image

IDS en IPS, de stand van zaken (Interview Cisco)

dinsdag 12 december 2006, 09:53 door Redactie, 2 reacties

Als je het over Intrusion Detection en Prevention systemen hebt denken de meeste mensen aan false positives, luie systeembeheerders, een roze varken en het tegenhouden van zer0-day exploits, maar hoe zit het nu in werkelijkheid? Wij interviewden Marc Samsom, Business Development Manager Security bij netwerkgigant Cisco.

Security.NL: Hoe voorkom je dat systeembeheerders door alle false positives van een IDS/IPS "lui" worden en echte dreigingen negeren?

Samsom: Bij Intrusion Prevention en Detection is het belangrijk om informatie uit verschillende bronnen te correleren. Dus events uit IPS/IDS sensoren in verband te brengen met netflow uit switches en routers, firewall logs, en bijvoorbeeld output van vulnerability scanning processen. Het aantal false positives kan op deze manier sterk worden gereduceerd. Hierdoor kunnen beheerders zich richten op de gemelde incidenten in plaats van veel tijd te besteden aan de afhandeling van losse events waar veel 'false positive' meldingen bij kunnen zitten.

Security.NL: IPS draait om preventie. Wordt er een aanval gedetecteerd dan doet het systeem een tcp reset. Het is dan eigenlijk al te laat omdat de pakketten van de aanval al verzonden zijn en de server toch een hit krijgt. Hoe kun je aanvallen op een geavanceerde manier afslaan zonder echte impact?

Samsom: Cisco's IPS kan op een aantal manieren aanvallen stoppen en voorkomen dat een server 'geraakt' wordt. Er bestaat de mogelijkheid om een enkel kwaadaardig pakket weg te gooien, of alle pakketten in een sessie waarin meerdere kwaadaardige pakketten voorkomen, of alle pakketten van het IP-adres van een aanvaller. Deze inline respons-acties complementeren bestaande respons-acties zoals connectie resets en het aanpassen van ACL's op switches, routers en firewalls om ervoor te zorgen dat een aanval niet alleen bij de IPS wordt gestopt maar op meerdere plaatsen in het netwerk. Daarnaast is het ook van belang om inzicht te krijgen in aanvallen, zowel actueel als historisch, zodat beveiligingsmaatregelen hierop kunnen worden aangepast. Een IDS/IPS speelt een belangrijke rol in het verkrijgen van dit inzicht.

Security.NL: Hoe voorkom je dat je IPS gehackt wordt, aangezien de sniffer via code te exploiten is?

Samsom: Alle sensors hebben separate monitoring en command & control netwerk-interfaces. De monitoring-interfaces (geconnecteerd aan het productie-netwerk) kunnen niet worden gedetecteerd. Deze interfaces staat in promiscuous-mode, en hebben geen protocol stack of IP-adres. Ze zijn niet gevoelig voor “antisniff” detectiemethodes. Wij bevelen klanten aan om een command en control-interface (met IP-adres) via een out-of-band geïsoleerd netwerk aan te sluiten, zodat deze niet kunnen worden ontdekt vanaf het productie-netwerk.

Security.NL: In hoeverre kan een IDS/IPS nieuwe aanvallen herkennen aangezien er voornamelijk met signatures wordt gewerkt?

Samsom: Detectie wordt niet alleen gebaseerd op signatures maar ook op zogenaamde 'anomalies' (afwijkingen) van het verkeersgedrag. Het normale verkeersgedrag wordt tijdens een inleerperiode door de IDS/IPS opgeslagen in een kennisdatabase. Op basis van afwijkingen in het gedrag kunnen zero-day aanvallen worden gedetecteerd.

Security.NL: Is een IDS/IPS interessant voor thuisgebruikers of alleen voor bedrijven?

Samsom: Ja, mits toegepast in samenhang met andere maatregelen (zoals een firewall) en mits de consument in het geval van een zelfstandige oplossing er zicht op heeft. Host based IPS-software past daar het beste bij, en wordt ook steeds vaker geleverd als onderdeel van een anti-virus- en/of software firewall-pakket.

Security.NL: Experts zijn van mening dat IDS/IPS jaren 80 technologie zijn en geen nut meer hebben in hedendaagse verdediging, wat zou je tegen hen willen zeggen?

Samsom: IDS/IPS is een technologie die op zichzelf nuttig kan zijn om aanvallen te detecteren en te blokkeren (IPS). IDS/IPS komt echter veel beter tot zijn recht in samenhang met andere maatregelen als onderdeel van een gelaagde security-architectuur of als onderdeel van Unified Threat Management-oplossing. Hierbij kan IDS/IPS worden gebruikt om het zicht op actuele risico's en risico ontwikkeling sterk te verbeteren, als onderdeel van end-to-end security monitoring en analyse. Daarnaast kan IDS/IPS ook belangrijke rol spelen op het gebied van forensisch onderzoek.

Security.NL: Tegenwoordig wordt er zoveel data verstuurd, kun je alle pakketjes wel inspecteren en opslaan, en wat als het verkeer versleuteld is?

Samsom: IPS/IDS schaalt als technologie tegenwoordig tot multi gigabit-snelheden. De vraag is echter ook of het zinvol is om al het verkeer door een IPS/IDS te sturen, of dat je met name een IDS/IPS moet inzetten waar risico's zodanig zijn dat het de investering waard is. Veel klanten gaan er op deze manier mee om. En zoals ook al uit eerdere antwoorden is gebleken, hecht Cisco aan goede analyse. Dat verhoogt het overzicht en inzicht, en reduceert de hoeveelheid gegevens die opgeslagen worden.

Versleuteling zorgt ervoor dat verkeer niet meer geïnspecteerd kan worden. Daarom is het absoluut van belang om ervoor te zorgen dat verkeer dat versleuteld is niet kwaardaardig van aard is. Inspectie dus voor versleuteling. Unified Threat Management-oplossingen zoals de Cisco ASA5500 zijn in staat om die functies te combineren.

Security.NL: In hoeverre kan een IDS bijdragen aan een forensisch onderzoek?

Samsom: Alle data gerelateerd aan events wordt bewaard en wordt gearchiveerd voor mogelijke latere analyse. Tevens kunnen signatures worden aangepast om verschillende hoeveelheden forensische data op te slaan om zo te kunnen voldoen aan specifieke behoeften van de klant. Host based IPS kan hier ook een belangrijke rol in spelen, om gedrag van gebruikers te kunnen analyseren dat opvallend is en niet voldoet aan het gestelde beleid. Host based IPS en network IPS/IDS events kunnen worden samengevoegd en geanalyseerd in samenhang met elkaar.

Security.NL: Als je een verdeling kunt maken qua anti-malware, access control, firewall en IDS, hoeveel procent van de verdediging wordt dan door een IDS op zich genomen?

Samsom: IDS/IPS komt het best tot zijn recht in samenhang met andere maatregelen als onderdeel van een gelaagde security-architectuur waaraan ook access control, firewall, anti-malware en security monitoring hun bijdrage leveren. Hoe groot het aandeel is van IDS/IPS in een security-architectuur hangt sterk af van de situatie van de klant en zijn afwegingen met betrekking tot de risico's die moeten worden afgedekt.

Security.NL: Als je niet op de waarschuwingen van een IDS kunt vertrouwen omdat er teveel ruis tussen zit, wat is dan de meerwaarde van zo'n oplossing?

Samsom: Ruis kan binnen een IDS/IPS-oplossing al sterk gereduceerd worden door gebruik te maken van bijvoorbeeld risk rating. Binnen risk rating houden we onder andere rekening met de gevoeligheid van een systeem voor een bepaalde aanval. Daarnaast kan ruis sterk worden gereduceerd door de meldingen van IPS/IDS via centrale security-monitoring te correleren met meldingen vanuit andere security-maatregelen zoals firewalls en daarna analyse te doen. Hierdoor kan een veel beter overzicht en inzicht ontstaan en kunnen we tot een klein aantal incidenten komen in plaats van vele events.

Security.NL: Bedrijven bieden IDS als een product aan, maar IDS is meer dan een doos, het is het analyseren van data, dat wordt niet aangeboden. Hoe zorg je ervoor dat de mensen die ermee werken van hetzelfde niveau als de oplossing zijn?

Samsom: Als leverancier van security-oplossingen richt Cisco zich op meer aspecten dan alleen de techniek. Dat doen we in nauwe samenwerking met gecertificeerde partners die naast de implementatie van het product alle mogelijke diensten leveren in de levenscyclus van een security-maatregel zoals IPS/IDS. Daarbij kun je bijvoorbeeld denken aan risico-assessments, het adviseren rondom security-beleid, het trainen van mensen, en monitoren en managen (managed IDS/IPS services). Voor Cisco en zijn partners is de kwaliteit van dit geheel van groot belang omdat we onderkennen dat security niet een product is maar een proces.

Security.NL: Een gevaar van IDS/IPS is dat bedrijven wachten met patchen / hardenen / configureren omdat het systeem "toch wel beveiligd is".Geeft een IDS geen vals gevoel van veiligheid omdat een echte hacker toch wel binnenkomt en bedrijven het als een wondermiddel zien?

Samsom: Het op orde houden van de configuratie en patches van systemen is van groot belang. Het toezien op en afdwingen van op tijd patchen is een van de functies binnen Cisco's Network Admission Control (NAC). NAC is net zoals IDS/IPS onderdeel van onze security-blueprint, het Self-Defending Network.

Wat we wel hebben gemerkt in de afgelopen jaren, is dat host based IPS-systemen zoals Cisco Security Agent ervoor kunnen zorgen dat het effect van aanvallen wordt geminimaliseerd. Dit geeft bedrijven de tijd om via de procedures (ITIL) patches goed te testen en uit te rollen op een gepland moment. De combinatie van host based IPS (CSA), testen van patches en gepland uitrollen zorgt voor veel stabiliteit en hoge beschikbaarheid bij klanten.

Security.NL: In welke omgevingen komen IDS/IPS het beste tot hun recht?

Samsom: In welke omgeving je een IDS/IPS inzet hangt in grote mate af van het totaal van risico-asssesment, maatregelen en architectuur. Vaak zien we dat klanten IDS/IPS opstellen bij hun internetaansluiting, als onderdeel van hun datacenter security-architectuur en/of op centrale plaatsen in hun intranet. Gebruikmakend van IPS-functionaliteit op routers, host based IPS (Cisco Security Agent), en geïntegreerde sensors in Unified Threat Management-producten, kan een klant IPS/IDS indien noodzakelijk toepassen op allerlei plaatsen, zoals bijvoorbeeld kleine nevenvestigingen.

Security.NL: Laatst las ik dat het beter is om een IDS te vervangen door een grote hoeveelheid tapes om al het verkeer op te slaan, aangezien een IDS je niet waarschuwt als een aanval gaande is, en je in het geval van de tapes nog kunt zien welke machine het eerst gehackt is.

Samsom: Een berg tapes bevat inderdaad een berg gegevens. Niet echt praktisch als je een actueel en overzichtelijk beeld wilt krijgen van risico's. Naast opslaan en terugspelen zijn monitoring, analyse, en response in coördinatie met andere maatregelen belangrijke eigenschappen van een IDS. En dat zijn eigenschappen die een berg tapes niet biedt.

Security.NL: IDS/IPS werd als de magische oplossing gezien, maar heeft die verwachting nooit waar gemaakt, waar is het misgegaan?

Samsom: IDS/IPS is een technologie die op zichzelf nuttig kan zijn om aanvallen te detecteren en te blokkeren (IPS). IDS/IPS komt echter veel beter tot zijn recht in samenhang met andere maatregelen als onderdeel van een gelaagde security-architectuur zoals bijvoorbeeld Cisco's security blueprint: het Self-Defending Network.

Security.NL: Moeten bedrijven zich niet meer richten op het verbeteren van hun beveiliging voordat een incident zich voordoet, in plaats van hoe ze erop moeten reageren?

Samsom: Uiteraard moeten bedrijven zich richten op het voorkomen. Binnen Cisco's Self-Defending Network nemen pro-actieve security-maatregelen zoals Network Admission Control (NAC) daarom een belangrijke plaats in. Network Admission Control draagt ertoe bij dat systemen up-to-date beveiligd zijn. IPS/IDS geeft je in aanvulling daarop een methode om te zien of je pro-actieve security ook daadwerkelijk goed werkt. We kunnen dat vergelijken met het auto-alarm. We zetten onze auto het liefst (pro-actief) op een veilige goed verlichte plaats, we doen de auto op slot, maar als er dan toch wordt ingebroken wil je daarvan wel graag op de hoogte zijn.

Security.NL: Wat voor nieuwe ontwikkelingen zien/verwachten jullie op het gebied van IDS/IPS?

Samsom: We zien dat klanten meer vanuit een architectuurbenadering kijken naar security. Daar spelen we op in met onze Self-Defending Network-benadering. Security moet meer en meer geïntegreerd zijn, en niet iets wat er achteraf aan is toegevoegd. Dat zie je terug in een toepassing zoals IPS/IDS in routers en/of Unified Threat Management. Dat zet zich door in de toekomst.

Security-maatregelen moeten met elkaar samenwerken om effectiever te zijn en een beter overzicht en inzicht te geven. Dat zie je terug in een toepassing zoals IDS/IPS monitoring, analyse en response. In de toekomst zullen meer informatiebronnen worden gebruikt voor detectie. Wij denken dat netflow hierin een belangrijke rol gaat spelen. Tevens zullen policies netwerkbreed in alle mogelijke netwerk devices (bijv. switches) kunnen worden aangepast om een aanval te stoppen.

En als laatste, security moet zich kunnen aanpassen aan veranderende omstandigheden. Binnen een IPS/IDS zien we dat terug op het vlak van anomaly detectie en in de toekomst de mogelijkheid om zelf nieuwe aanvallen te detecteren en dynamisch signatures te creëren eventueel in samenwerking met host based IPS.

Reacties (2)
12-12-2006, 12:46 door Anoniem
Het antwoord op luiheid door false positives is geen
antwoord maar een ontwijking van het probleem. Je kan
correleren tot je een ons weegt, maar luiheid door false
positives draai je er niet door weg.

Ook hoor ik geen antwoord op het probleem dat een IPS zeer
vatbaar is om de eigen dienstverlening de nek op te draaien
door onbeschikbaar te maken. Dat gaat wat verder dan het
hack verhaal.

Verder verschuilt men zich achter anomaly detectie bij het
gat tussen bekend worden van exploits en levering van
updates als signatures. Maar dat is geen veilige en logische
oplossing, anders hoeft men nooit updats te leveren.
12-12-2006, 18:57 door Marc Samsom
Betreft "luiheid", we proberen door correlatie van IPS/IDS
meldingen met logs uit andere systemen zoals routers,
switches, firewalls etc. false positives te reduceren zodat
we alleen echte incidenten melden. Een beheerder hoeft dan
niet door bergen false positives heen om die paar relevante
meldingen eruit te halen.

Onze ervaring is dat anomaly detection goed werkt om 'zero
day' aanvallen te detecteren en te stoppen. Als voorbeeld;
Cisco's host based IPS, dat grotendeels gebaseerd is op
anomaly detection, heeft alle grote worm uitbraken van de
afgelopen 4 jaar gestopt zonder signature updates.

Dat wil niet zeggen dat klanten niet moeten patchen als deze
aanwezig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.