Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
* detekcia založená na podpise:
* Táto metóda sa spolieha na rozpoznávanie známych vzorov alebo podpisov v sieťových paketoch. Ak je obsah šifrovaný, podpisy sú skryté, čím sa tento prístup neefektívny.
* Napríklad IDS môže zistiť konkrétny reťazec, o ktorom je známy, že je súčasťou spustiteľného softvéru. Ak sa táto spustiteľná schopná prenáša cez šifrované pripojenie (HTTPS, SSH, VPN), IDS neuvidí reťazec, a preto nevyvolá upozornenie.
* Analýza protokolu:
* Mnoho protokolov (napr. HTTP, SMTP, FTP) má špecifické štruktúry a príkazy, ktoré IDS dokáže analyzovať na anomálie. Šifrovanie zakrýva tieto štruktúry, čo sťažuje alebo nemožná analýza protokolu.
* Aj keď je samotné pripojenie šifrované, metadáta v protokole by mohla poskytnúť stopy o type prenosu. Napríklad indikácia názvu servera (SNI) môže odhaliť prístup k hostiteľovi, ku ktorému sa pristupuje prostredníctvom HTTPS. Cieľom šifrovaného SNI (ESNI) a šifrovaného klienta Hello (ECH) je šifrovať tieto metadáta, čo ďalej bráni detekcii.
* detekcia anomálie:
* Zatiaľ čo detekcia anomálie môže stále fungovať pri šifrovanej prevádzke, jeho účinnosť sa zníži.
* Ak sú IDS vyškolené na nezašifrované údaje, nebude vedieť, ako vyzerá „normálne“ v šifrovanom toku. Môže zistiť neobvyklé prenosové vzorce založené na veľkosti, načasovaní alebo frekvencii paketov, ale nebude schopný identifikovať konkrétny obsah, ktorý by spôsobil anomáliu. Toto zvýšené riziko falošných pozitív a falošných negatívov.
Špecifické oblasti, kde účinnosť klesá:
* Detekcia sťahovania škodlivého softvéru: Systémy ID, ktoré hľadajú spustiteľné súbory alebo škodlivé skripty, ktoré sa sťahujú cez HTTP/FTP, budú slepé, ak je prenos šifrovaný.
* Identifikácia exfiltrácie údajov: Ak sú citlivé údaje šifrované pred odoslaním zo siete, ID ich nemôžu zistiť na základe obsahu údajov.
* Rozpoznáva škodlivé príkazy: Ak útočník používa šifrovaný kanál (napr. SSH) na vydanie príkazov na kompromitovaný počítač, IDS nebudú môcť vidieť samotné príkazy.
* Monitorovanie útokov na webovú aplikáciu: Bežné útoky na webovú aplikáciu (napr. Vstrekovanie SQL, skriptovanie v krížovom mieste) sa často prenášajú v tele HTTP. Ak sa použije HTTPS, ID nedokážu skontrolovať telo žiadosti.
Čo stále funguje (do istej miery) s šifrovaním:
* Analýza sieťovej prevádzky (metadáta): Aj pri šifrovaní môže IDS stále analyzovať metadáta, napríklad:
* IP adresy a porty
* Veľkosť a frekvencia paketov
* Načasovanie spojení
* Informácie o certifikáte TLS/SSL (SNI, Emitent atď.)
* Trvanie pripojenia
* Bajty prevedené
* Reťazce užívateľa a agenta (hoci ich môžu byť spoofed)
* Podpisy JA3/S
* Použité šifrové apartmány
Tieto metadáta sa dajú použiť na detekciu podozrivých komunikačných vzorcov, aj keď je obsah skrytý. Napríklad náhlym nárastom premávky na známu škodlivú adresu IP alebo nezvyčajné využitie certifikátov môže byť vlajkami na ďalšie vyšetrovanie.
* detekcia a odpoveď koncového bodu (EDR): Riešenia EDR fungujú na jednotlivých počítačoch v sieti, takže nie sú ovplyvnené šifrovaním. Môžu monitorovať procesy, aktivitu systému súborov a zmeny registra, aby zistili škodlivé správanie, aj keď je sieťový prenos šifrovaný.
* behaviorálna analýza: Zahŕňa to analýzu správania používateľov a entít v sieti s cieľom identifikovať odchýlky od normálnych vzorov. To môže byť účinné aj pri šifrovaní, pretože sa zameriava na „kto“, „čo“, „kde“ a „kedy“ činnosti, a nie „ako“.
v súhrne:
Šifrovanie znižuje schopnosť tradičných systémov detekcie vniknutia kontrolovať obsah sieťovej prevádzky, čo sťažuje detekciu útokov založených na podpisoch, anomáliách protokolov a špecifických typov exfiltrácie údajov. Systémy IDS sa musia prispôsobiť zameraním na analýzu metadát, analýzu správania a integráciu s detekciou koncových bodov a riešeniami reakcií na udržanie účinnosti v šifrovaných prostrediach. Vzostup šifrovaného klienta Hello (ECH) a ďalšie technológie zvyšujúce ochranu súkromia si ďalej vyžadujú inovatívne prístupy k monitorovaniu bezpečnosti siete.