Intrusion Detection Systemen zijn halfdood
Richard Stiennon van onderzoeksbureau Gartner zorgde in 2003 voor de nodige ophef met het rapport "Intrusion Detection Is Dead - Long Live Intrusion Prevention". Het rapport zorgde vooral in de IDS community voor kwade reacties. Intrusion Detection Systemen zouden volgens de onderzoekers teveel false positives opleveren, onbekende dreigingen niet altijd herkennen en lastig te beheren zijn. Het zou daarom verstandig zijn om geen geld aan IDSs uit te geven, en te wachten tot een betere oplossing.
Zoals firewalls, die "deep-packet inspection" uitvoeren, content scannen en kwaadaardig verkeer blokkeren. Nu is IDS een technologie een geen produkt. Steeds meer oplossingen maken gebruik van IDS features, en bieden zo een gelaagde beveiliging. Totdat aanbieders van Intrusion Detection systemen de eerder beschreven problemen zoals false positives kunnen verhelpen heeft deze oplossing alleen echter geen toekomst. Onze stelling luidt derhalve: Intrusion Detection Systemen zijn halfdood
Net als een firewall/virusscanner dat is. En een goede
security policy.
Ieder onderdeel op zich is halfdood, maar samen vormen ze
een springlevend geheel dat, wanneer het goed onderhouden
wordt, bijna ondoordringbaar is.
detecteren en analyseren...
nodige ophef met het rapport "Intrusion Detection Is Dead - Long Live
Intrusion Prevention".""
Gartner heeft waarschijnlijk minder geld gekregen van IDS fabrikanten dan
van Microsoft. Anders was vast het advies ook bijgesteld. Wachten met
implementatie van iets omdat het nog niet volmaakt is? Dat is net zoiets
als zeggen "ach, de kans dat je een gasexplosie kunt blussen in je huis is
nihil, dus waarom zou je een verbandtrommel in huis hebben?. False
positives is niet erg, dat hebben virusscanners ook (hoe vaak ik niet
krijg "suspicious script" terwijl der niets aan de hand is. Zal ik McAfee maar
van mijn Windows PC verwijderen dan? Nee, natuurlijk niet.
Al met al, het komt van Gartner af, en zolang ze niet gesponsored worden
komt er niets positiefs uit.
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
opgesteld en ingezet worden. Eind jaren '70 was al bekend
dat je het moet toepassen als onderdeel van bredere
beveiliging en als je acceptabel kan garanderen wat het doet
en wat je er mee doet. Beveiliging doe je met
beveiligingsmiddelen, niet met tovermiddelen. Wie echt
veilig wil zijn moet nergens aan beginnen. Dat is pas dood
en veilig zijn.
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
van een active IDS hem graag zien: Detecteren met een IDS,
vervolgens bijvoorbeeld resets sturen om de aanval te
'stoppen'. Een IPS die in-line staat kan zeker werken als
een soort 'ophaalbrug' die alleen 'braaf' verkeer door laat.
IDS is nooit zo populair geworden omdat het vooral effectief
is wanneer er 24/7 aan monitoring wordt gedaan. Om de
meldingen van een ids op waarde te kunnen schatten heb je al
snel een specialist nodig, waardoor het al snel een heel
duur grapje wordt. En doordat het duur wordt is het slechts
bij enkele bedrijven een effectieve maatregel. IPS kan veel
goedkoper zijn, maar is geen volledig vergelijkbare maatregel.
IDS still does very little to protect an enterprise from
attacks. IDS can be used forensically to help understand
what happened after the fact. Many companies have told me
how IDS helped them track down vulnerable servers that were
under attack. But today, vulnerability management, patch
management and intrusion *prevention* are much better
investments for that purpose.
For more thoughts on the future of network security see my
blog postings on Secure Network Fabric at http://www.threatchaos.com
Cheers,
-Richard Stiennon
VP Threat Research
Webroot Software, Inc.
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
ervaring), zal dat vast ook wel gebeuren met IPS'n. en als
dat gebeurt hebben de users op het netwerk veel last ipv de
beheerders die de ids monitoren.
dus is het denk ik handiger dat IDS eindelijk eens wat
"intiligenter" worden voordat IPS gemeengoed kan worden
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
Niet mee eens. Eerst risk management, dan countermeasures
instellen. Die vervolgens naar verloop van tijd auditen.
(kort door de bocht gesproken)
als je links kijkt, zie je rechts niets! (tijdens een audit)
Of je WEET wanneer je moet oversteken of wacht tot het licht op "groen" gaat. (voor een cracker)
Oja, dit is vooral van toepassing op bedrijven met een ICT budget van max. 3500,- euro per jaar. (en er zijn er veel die dat niet eens te besteden hebben)
Waarom?
- Waarom moet ik me beschermen?
- Hoe moeilijk is het?
- Wat en tegen wie?
- Dan, en dan pas... Hoe?
Een goede risico analyse, uitzetten tegen kosten/baten. Dan pas
countermeaures instellen. Inderdaad blijven auditen. Een goed beleid en
degelijke processen (met security in je achterhoofd) zijn de sleutel.
Joep Gommers
Of half levend....
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
Niet mee eens. Eerst risk management, dan countermeasures
instellen. Die vervolgens naar verloop van tijd auditen.
(kort door de bocht gesproken)
Do, Plan, Check, Act
Deze cyclus kan helpen niet alleen op incidenten te reageren, maar ook
het gehele proces te verbeteren.
oplossinge bestaan die middels PKI achtige oplossingen de te
executen code kunnen valideren zal er geen noodzaak meer
zijn voor IDS/IPS/Virusscan of andere soortige beveiliging.
Mits onderliggende software geen hiaten kent uiteraard.
uiteraard.
IDS/IPS/anti-virus 'nodig' blijven houden..
ophaalbrug!
snelle preventieve middelen tegen verder ongewenst gebruik.
Slotgracht en ophaalbrug worden mogelijk in werking gesteld
nadat een audit is gedaan.
van een active IDS hem graag zien: Detecteren met een IDS,
vervolgens bijvoorbeeld resets sturen om de aanval te
'stoppen'. Een IPS die in-line staat kan zeker werken als
een soort 'ophaalbrug' die alleen 'braaf' verkeer door laat.
IDS is nooit zo populair geworden omdat het vooral effectief
is wanneer er 24/7 aan monitoring wordt gedaan. Om de
meldingen van een ids op waarde te kunnen schatten heb je al
snel een specialist nodig, waardoor het al snel een heel
duur grapje wordt. En doordat het duur wordt is het slechts
bij enkele bedrijven een effectieve maatregel. IPS kan veel
goedkoper zijn, maar is geen volledig vergelijkbare
maatregel.
So you need 1/3 protection (incl. patch and vulnerability
management), 1/3 detection (call it IDS if you want) and 1/3
reaction capabilities (don't call that IPS, its much more
including procedures, press, forensics, legal, etc.). All
three must be in balance with each other and 24x7.
Outsourcing to specialists is therefore often the only
course of action. So IDS is at least 1/3 alive. Add a bit of
IPS if an automated fast response is required.
So I don't agree with Richard Stiennon that investing in
patch and vulnerability management etc. is a better
solution. But I agree that is you have a limited budget you
must invest in patch and vulnerability management first!
24x7 monitoring services is a really good investment but it
requires the right budget and a mature security incident
response team and porcedures.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.