Un IDS rileva attività sospette tramite pattern nel traffico analizzato. La maggior parte del traffico con cui gestisco è crittografata (HTTPS o proprietario, come SMB). Non può essere decodificato per analisi per motivi legali.
Sto cercando esempi di ambienti in cui un IDS basato su rete può essere ancora utile quando la maggior parte del traffico è crittografato?
Innanzitutto, la tecnologia IDS non è necessariamente ridotta alla semplice corrispondenza dei modelli, ma IDS spesso può anche analizzare il traffico HTTP, compresa la decompressione dei carichi utili compressi, estrarre gli allegati dalle mail ecc. e cercare il modello lì. Inoltre, IDS come Suricata può essere esteso oltre la semplice corrispondenza delle stringhe con linguaggi di scripting come LUA.
E alcuni IDS moderni sono anche in grado di analizza l'handshake TLS che contiene informazioni preziose, come l'estensione SNI che contiene il nome host di destinazione o il certificato restituito dal server. Entrambe queste informazioni non sono crittografate. E a volte il malware può essere rilevato perché utilizza crittografie TLS o estensioni TLS in un modo speciale diverso da altri client. Vedi Hiding in Plain Sight: l'uso di malware di TLS e crittografia per alcune ricerche in quest'area.
A parte questo IDS potrebbe essere utilizzato insieme a un proxy di intercettazione o simile che alimenta il traffico decrittografato all'IDS per un'analisi più approfondita.
Riguardo a SSL: la risoluzione SSL può accadere prima che l'IDS guardi il traffico. Solo perché un server web è in grado di gestire SSL / TLS non significa che debba essere eseguito sul server web. Potrebbe esserci una macchina sul bordo della rete che crittografa e decrittografa il traffico SSL.
Oltre a ciò, un IDS non è limitato ai singoli flussi di rete. Potrebbe registrare tutto il traffico e creare statistiche su ciò che è considerato normale. Quindi se i flussi di traffico cambiano improvvisamente, ad esempio se la distribuzione degli indirizzi di origine cambia in modo significativo, o il volume di traffico aumenta in maniera massiccia, oppure c'è improvvisamente traffico tra macchine che non hanno mai comunicato prima, o qualsiasi altro modello puoi pensare alle modifiche, potrebbe avvisare gli esseri umani . Tutto ciò può essere fatto senza guardare i carichi utili del traffico; guardando l'intestazione TCP / IP e il volume del traffico e la tempistica sono sufficienti per questo tipo di analisi.