Tutti i rilevamenti delle intrusioni diventano basati su host una volta che tutti i pacchetti di rete sono stati crittografati?
Tutti i rilevamenti delle intrusioni diventano basati su host una volta che tutti i pacchetti di rete sono stati crittografati?
Se comprendo correttamente la tua domanda, allora si.
Se utilizzi la crittografia a livello di rete sul traffico tutto , ad esempio ipsec o < a href="https://en.wikipedia.org/wiki/Secure_Socket_Layer"> SSL / TLS , quindi qualsiasi IDS / IPS basato sulla rete avrà una capacità limitata di rilevare il livello dell'applicazione (o qualsiasi livello superiore) attacchi ai tuoi host, perché sono incapsulati / crittografati. Se questo è il caso, avere una forma di protezione basata sull'host è la soluzione migliore.
No. Anche se il tuo livello di rete è completamente criptato e tutto funziona bene, vuoi ancora sensori in entrambe le posizioni per la difesa in profondità e la correlazione di allerta. Puoi e dovresti implementare varie tecnologie per decifrare il traffico intercettato in luoghi diversi nei flussi dell'applicazione (proxy, bilanciamento del carico, firewall, SPAN / TAP ...) in modo che l'IDS non sia completamente cieco. Le firme IDS possono essere meno utili senza contenuto di pacchetti, ma possono ancora funzionare, e il flusso e le statistiche catturano perfettamente il lavoro con la maggior parte dei tipi di crittografia (sebbene IPSec ESP limiti questo).
Sarò d'accordo che in una rete completamente crittografata potresti voler spostare la bilancia verso strumenti basati su host ma non è l'unico modo per leggere il tuo traffico crittografato. Per rispondere alla tua domanda potresti dover ridefinire "host" per includere altri dispositivi in cui il traffico chiaro è leggibile per l'analisi piuttosto che solo i client e i server finali.
Direi che ci sarà abbastanza traffico non criptato e altri casi di copertura per IDS / IPS basati su rete per qualche tempo.
Innanzitutto, la crittografia è costosa, sia dal punto di vista computazionale che amministrativo. A meno che non ci sia una buona ragione per crittografare tutti i dati (casi d'uso limitati), rimarrà comunque del traffico non criptato nel mix (cioè chatter del protocollo - "ha senso crittografare i pacchetti icmp?"). Dato IDS / IPS aiuta a monitorare e applicare le politiche che vanno dai dati nelle intestazioni di pacchetti (indirizzo IP, porta, ecc.) dati nel carico utile, gli amministratori di sicurezza troveranno ancora valore in IDS / IPS basati sulla rete.
In secondo luogo, una strategia difesa approfondita implicherebbe la presenza di più livelli di difesa è importante strategia per proteggere il patrimonio informativo. Cosa succede se un IDS / IPS basato sull'host fallisce? Cosa succede se esiste una vulnerabilità nell'agente IDS / IPS basato sull'host stesso? Scuotere gli strumenti di sicurezza dal perimetro della rete all'host aiuta a ridurre il rischio di un singolo punto di errore.
Infine, il mercato IDS / IPS continuerà ad evolversi con il mercato o rischia di estinguersi. Ci sono molti venditori che hanno iniziato a prefissare i propri prodotti firewall o IDS / IPS con "next-gen" (cioè il prossimo gen firewall, next gen ids / ips). Inoltre, IDS / IPS è un termine utilizzato per descrivere un insieme di tecnologie e metodi per l'implementazione di un controllo di sicurezza tecnico. Quindi, se il mercato cambia, ci saranno venditori che troveranno soluzioni creative e potranno riutilizzare o creare un nuovo termine per descrivere quel mercato.
Leggi altre domande sui tag encryption network ids