyts inom ett nätverk och identifierar omedelbart ovanliga eller onormala mönster för rapportering. Det kan dock vara svårt att hantera stora datamängder, vilket kan överbelasta intrångsdetekteringssystemet och hindra en smidig övervakning.

Hybridintrångsdetekteringssystem

Idag väljer många leverantörer hybridsystem för intrångsdetektering som integrerar båda metoderna. Dessa system består av värdbaserade sensorer, nätverksbaserade sensorer och ett centralt förvaltningslager där resultaten samlas för djupgående analys och kontroll.

Syfte och fördelar med ett IDS

Ett intrångsdetekteringssystem ska aldrig betraktas eller användas som ersättning för en brandvägg. Det är istället ett förstklassigt komplement som, i kombination med brandväggen, identifierar hot på ett mer effektivt sätt. Eftersom intrångsdetekteringssystemet kan analysera även det högsta lagret i OSI-modellen kan det upptäcka nya och tidigare okända farokällor, även om brandväggens skydd har brutits.

Hur ett intrångsdetekteringssystem fungerar

Hybridmodellen är den vanligaste typen av intrångsdetekteringssystem och använder både värd- och nätverksbaserade metoder. Den insamlade informationen utvärderas i det centrala hanteringssystemet med hjälp av tre olika komponenter.

Datamonitor

Datamonitorn samlar in all relevant data via sensorer och filtrerar den utifrån dess relevans. Detta omfattar data från värdsidan, inklusive loggfiler och systemdetaljer, samt datapaket som överförs via nätverket. IDS samlar bland annat in och organiserar käll- och destinationsadresser samt andra viktiga attribut. Ett viktigt krav är att den insamlade datan kommer från en pålitlig källa eller direkt från intrångsdetekteringssystemet för att säkerställa dataintegriteten och förhindra tidigare manipulation.

Analysator

Den andra komponenten i intrångsdetekteringssystemet är analysatorn, som ansvarar för att utvärdera all mottagen och förfiltrerad data med hjälp av olika mönster. Denna utvärdering sker i realtid, vilket kan vara särskilt krävande för CPU och huvudminne. Tillräcklig kapacitet är avgörande för en snabb och korrekt analys. Analysatorn använder två olika metoder för detta ändamål:

  • Misbrukdetektering: Vid misbrukdetektering granskar analysatorn inkommande data för att hitta kända attackmönster som lagras i en särskild databas som uppdateras regelbundet. När en attack stämmer överens med en tidigare registrerad signatur kan den identifieras i ett tidigt skede. Denna metod är dock ineffektiv för att upptäcka attacker som ännu inte är kända för systemet.
  • Detektering av avvikelser: Detektering av avvikelser innebär att hela systemet utvärderas. När en eller flera processer avviker från de fastställda normerna flaggas sådana avvikelser. Om till exempel CPU-belastningen överskrider ett angivet tröskelvärde eller om det sker en ovanlig ökning av sidåtkomster, utlöses en varning. Intrångsdetekteringssystemet kan också analysera den kronologiska ordningen av olika händelser för att identifiera okända attackmönster. Det är dock viktigt att notera att i vissa fall kan även ofarliga avvikelser rapporteras.

Varning

Den tredje och sista komponenten i intrångsdetekteringssystemet är själva larmet. Om en attack eller åtminstone avvikelser upptäcks informerar systemet administratören. Denna avisering kan ske via e-post, via ett lokalt larm eller via ett meddelande på smarttelefonen eller surfplattan.

Vilka är nackdelarna med ett intrångsdetekteringssystem?

Även om intrångsdetekteringssystem förbättrar säkerheten har de, som nämnts tidigare, också nackdelar. Värdbaserade IDS kan vara sårbara för DDoS-attacker, och nätverksbaserade system kan ha problem i större nätverkskonfigurationer, vilket kan leda till att datapaket går förlorade. Anomalidetektering kan, beroende på konfigurationen, utlösa falska larm. Dessutom är alla IDS uteslutande utformade för hotdetektering, vilket kräver ytterligare programvara för effektivt försvar mot attacker.

Intrångsdetekteringssystem och exemplet Snort

Ett av de mest kända och populära systemen för intrångsdetektering är Snort. Säkerhetsverktyget, som utvecklades av Martin Roesch redan 1998, är inte bara plattformsoberoende och öppen källkod, utan erbjuder också användarna omfattande förebyggande åtgärder som ett system för intrångsskydd. Programmet finns tillgängligt gratis och i en betald version där man till exempel får uppdateringar snabbare.

Gå till huvudmeny