Waarom de huidige generatie IPS faalt
Toen Gartner aankondigde "IDS is dood" hadden sommige mensen gedacht dat aanbieders en bedrijven massaal op IDP systemen zouden overstappen en dat deze nu alle problemen zouden hebben opgelost, waardoor er minder virussen, wormen e.d. rond zouden gaan. Niets is minder waar, want bedrijven hebben juist niet gekozen voor Intrusion detectie en preventie systemen. Een van de problemen waar de huidige generatie IDPs mee te maken heeft is dat ze niet bekend met de netwerkomgeving zijn. Het apparaat kan een aanval identificeren, maar weet niet hoe het doelwit er aan toe is. Een IDS kan alleen maar alarm slaan op zaken die er alarmerend uitzien, en daardoor veel false positives genereren. Een IPS heeft die luxe niet, dus verminderen IPS aanbieders de hoeveelheid actieve rules om dit probleem tegen te gaan, wat alleen maar uitstel is. En zo is er nog veel meer mis met de huidige generatie IPS, zoals in dit artikel beschreven wordt.
Prevention", de ander "Intrusion Prevention System".
Het punt is (denk ik) "IPS system" is dubbelop. De S staat al voor system.
Beetje hetzelfde idee als LCD. LCD display is ook dubbelop. De D
staat namelijk al voor Display.
dat een IDP inline staat en dus zaken zelf kan blokkeren.
Een IDS wordt gezien als een monitorring devices dat een
copy van het verkeer ter beschikking krijgt en dat kan
analyseren ( en even tueel een signaal kan geven aan bv een
firewall om een sessie af te breken of voortaan te
blokkeren. Dit kan natuurlijk enkel als de sessie lang
genoeg duurt of zich herhaalt.)
De naamgeveing is inderdaad onjuist. De 'familienaam' is
Intrusion Detection Systems (IDS) . Er zijn meerdere smaken IDS:
NIDS - Network IDS, meestal gewoon IDS genoemd
IPS - In trusion Preventions System
HIDS - Host Based IDS
Theroretisch gezien is een IPS inderdaad veel nuttiger dan
een NIDS, maar brengt ook risico's met zich mee. Een slecht
geconfigureerde IDS zal meestal niet zoveel schade
aanbrengen , je mist hooguit wat informatie (ok is erg kort
door de bocht) bij een slecht geconfigureerde IPS heb je
kans dat een deel van je netwerk niet meer bereikbaar is
omdat hij het meent herkent te hebben als een of ander
exotische exploit terwijl het gewoon slecht geprogrameerde
HTML blijkt te zijn
Het komt er eigenlijk op neer dat een techniek alleen moet
worden ingezet als je goed snapt wat de consequenties zijn,
de middelen hebt om ze te gebruiken (geld en resources)
enhet ook werkelijk nodig is om ze in te zetten.
Het meerendeel van de IDS'sen die ik tegenkom bij bedrijven
stann heel ijverig logs vol te schrijven zonder dat ooit
iemand daar iets mee doet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
