侵入検知システム（IDS / IPS）をお勧めしますが、その価値はありますか？

一つの考え;あなたは「彼らはそれだけの価値があるのか​​」と尋ねます。技術的ではない答えを出すのは嫌いですが、組織が規制機関に何らかの規制などに準拠していることを示すIDSが必要な場合は、テクノロジーの観点からデバイスが提供しないことがわかってもあなたがあなたが望むもの、彼らはあなたがコンプライアンスを守っていれば、彼らは本質的に「それに値する」かもしれません。

「良いかどうかは関係ない」とは言っていません。明らかに、良い仕事をするものはそうでないものよりも好まれます。しかし、規制に準拠すること自体が目標です。

侵入検知システムは非常に貴重なツールですが、適切に使用する必要があります。 NIDSをアラートベースのシステムとして扱い、アラートが終了すると、イライラします（OK、アラートXが生成されましたが、どうすればよいですか？）。

NDS（アラートシステム）とセッションデータおよびコンテンツデータを混合するNSM（ネットワークセキュリティモニタリング）アプローチを検討することをお勧めします。これにより、アラートを適切に調査し、IDSシステムをより適切に調整できます。

*リンクできないので、taosecurityまたはNSMをググってください

ネットワークベースの情報に加えて、HIDS + LIDS（ログベースの侵入検知）を組み合わせると、何が起こっているのかが明確にわかります。

**さらに、これらのツールは攻撃からユーザーを保護するためのものではなく、適切なインシデント対応が取れるように防犯カメラ（物理的な比較）として機能することを忘れないでください。

優れたIDSを使用するには、複数のソースが必要です。 IDSが同じ攻撃に対して複数のソースからの複数のアラートを持っている場合、標準のアラートよりもはるかに多くの意味を持つアラートを起動できます。

OSSECなどのHIDS（ホストIDS）とSnortなどのNIDS（ネットワークIDS）からの出力を関連付ける必要があるのはこのためです。これは、たとえば Prelude を使用して実行できます。 Preludeはアラートを集約して相互に関連付け、より多くの意味を持つ実際のセキュリティ警告を生成できるようにします。たとえば、ネットワーク攻撃がある場合、それがネットワーク攻撃のままである場合、それはおそらくそれほど悪いことではありませんが、ホスト攻撃になる場合、重要度の高い適切なアラートをトリガーします。

私の意見では、既製のIDS/IPSはそれだけの価値はありませんそれ以外の場合あなたはネットワーク上で見られるべきすべてのアクティビティの正確な性質を知っています。ばかげたユーザーの動作や誤動作（正当な）アプリケーションの例外を作成することに頭を悩ませることができます。高度にロックダウンされていないネットワークでは、私が使用したどのシステムでもノイズが圧倒的であることがわかりました。そのため、最終的にはバックボーンを単一のLinuxマシンにパイプし、カスタムのCコードを実行しました。この1つのコードは、私たちが知っていたすべての奇妙な点をカプセル化したもので、それ以外は疑わしいものでした。

doが高度にロックダウンされたネットワークを使用している場合、最適なシステムは境界デバイスと何らかの統合が行われるため、完全にポリシーが一致します。

それが機能しているかどうかを知る限り、最善の方法は定期的にいくつかの攻撃を実行することです。

実際のメリットを確認するには、IDS/IPSシステムを環境に合わせてカスタム調整する必要があると思います。それ以外の場合は、誤検知が殺到します。しかし、IDS/IPSは、適切なファイアウォールとサーバーの強化を置き換えることはありません。

私たちはFortigateユニットを使用しており、私はこの1年間働いており、本当に満足しています。 IDS/IPS以外にも多くの機能を備えているため、探しているものとは正確には一致しない場合がありますが、一見の価値があります。

IDS/IPSルールは自動的に更新される（デフォルト）か、手動で更新できます。 IDS/IPSルールはウェブインターフェースを介してかなり管理しやすいことがわかりました。管理が容易になるのは、保護を保護プロファイルに分割し、それをファイアウォールのルールに割り当てることが原因だと思います。したがって、ネットワーク上のすべてのパケットのすべてのルールを確認するのではなく、より集中した保護とアラートを取得できます。

私たちの組織では、商用システムとオープンシステムの組み合わせを含め、現在いくつかのIDSを導入しています。これは、一部には、大学で発生する歴史的な考慮事項のタイプ、およびパフォーマンス上の理由によるものです。そうは言っても、私はSnortについて少しお話します。

私はしばらくの間、全社規模のsnortセンサーのディスチャージを展開しています。これは現在、小さめのサイズの配列（<10だと思います）で、数十に到達する範囲です。このプロセスを通して私が学んだことは非常に貴重です。主に、通過するアラートの数と、この多くの高度に分散されたノードの両方を管理する手法を使用します。 MRTGをガイドとして使用して、平均5Mbpsから最大96MBpsまでのセンサーがあります。この回答では、IDPではなくIDSについて話していることに注意してください。

主な調査結果は次のとおりです。

1. Snortは非常にフル機能のIDSであり、easylyは独自のw.r.tを保持します。機能がはるかに大きく、名前のないネットワークアプライアンスベンダーに設定されています。
2. 最も興味深いアラートは Emerging Threats プロジェクトからのものです。
3. WSUSは、主にsfPortscanプリプロセッサからの、愚かな大量の誤検知を引き起こします。
4. 2/3を超えるセンサーには、適切な構成とパッチ管理システムが必要です。
5. 積極的なチューニングが実行されるまで、very多数の誤検知が発生することが予想されます。
6. BASEは多数のアラートに対応できず、snortにはアラート管理システムが組み込まれていません。

いびきをかくために、私はジュニパーとシスコを含む多くのシステムで5に気づきました。また、SnortをTippingPointよりも簡単にインストールおよび構成できる方法についても説明しましたが、その製品を使用したことはありません。

全体として、私はSnortにとても満足しています。私はほとんどのルールをオンにし、何千ものルールを調べてどのルールをオンにするかを決定するのではなく、チューニングに時間をかけることを主に好みました。これにより、チューニングにかかる​​時間が少し長くなりましたが、最初から計画しました。また、このプロジェクトが急増しているため、SEIMの購入も行ったため、2つの調整が容易になりました。そのため、チューニングプロセス中に適切なログの相関と集計を活用することができました。そのような製品がない場合は、エクスペリエンスのチューニングが異なる場合があります。

侵入検知システムは、単なるNIDS（ネットワークベースのシステム）ではありません。私の環境では、HIDSの方がはるかに便利です。現在、OSSECを使用しており、ログやファイルなどを監視しています。

したがって、Snortの十分な価値が得られない場合は、別のアプローチを試してください。たぶん、ログ分析のためのApacheまたはossecのmodsecurity。

必要なIDS/IPSに答える前に、セキュリティアーキテクチャについて理解を深めておきたいと思います。ネットワークのルーティングと切り替えに何を使用していますか？セキュリティアーキテクチャには他にどのようなセキュリティ対策がありますか？

軽減しようとしているリスクは何ですか。つまり、どの情報資産がリスクにさらされており、何からのものですか。

あなたの質問はあまりにも一般的すぎて何も与えることができませんが、人々が製品Xについてどう思うか、Xの理由から最高です。

セキュリティはリスク軽減プロセスであり、ITセキュリティソリューションの実装は、特定されたリスクと一致する必要があります。人々が最高の製品であると考えるものに基づいてIDS/IPSをネットワークに投入するだけでは、非生産的であり、時間とお金の無駄になります。

乾杯シェーン

Snortをお勧めします。 Snortは他のほとんどすべてのセキュリティツールでサポートされており、チュートリアルはすぐに利用でき、多くのフロントエンドアプリケーションも同様です。秘密のソースはありません。IDSを他のIDSよりも優れたものにします。パブリックおよびローカルのルールセットがその力を提供します。

しかし、IDS（HIDSまたはNIDS）は、ログとアラートを1時間ごとまたは毎日チェックする意思がない限り、お金の無駄遣いです。偽陽性を取り除き、地域の異常に関する新しいルールを作成するには、時間と人員が必要です。 IDSは、ネットワークのビデオカメラとして最もよく説明されています。誰かがそれを監視し、送信する情報に基づいて行動する権限を持っている必要があります。そうでなければ、それは価値がありません。

結論。ソフトウェアの費用を節約し、オープンソースのIDSを使用します。トレーニングにお金をかけ、優れたセキュリティチームを育成します。

Snortは、レポート用にACID/BASEと組み合わせて、OSS製品としては非常に洗練されています。私は、少なくともあなたの足を濡らすために、それを試みます。

多くの人がsnortを解決策として使用することを知っています。それは良いことです。snortとsguilは、異なるサブネットまたはVLANを監視するための良い組み合わせでもあります。

私たちは現在 StillSecureのStrataguard を使用しています。これは、強化されたGNU/Linuxディストリビューションでのsnort実装です。起動と実行は非常に簡単（snortを単独で実行するよりもはるかに簡単）、低帯域幅環境用の無料バージョン、および非常に直感的で便利なWebインターフェイスがあります。これにより、ルールの更新、調整、変更、および調査がかなり容易になります。

IPS=モードでインストールしてファイアウォールを自動的にロックダウンすることができますが、IDSモードでのみ使用します-中央スイッチのモニターポートにインストールし、2番目にポップしました= NIC管理用であり、トラフィックを精査するのに非常に役立ちます。誤検出（特に事前調整）の数が唯一の欠点ですが、これは機能していることを通知し、インターフェイスによってルールシグネチャの検査、キャプチャされたパケットの検査、およびリンクをたどって脆弱性を調査することは非常に簡単なので、アラートが本当に問題であるかどうかを判断し、必要に応じてアラートまたはルールを調整できます。

Sourcefireには優れたシステムがあり、新しい予期しないトラフィックがシステムから発生し始めたときにそれを発見するのに役立つコンポーネントがあります。 IPSモードではなくIDSモードで実行します。正当なトラフィックがブロックされる可能性がある問題があるため、レポートを監視し、全体的にかなりまともな仕事をしているようです。

人々が侵入検知を求めるとき、私はサーバーIDSを考えます。彼らが一度も何もしなければ、誰がネットワークに侵入するかは問題ではないからです。 [〜＃〜] aide [〜＃〜]のようなIDS は、サーバーのスナップショットハッシュを作成し、特定の期間にディスクで何が変更されたかを正確に確認できるようにします。

一部の人々は、セキュリティ違反の後にすべてのサーバーのイメージを再作成することを好みますが、ほとんどの問題では少しやり過ぎになる可能性があると思います。

率直に言って、オペレーターは誤検知を調整するためにすべての時間を費やすため、IDSは通常、時間の浪費です。システムが片隅に放置されて無視されるのはとても負担になる。

ほとんどの組織は、プローブをネットワークの外側に配置し、何千もの攻撃を目にして驚いています。それは家の外に盗難警報器を置いて、誰かが通り過ぎるたびにそれが鳴るのに驚いているようなものです。

IDSはセキュリティコンサルタントに愛されており、その危険性を示し、監査人はチェックボックスとして扱います。IDSは時間とリソースを完全に浪費するため、他の人には無視されます。

毎日数千の攻撃があることを受け入れ、外部アクセスを設計し、何よりも外部に面するシステムが適切に強化されていることを確認することに費やしたほうがよいでしょう。

デイブ