Archief - De topics van lang geleden

Patchen beter alternatief voor IDS / IPS

11-12-2006, 09:37 door Redactie, 14 reacties

Intrusion detection en prevention systemen worden vaak als een soort wondermiddel beschouwd om aanvallen te voorkomen en aanvallers te herkennen. Het probleem van IDS/IPS is niet alleen de hoeveelheid false positives en het feit dat het ze een interessant hacker doelwit zijn, maar ook de tijd die het kost om ze te beheren.

Verschijnt er een nieuwe aanval dan zul je de rules moeten updaten en zo zijn er nog meer tijdsintensieve beheerstaken die de aandacht van het werkelijke probleem wegnemen. Tijd die je beter kunt steken in het patchen van de software achter het IDS/IPS.

Het is de aanvallers toch te doen om deze applicaties. Nu lees je wel dat een IDS/IPS een beheerder meer tijd geeft om de patches uit te rollen, maar bijkomend probleem is dat sommige beheerders dan net iets teveel tijd nemen en er voor echt nieuwe aanvallen ook geen rules beschikbaar zijn. Het dichten van lekken is de primaire oplossing voor de meeste beveiligingsproblemen. Onze stelling luidt derhalve Patchen beter alternatief voor IDS / IPS

Reacties (14)
11-12-2006, 13:11 door Anoniem
Alternatief ? Beiden dienen gewoon gedaan te worden....
11-12-2006, 13:25 door meneer
Het een doen en het ander niet laten. Er is niet een betere
of zelfs beste oplossing.
Je kunt het actuele Word-lek bijvoorbeeld wel willen
patchen, maar dan heb je toch een probleem: nog geen patch
beschikbaar.
Dus èn patchen èn firewalling èn opleiden èn...
11-12-2006, 13:44 door Anoniem
Juist niet eigenlijk
Dat patchen niet de oplossing is blijkt al door de jaren heen.Het wordt
gewoon eens tijd voor een revolutionare verrandering op het gebied van
IDS en IPS.Met al die technologie die er momenteel beschikbaar is blijft de
mens zich vast houden in standaard rituelen en patronen waardoor
technologie zich niet kan ontplooien en hier helpt patchen niet tegen.Het is
hetzelfde dat een dam die veilig is waarvan iedereen weet dat die ieder
moment kan doorbreken.
11-12-2006, 13:49 door Anoniem
Hellaas is het in de praktijk niet altijd mogelijk om systemen up2date te
houden met de laatste patches. Neem bijvoorbeeld medische apparatuur
waarbij allerlei systmeen onderdeel uit maken van bijvoorbeeld een
bestraings apparaat. Medische apparatuur is van alle kanten
gecertificeerd en een wijziging betekent opnieuw certificeren. Dit is niet
alleen kosten aspect maar ook een logistiek probleem wat betreft de
beschikbaarheid. Door IPS toe te passen rondom medische apparatuur
kan de patchfrequentie in ieder geval naar beneden gebracht worden tot
één keer per jaar en kunnen we patiënten toch veilig behandelen.
LvdK
11-12-2006, 14:41 door Anoniem
Een IDS biedt geen bescherming, patches wel. Dat is dus duidelijk.

Veronderstellen dat IPS je tegen een 0 days of alle bekende lekken gaat
beschermen is gevaarlijke onzin. De signatures beschermen gewoonlijk
alleen tegen bekende exploits (niet tegen bekende vulnerabilities zoals
veel mensen denken) en ze beschermen totaal niet tijdens de "window"
die bestaat totdat er iemand een signature bedacht en ingezet heeft. IDS
en IPS kosten veel beheer en geld dat je inderdaad beter kan besteden
aan patchen.

IPS gebruiken als "bescherming" voor ongepatche machines is een
belachelijk idee. IPS biedt een heel beperkte bescherming. Een locale
firewall die alle inkomend verkeer tegenhoud zou wel het overwegen
waard zijn.

In het algemeen geldt dat IDS en IPS te duur in onderhoud zijn. Een
kosten/baten analyse zal in 95% van de gevallen in het nadeel van IDS/IPS
uitvallen. Helaas denken veel "security professionals" dat security een doel
is en dat een IDS daar bij hoort. Het doel is echter de organisatie goed te
laten draaien.
11-12-2006, 14:55 door Anoniem
Wel eens een goed ingerichte IPS (IDS signaleert allen) gezien?

Lekker patchen dus, en een goede netwerkarchitectuur.
11-12-2006, 16:51 door Anoniem
Wel eens een goed ingerichte IPS (IDS signaleert allen) gezien?

Net of die polymorfe shellcode tegen houden...
11-12-2006, 22:53 door Anoniem
Een IDS/IPS is een onderdeel van een scala aan maatregelen
die je kunt nemen om de beveiliging te verbeteren. Puur en
alleen vertrouwen op de technische signatures zonder ook
policy compliancy checks in te bouwen is uiteraard niet de
bedoeling. Je kunt op basis van zowel layer 3 filter
diagrammen alsook op basis van semantische rules correlatie
technieken inbouwen die redelijk geavanceerd zijn.

Combineer dat in de DMZ met desinformatietechnieken op zowel
banner als stack niveau en je stuurt in ieder geval de worms
en scripts de verkeerde weg op.

Wat betreft opmerkingen dat IDS/IPS niet 100% waterdicht is
het volgende. Wie denkt dat er in beveiligingsland zoiets
bestaat als 100 % waterdicht moet zijn schoolgeld terug gaan
halen. Zoiets bestaat namelijk zelfs natuurkundig niet eens.
Zelfs de filosofisch wiskundigen bekvechten nog op het
gebied van predikaten logica over de juiste uitgangsgedachte
c.q. basisprincipe.

Uiteraard is een interessantere discussie het nut van de
inzet van een IDS/IPS in DMZ of LAN. Wie echter in praktijk
ervaring heeft opgedaan met dergelijke produkten weet dat in
veel gevallen een IDS/IPS wel degelijk meerwaarde heeft. Met
name in grote LAN omgevingen waar je geklooi wil detecteren
van allerlei n00bs...

Uiteraard zijn er allerlei IDS evasion technieken te
bedenken waarvoor weer allerlei updates verschijnen... Het
is paardje over waarbij je als organisatie gewoon telkens de
lat wat hoger legt voor de bad guy... Hoe hoog je de lat wil
leggen is geen beslissing die door IT nerds genomen moet
worden maar door de business. Op basis van een goede risico
inschatting. Een chocolade fabriek heeft nou eenmaal niet
hetzelfde risicoprofiel een kernreactor...

My two cents,
Fubar
12-12-2006, 03:20 door G-Force
Door Anoniem
Alternatief ? Beiden dienen gewoon gedaan te worden....

Vind ik ook.
12-12-2006, 10:16 door Anoniem
Ik vraag me nog af hoe die patches op het netwerk komen of deze opgestuurd worden per cd of per internet gedownload worden.Want dan vraag ik me nog af hoe die hier tegen beveiligd zijn.Want hoe weet een bedrijf dat het ook een patch is en geen trojan waarvan een hacker de patch verbinding heeft gehijackt lijkt me toch wel risico gevoelig puntje.
13-12-2006, 10:18 door Anoniem
Tja, sommige productie gerelateerde zaken KUN je eenmaal niet
patchen... Processen die 3 maanden lopen, en bij het patchen een scratch
opleveren van 3 miljoen pleuro, dan kan die patch wachten hoor. en als
dan een IPS/IDS met de juiste signatures een vergroting van het
patchwindow oplevert, waarom niet? Mensen, kijk eens verder dan 'ik heb
windows geinstalleerd, dus ik ben super-admin'-omgevingen.
14-12-2006, 23:19 door Anoniem
Door Koekie
Wel eens een goed ingerichte IPS (IDS signaleert
allen) gezien?

Net of die polymorfe shellcode tegen houden...


Leuk antwoord!! -M.
15-12-2006, 11:30 door Anoniem
Door Anoniem
Tja, sommige productie gerelateerde zaken KUN je eenmaal niet
patchen... Processen die 3 maanden lopen, en bij het patchen
een scratch
opleveren van 3 miljoen pleuro, dan kan die patch wachten
hoor. en als
dan een IPS/IDS met de juiste signatures een vergroting van het
patchwindow oplevert, waarom niet? Mensen, kijk eens verder
dan 'ik heb
windows geinstalleerd, dus ik ben
super-admin'-omgevingen.

Welk proces loopt drie maanden en heeft tegelijkertijd
actieve interactie met andere netwerken nodig? Goede
securityzonering en netwerkopbouw kunnen veel problemen
voorkomen, en daarmee ook de noodzaak om te patchen.
15-12-2006, 13:38 door Anoniem
Leuk antwoord!! -M.

Dankje
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.