Archief - De topics van lang geleden

Intrusion Detection Systemen zijn halfdood

05-12-2005, 11:51 door Redactie, 20 reacties

Richard Stiennon van onderzoeksbureau Gartner zorgde in 2003 voor de nodige ophef met het rapport "Intrusion Detection Is Dead - Long Live Intrusion Prevention". Het rapport zorgde vooral in de IDS community voor kwade reacties. Intrusion Detection Systemen zouden volgens de onderzoekers teveel false positives opleveren, onbekende dreigingen niet altijd herkennen en lastig te beheren zijn. Het zou daarom verstandig zijn om geen geld aan IDSs uit te geven, en te wachten tot een betere oplossing.

Zoals firewalls, die "deep-packet inspection" uitvoeren, content scannen en kwaadaardig verkeer blokkeren. Nu is IDS een technologie een geen produkt. Steeds meer oplossingen maken gebruik van IDS features, en bieden zo een gelaagde beveiliging. Totdat aanbieders van Intrusion Detection systemen de eerder beschreven problemen zoals false positives kunnen verhelpen heeft deze oplossing alleen echter geen toekomst. Onze stelling luidt derhalve: Intrusion Detection Systemen zijn halfdood

Reacties (20)
05-12-2005, 12:13 door Walter
Mee oneens. IDS is een onderdeel van een goede beveiliging.
Net als een firewall/virusscanner dat is. En een goede
security policy.

Ieder onderdeel op zich is halfdood, maar samen vormen ze
een springlevend geheel dat, wanneer het goed onderhouden
wordt, bijna ondoordringbaar is.
05-12-2005, 12:30 door SirDice
Een IDS is een (extra) hulpmiddel om problemen te kunnen
detecteren en analyseren...
05-12-2005, 12:53 door Anoniem
IDS is echt niet dood...IDS is nog maar aan de voet van zijn leven!
05-12-2005, 13:08 door Anoniem
IDS is een Auditingtool!
IPS een slotgracht met ophaalbrug!
05-12-2005, 16:52 door Anoniem
niet halfdood maar half levend
05-12-2005, 17:03 door Anoniem
""Richard Stiennon van onderzoeksbureau Gartner zorgde in 2003 voor de
nodige ophef met het rapport "Intrusion Detection Is Dead - Long Live
Intrusion Prevention".""

Gartner heeft waarschijnlijk minder geld gekregen van IDS fabrikanten dan
van Microsoft. Anders was vast het advies ook bijgesteld. Wachten met
implementatie van iets omdat het nog niet volmaakt is? Dat is net zoiets
als zeggen "ach, de kans dat je een gasexplosie kunt blussen in je huis is
nihil, dus waarom zou je een verbandtrommel in huis hebben?. False
positives is niet erg, dat hebben virusscanners ook (hoe vaak ik niet
krijg "suspicious script" terwijl der niets aan de hand is. Zal ik McAfee maar
van mijn Windows PC verwijderen dan? Nee, natuurlijk niet.
Al met al, het komt van Gartner af, en zolang ze niet gesponsored worden
komt er niets positiefs uit.
06-12-2005, 01:32 door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
06-12-2005, 01:38 door Anoniem
IDS systemen zijn net zo dood als de manier waarop ze
opgesteld en ingezet worden. Eind jaren '70 was al bekend
dat je het moet toepassen als onderdeel van bredere
beveiliging en als je acceptabel kan garanderen wat het doet
en wat je er mee doet. Beveiliging doe je met
beveiligingsmiddelen, niet met tovermiddelen. Wie echt
veilig wil zijn moet nergens aan beginnen. Dat is pas dood
en veilig zijn.
06-12-2005, 09:32 door Anoniem
Door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
Dan gebruik je de definitie van IPS zoals de leveranciers
van een active IDS hem graag zien: Detecteren met een IDS,
vervolgens bijvoorbeeld resets sturen om de aanval te
'stoppen'. Een IPS die in-line staat kan zeker werken als
een soort 'ophaalbrug' die alleen 'braaf' verkeer door laat.

IDS is nooit zo populair geworden omdat het vooral effectief
is wanneer er 24/7 aan monitoring wordt gedaan. Om de
meldingen van een ids op waarde te kunnen schatten heb je al
snel een specialist nodig, waardoor het al snel een heel
duur grapje wordt. En doordat het duur wordt is het slechts
bij enkele bedrijven een effectieve maatregel. IPS kan veel
goedkoper zijn, maar is geen volledig vergelijkbare maatregel.
06-12-2005, 18:29 door Anoniem
I am sorry that I cannot read everyone's comments here.
IDS still does very little to protect an enterprise from
attacks. IDS can be used forensically to help understand
what happened after the fact. Many companies have told me
how IDS helped them track down vulnerable servers that were
under attack. But today, vulnerability management, patch
management and intrusion *prevention* are much better
investments for that purpose.

For more thoughts on the future of network security see my
blog postings on Secure Network Fabric at http://www.threatchaos.com

Cheers,

-Richard Stiennon
VP Threat Research
Webroot Software, Inc.
07-12-2005, 10:57 door Anoniem
Door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
zeg ik toch!! eerst auditen dan preventen!
07-12-2005, 15:54 door Anoniem
als IDS al zoveel false positives ophoesten (eigen
ervaring), zal dat vast ook wel gebeuren met IPS'n. en als
dat gebeurt hebben de users op het netwerk veel last ipv de
beheerders die de ids monitoren.
dus is het denk ik handiger dat IDS eindelijk eens wat
"intiligenter" worden voordat IPS gemeengoed kan worden
08-12-2005, 16:54 door pipo
Door Anoniem
Door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
zeg ik toch!! eerst auditen dan preventen!

Niet mee eens. Eerst risk management, dan countermeasures
instellen. Die vervolgens naar verloop van tijd auditen.
(kort door de bocht gesproken)
08-12-2005, 23:49 door Anoniem
IPS, IDS............

als je links kijkt, zie je rechts niets! (tijdens een audit)

Of je WEET wanneer je moet oversteken of wacht tot het licht op "groen" gaat. (voor een cracker)

Oja, dit is vooral van toepassing op bedrijven met een ICT budget van max. 3500,- euro per jaar. (en er zijn er veel die dat niet eens te besteden hebben)
09-12-2005, 14:12 door Anoniem
Ben het volledig pipo eens. De sleutel tot succes is situaties begrijpen.
Waarom?

- Waarom moet ik me beschermen?
- Hoe moeilijk is het?
- Wat en tegen wie?
- Dan, en dan pas... Hoe?

Een goede risico analyse, uitzetten tegen kosten/baten. Dan pas
countermeaures instellen. Inderdaad blijven auditen. Een goed beleid en
degelijke processen (met security in je achterhoofd) zijn de sleutel.

Joep Gommers
09-12-2005, 17:56 door G-Force
Intrusion Detection Systemen zijn halfdood

Of half levend....
12-12-2005, 08:44 door Anoniem
Door pipo
Door Anoniem
Door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
zeg ik toch!! eerst auditen dan preventen!

Niet mee eens. Eerst risk management, dan countermeasures
instellen. Die vervolgens naar verloop van tijd auditen.
(kort door de bocht gesproken)
Hiervoor is een cyclus bedacht door Demming:
Do, Plan, Check, Act

Deze cyclus kan helpen niet alleen op incidenten te reageren, maar ook
het gehele proces te verbeteren.
16-12-2005, 13:27 door Anoniem
Eens, zodra palladium of andere soortige trusted computing
oplossinge bestaan die middels PKI achtige oplossingen de te
executen code kunnen valideren zal er geen noodzaak meer
zijn voor IDS/IPS/Virusscan of andere soortige beveiliging.
Mits onderliggende software geen hiaten kent uiteraard.
16-12-2005, 15:38 door SirDice
Mits onderliggende software geen hiaten kent
uiteraard.
Aangezien dat dus een utopie is zul je altijd
IDS/IPS/anti-virus 'nodig' blijven houden..
17-12-2005, 18:30 door Anoniem
Door Anoniem
Door Anoniem
Door AnoniemIPS een slotgracht met
ophaalbrug!
Terug naar school! IPS is een IDS met
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
Dan gebruik je de definitie van IPS zoals de leveranciers
van een active IDS hem graag zien: Detecteren met een IDS,
vervolgens bijvoorbeeld resets sturen om de aanval te
'stoppen'. Een IPS die in-line staat kan zeker werken als
een soort 'ophaalbrug' die alleen 'braaf' verkeer door laat.

IDS is nooit zo populair geworden omdat het vooral effectief
is wanneer er 24/7 aan monitoring wordt gedaan. Om de
meldingen van een ids op waarde te kunnen schatten heb je al
snel een specialist nodig, waardoor het al snel een heel
duur grapje wordt. En doordat het duur wordt is het slechts
bij enkele bedrijven een effectieve maatregel. IPS kan veel
goedkoper zijn, maar is geen volledig vergelijkbare
maatregel.

So you need 1/3 protection (incl. patch and vulnerability
management), 1/3 detection (call it IDS if you want) and 1/3
reaction capabilities (don't call that IPS, its much more
including procedures, press, forensics, legal, etc.). All
three must be in balance with each other and 24x7.
Outsourcing to specialists is therefore often the only
course of action. So IDS is at least 1/3 alive. Add a bit of
IPS if an automated fast response is required.

So I don't agree with Richard Stiennon that investing in
patch and vulnerability management etc. is a better
solution. But I agree that is you have a limited budget you
must invest in patch and vulnerability management first!
24x7 monitoring services is a really good investment but it
requires the right budget and a mature security incident
response team and porcedures.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.