image

Wat brengt de toekomst voor Intrusion detection systems?

donderdag 12 juni 2003, 10:43 door Redactie, 6 reacties

Een onderzoeksrapport waarin intrusion detection systemen verouderd en waardeloos werden genoemd heeft de woede opgewekt van verschillende verkopers en ontwikkelaars, die vinden dat belangrijke factoren in het voordeel van het IDS niet genoemd werden. Het rapport van Gartner laat zien dat de toekomst bij de Firewall ligt en niet bij IDS of IPS. In dit artikel komen de IDS ontwikkelaars en verkopers aan het woord en geven ze een reactie op de beweringen van Gartner.

Reacties (6)
12-06-2003, 17:59 door Anoniem
Hmm geen link naar het Gartner rapport ... jammer.

Maar ja IDS is een onderdeel van het beveiligings proces. En als je organisatie er niet goed op is ingespeeld, heb je niets aan IDS. Hetzelfde zie je ook nog steeds voor firewalls.

IDS kan heel handig zijn, als je het goed weet te benutten.
13-06-2003, 00:25 door Anoniem
Originally posted by Unregistered
IDS kan heel handig zijn, als je het goed weet te benutten.

Handig voor wat?
Om een paar mensen van de straat te houden?

Ik denk dat er geen enkele manager overtuigd kan worden van het nut van een IDS danwel een IPS.

Het systeem moet standaard alle bekende en toekomstige vulnerabilities tegenhouden, dit kan alleen door een strak opgezette securitypolicy.

Maar goed, gelukkig -voor IDS/IPS vendors- zijn er mensen die er geen verstand van hebben, en alle marketing onzin geloven, en denken dat een IDS/IPS hun tegen de eerste beste 0day zal beschermen. En wordt hen niet verteld dat een 0day is in de mainstream security scene gepubliceerd zal moeten worden voordat een vendor -zeker indien het geen opensource vendor is- er een IDS/IPS signature voor kan maken.

Dan zijn er altijd mensen die na het lezen van bovenstaande op andere punten van IDS/IPS wijzen, zoals traffic analyse, ja het is leuk naar afwijkende patronen te kijken, en een mix te vinden van instellingen die er voor zorgen dat je configuratie niet tot een DoS lijd, maar probeer eens op > 100Mb/s fullduplex te analyseren.
13-06-2003, 07:13 door Anoniem
Originally posted by Unregistered
Handig voor wat?
Om een paar mensen van de straat te houden?

Zeer zeker dat het onderhouden van een (netwerk based) IDS veel effort en tijd vergt. Echter loont het zicht op de plaatsten waar dat extra stukje controle nodig is. Een firewall kijkt tot (OSI-ISO) laag 4 (soms iets van laag 5). Echter om te weten waar je webserver mee bestookt wordt ... als het legitiem HTTP verkeer is zie je dat niet.

Inderdaad de meeste IDS producten zijn nog lang niet 'up to the task'. Maar als je het goed weet in te zetten, dus inderdaad met de security poliies, security responses, e.d. loont het zich daadwerkelijk. Echter wordt te vaak een IDS systeem neer gezet voor er uberhaupt over na te denken hoe er mee om te gaan.
13-06-2003, 10:17 door SirDice
Originally posted by Unregistered
Hmm geen link naar het Gartner rapport ... jammer.

Die kun je alleen maar kopen van ze.


En een IDS voegt niets toe aan je beveiliging. Je kan er dus geen 0days mee 'zien'.
Het geeft je wel een extra audit zodat je achteraf meer informatie hebt om uit te zoeken waar en wanneer het mis ging.
13-06-2003, 16:29 door Anoniem
Tjongejonge. Zouden als die IDS kopers en gebruikers gezwicht zijn voor marketingdroids?

Daggetnie. IDS biedt, mits juist gebruikt, wel degelijk toegevoegde waarde.

Nee, je hebt geen 100% veiligheid. Maar als je ziet hoeveel scriptjongetjes en meisjes er aan de slag zijn...Ook de "echte" hackers bedienen zich van tools. De grote vraag is wanneer de signature van zo'n tool in de db van het IDS is opgenomen. En dat is soms snel, soms minder snel.

IDS is een mooie toevoeging op firewalls. Niets meer & niets minder.
16-06-2003, 11:12 door Anoniem
Originally posted by Unregistered
Hmm geen link naar het Gartner rapport ... jammer.

http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp

zie ook de resctie van Martin Roesch (auteur van Snort):
http://www.snort.org/marty/1055370702.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.