Column: Anomaly Detection System?!
Anomaly detection is hard op weg om te integreren in IDS, kunnen we nog veel van verwachten. Onbekende materie? Lees dan The State of Anomaly Detection door Matthew Tanase.
Het betreft dus een alarm voor vreemd systeemgedrag. In plaats van detectie op basis van een vaste set aan regels of filters (IDS) detecteert ADS op basis van afwijkingen van een norm van normale activiteit. Aha, denkt u, het gaat nog 20 jaar duren voordat ADS op enige schaal toegepast wordt. Fout, althans deels. Energiebedrijven en bijvoorbeeld de Belastingdienst experimenteren er al heel lang mee.
ADS binnen informatiebeveiliging is inderdaad wel bijzonder gecompliceerd. Dit geldt eigenlijk voor alle ICT systemen die enorme hoeveelheden data produceren. Er zijn simpelweg te weinig mensen in staat om IDS en ADS type gegevens correct te interpreteren, laat staan dat ze er tijd voor hebben. Vraag maar eens aan uw beheerorganisatie of deze de logs van de kritische systemen of de corporate firewall daadwerkelijk begrijpt, weinig kans. Dus IDS en ADS zijn niet levensvatbaar? Tuurlijk wel, echter voorlopig alleen binnen grotere organisaties met voldoende middelen om deze technologie te beheersen en beheren binnen een steeds dynamischer wordend LAN/WAN.
Hoe moeten we dan wel verder? Lastige vraag waarop ik (nu) nog geen goed antwoord heb. Laten we maar eens beginnen met de focus te verleggen van technologie naar de mens. Je zult zien dat binnen een organiatie met tevreden werknemers veel minder incidenten plaatsvinden. Je zou dus kunnen pleiten voor een UPDS, Unhappy People Detection System!
Leuk is inderdaad dat het al geintegreerd is in de huidige versies van Snort.
Ik heb het hier in de productie-omgeving ook draaien. Het biedt je namelijk mogelijkheden iets meer te zien van (het gedrag van) ssl-verkeer. Iets waar een IDS niets mee kan.
Schrijver geeft inderdaad aan dat het veel tijd kost een IDS goed bij te houden. Een ADS komt er nog eens bij...
Overigens heeft SiliconDefense ook een goed stuk geschreven over de implementatie van Spade in Snort:
http://www.silicondefense.com/research/index.htm
Uiteindelijk lijdt dat alleen maar tot een maatschappij waarin iedereen elkaar aan het controleren is. Als we het menselijk aspect van IB aanschouwen, dan blijkt dat het gros van de werknemers zich niet anders gedraagt dan het gros van de managers. En dit gros van de mensen interesseert het geen bal of de firma waarvoor ze werken morgen wel of niet meer bestaat (lang leve de sociale voorzieningen).
Een bewustwordingsproces lijdt uiteindelijk slechts tot grotere onrechtmatigheden. Want je vertelt iedereen eerst waar de mosterd te halen valt om ze vervolgens het recht van kopen te ontzeggen. Het idee van wel kijken, niet aankomen.
Strenger straffen is het enige dat helpt. En dan bedoel ik dus veel strenger. Misschien dat lijfstraffen invoeren wel een goed idee is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
