Supponiamo di avere sia IDS basati su rete che IDS basati su host installati nel mio ambiente, mancherò di eventuali attacchi di sicurezza se non correlherò le informazioni provenienti da queste fonti? Se sì, quali sono? Sembra che uno di questi sistemi dovrebbe essere in grado di catturare qualsiasi attacco ogni volta che succede, ma non è sicuro se io abbia ragione al riguardo.
Trasformerò la tua domanda in giro:
"What attacks can only be detected by a combination of host and network data?"
E la risposta a questa domanda è: non molti.
Il vero potere di correlazione tra host e dati di rete è la capacità di vedere "oltre" l'attacco per vedere quanto è diffuso e da dove ha avuto origine. In altre parole, colleghi questi due set di dati per aiutarti a rispondere, non solo a identificare.
Un algoritmo di rilevamento anti-malware può identificare un attacco su un host, ma le altre fonti di dati possono fornire ciò che è necessario per sradicarlo, non solo dall'host, ma dall'intero ambiente.
La visione più ampia potrebbe essere considerata l'attacco "reale", se è questo che intendevi. E, se non intendevi questo, dovrebbe essere incluso nella tua considerazione.
Tralascia alcune informazioni chiave da considerare. Ad esempio, quando si dice "attacco" non si menziona ciò che l'asset di destinazione è in esecuzione.
Nel caso di un sito Web HTTPS, la maggior parte degli IDS / IPS non offre la possibilità di caricare i certificati SSL per decrittografare il traffico al fine di ispezionarlo.
In questo caso, i tuoi IDS / IPS offrono poca o nessuna protezione. Possono ancora vedere e prevenire eventuali attacchi progettati per essere sfruttati durante il processo di negoziazione / handshaking SSL, ma il gioco è fatto.
È qui che un agente basato sull'host sarebbe utile (o un firewall dell'applicazione) in quanto sarà in grado di ispezionare il traffico dopo che è stato decodificato.
La capacità di correlare queste informazioni è utile durante le indagini forensi, convalidare i falsi positivi, convalidare i controlli di sicurezza (cioè: l'attacco è stato fermato all'IDS e non è tornato all'host, che può essere correlato tramite log degli host)
Dipende in primo luogo da due tipi di firma basata su IDS e basata su anomalie. IDS basati sulle firme funzionano in modo abbastanza simile ad AV se si hanno firme con attacco ben noto, quindi l'IDS monitora i pacchetti sulla rete e li confronta con un database di firme se i pacchetti si incontrano con una firma, l'IDS ti avviserà. L'altro tipo è basato sull'anomalia e questo tipo di IDS raccoglie i dati e li memorizza nel database, e quando l'IDS vede qualcosa di insolito, avviserà. Quindi in linea di massima ti mancheranno sempre i posti vulnerabili. E secondo me c'è sempre la possibilità di perdere i vettori di attacco, non importa cosa fai. Spero che questo risponda alla tua domanda, se nei commenti ci sono domande incomprensibili.
La correlazione viene utilizzata per ridurre i falsi positivi. I sistemi di rilevamento delle intrusioni sono noti per generare un numero elevato di falsi positivi a causa del rilevamento basato sull'anomalia. In caso di IDS basato su firma, la percentuale di falsi positivi viene ridotta ma la capacità di rilevamento è limitata ai soli attacchi noti per i quali IDS ha la firma di rilevamento.
Se non si correlano le informazioni e si analizzano gli eventi da IDS basati su host e IDS di rete individualmente, non si perderanno alcun attacco. Tuttavia, correlare i due eventi renderà la vita dell'analista molto più semplice.
Inoltre, la correlazione degli eventi ti aiuterà a stabilire la priorità degli attacchi rilevati. Ad esempio, un pattern di attacco per il sistema operativo Windows XP rilevato dal NIDS genererà un avviso sull'interfaccia NIDS. Tuttavia, se l'IP di destinazione è una macchina Linux, non è necessario essere allarmati perché l'attacco è destinato a fallire.
La linea di fondo è, se si vuole ridurre il tasso di falsi positivi e assicurarsi che solo quegli eventi siano rilevati e messi in atto dall'analista che hanno un'alta probabilità di veri positivi, correlare gli eventi da HIDS e NIDS.