Enterprise IDS - Distribuzione e usi

Risponderò a entrambe le tue domande in un modo non specifico, ma tieni con me.

La tua prima domanda è "Sto inserendo un IDS, cosa dovrei dirgli di fare?"

Bene, lo stai facendo all'indietro, ma non preoccuparti: questa è una confusione di sicurezza comune.

Un IDS, come qualsiasi sistema di sicurezza, non è una bacchetta magica. Non lo installi e tutto è hunky dory. È uno strumento che usi per trattare un rischio specifico.

Quindi devi iniziare con un'analisi dei rischi. Identifica tutte le minacce che affronti e le vulnerabilità della tua configurazione che tali minacce potrebbero utilizzare per danneggiare le tue risorse. Questi sono i rischi. Identificare la probabilità che tali rischi si verifichino e il danno che potrebbero causare. Questi sono i livelli di rischio. Ora puoi capire di quali rischi sei soddisfatto e che devi trattare.

Ad esempio, se decidi che " un dipendente NOC porta inavvertitamente un computer compromesso sulla rete " è un rischio che attualmente è inaccettabile, allora ti siedi e scopri un modo per aggiustalo. Parte di quella correzione potrebbe essere quella di avere un IDS seduto all'interno del NOC che osserva tutto il traffico in corso. Non tutto però - probabilmente guarderai anche a una scansione migliore delle macchine prima di entrare, processi migliori per i dipendenti, ecc. Ecc. Scegli il controllo in base a quanto bene riduce il rischio.

Quindi esegui nuovamente lo stesso processo per " exploit contro il server web " e tutti gli altri rischi rilevati dall'analisi.

La chiave è: Identifica e comprendi prima il rischio, quindi applica i trattamenti per ridurlo.

La tua seconda domanda è "Ho un strong perimetro, ho bisogno di un IDS dietro di esso?"

Esiste un importante principio di sicurezza chiamato "difesa in profondità". Fondamentalmente, non fare affidamento su un solo controllo per proteggerti. Controlla i livelli e pensa a cosa succede se uno fallisce.

Certo, hai un strong perimetro, e poco riuscirà a passare, e questo è positivo. Ma se qualcosa dovesse funzionare, non sarebbe bello avere un ID lì lì che lo vede?

Naturalmente, la domanda è se vale la spesa. Snort è gratis, certo, ma il tuo tempo non lo è. Questo è qualcosa per te, in base al livello di rischio: quanto è probabile che sia qualcosa da superare, quanto danno potrebbe fare? Forse ne vale la pena, forse no. Questa è una pura decisione commerciale.

Il posizionamento del sensore può essere molto complicato in quanto ci sono un sacco di variabili da considerare. Come minimo, dovresti tener conto

• Livello di classificazione della risorsa monitorata
• Progettazione della rete
• Velocità del sistema
• Tempo del personale (per la gestione e l'analisi)
• Disponibilità delle risorse

Lanciare tutti quelli in un frullatore e andare in alto per qualche minuto ti darà alcuni dati interessanti per iniziare a determinare la tua distribuzione. La pianificazione della distribuzione è un processo multifase e, sebbene non siano intrinsecamente separati, è utile ricordare che si tratta di parti diverse dello stesso piano.

Raccolta e pianificazione dei dati

Più probabile che no, quello che vorrete fare è costruire un elenco di tutti i sistemi che volete monitorare, quindi valutarli in base all'importanza o al rischio. Questo dovrebbe darti una priorità di quali sistemi hai veramente bisogno di guardare ora. In un mondo perfetto, avremmo un sensore che monitora il collegamento collegato a ciascun sistema. Tuttavia, sarebbe spaventoso costoso, difficile da mantenere e rumoroso. Invece, parla con il tuo team di rete e dai un'occhiata al design della tua rete. Scopri la mappa della rete in cui vivono i tuoi sistemi prioritari e scopri dove si trovano i punti di strozzatura. Guarda quale hardware hai a disposizione per trasformarti in sensori. In un ambiente fantastico, potresti avere una grande scatola con poche interfacce da 10 Gbps e fare tutto il tuo monitoraggio per un'intera azienda utilizzando un singolo sensore. Tuttavia, più probabilmente, avrai alcuni sistemi in eccedenza che un tempo venivano utilizzati dalle segreterie dei dipartimenti e dovevano distribuire il carico.

Progettazione e distribuzione dell'array

Ora è il momento di riflettere a lungo su quale sia la soglia di accettazione del rischio. Quanto vicino ai dati sensibili ti senti bisogno di avere un sensore, e quanto lontano ti senti a tuo agio nel posizionarlo? In alcuni casi potrebbe essere necessario monitorare la porta dello switch a cui è collegato direttamente un server. In altri casi è sufficiente posizionare un singolo sensore su un uplink di edificio o pavimento e ignorare qualsiasi traffico intra-switch. In un altro caso, potresti pensare che il mirroring di una porta specifica non sia abbastanza buono e rispecchi invece un'intera VLAN.

Carico di lavoro e altre considerazioni

Mentre sviluppi la nostra strategia di implementazione dei sensori, tieni presente che può diventare molto complicato. Quando decidi dove posizionare i tuoi sensori, assicurati di tenere conto di tutti gli altri problemi che si presentano. Per ogni sensore implementato ci sarà un overhead di gestione per un dipendente per mantenere il sistema (applicare patch, sostituzione hardware, ecc), overhead di gestione delle applicazioni (aggiornamento delle firme, set di regole di regolazione, assicurandosi che snortd rimanga in esecuzione) e tempo dell'analista (interpretazione gli avvisi e l'azione). A seconda del progetto e del tempo a disposizione per il caricamento frontale, questi numeri possono variare notevolmente. Ad esempio, utilizzando i giusti strumenti di gestione / automazione della configurazione, non è difficile gestire decine di sensori di snorting utilizzando una frazione di un FTE.

Per una completa divulgazione, questa era originariamente inviata come risposta a questa domanda . Non siamo sicuri che valga la pena di unirli, ma la risposta funziona sicuramente anche qui.