Alternatief ? Beiden dienen gewoon gedaan te worden....

Het een doen en het ander niet laten. Er is niet een betere
of zelfs beste oplossing.
Je kunt het actuele Word-lek bijvoorbeeld wel willen
patchen, maar dan heb je toch een probleem: nog geen patch
beschikbaar.
Dus èn patchen èn firewalling èn opleiden èn...

Juist niet eigenlijk
Dat patchen niet de oplossing is blijkt al door de jaren heen.Het wordt
gewoon eens tijd voor een revolutionare verrandering op het gebied van
IDS en IPS.Met al die technologie die er momenteel beschikbaar is blijft de
mens zich vast houden in standaard rituelen en patronen waardoor
technologie zich niet kan ontplooien en hier helpt patchen niet tegen.Het is
hetzelfde dat een dam die veilig is waarvan iedereen weet dat die ieder
moment kan doorbreken.

Hellaas is het in de praktijk niet altijd mogelijk om systemen up2date te
houden met de laatste patches. Neem bijvoorbeeld medische apparatuur
waarbij allerlei systmeen onderdeel uit maken van bijvoorbeeld een
bestraings apparaat. Medische apparatuur is van alle kanten
gecertificeerd en een wijziging betekent opnieuw certificeren. Dit is niet
alleen kosten aspect maar ook een logistiek probleem wat betreft de
beschikbaarheid. Door IPS toe te passen rondom medische apparatuur
kan de patchfrequentie in ieder geval naar beneden gebracht worden tot
één keer per jaar en kunnen we patiënten toch veilig behandelen.
LvdK

Een IDS biedt geen bescherming, patches wel. Dat is dus duidelijk.

Veronderstellen dat IPS je tegen een 0 days of alle bekende lekken gaat
beschermen is gevaarlijke onzin. De signatures beschermen gewoonlijk
alleen tegen bekende exploits (niet tegen bekende vulnerabilities zoals
veel mensen denken) en ze beschermen totaal niet tijdens de "window"
die bestaat totdat er iemand een signature bedacht en ingezet heeft. IDS
en IPS kosten veel beheer en geld dat je inderdaad beter kan besteden
aan patchen.

IPS gebruiken als "bescherming" voor ongepatche machines is een
belachelijk idee. IPS biedt een heel beperkte bescherming. Een locale
firewall die alle inkomend verkeer tegenhoud zou wel het overwegen
waard zijn.

In het algemeen geldt dat IDS en IPS te duur in onderhoud zijn. Een
kosten/baten analyse zal in 95% van de gevallen in het nadeel van IDS/IPS
uitvallen. Helaas denken veel "security professionals" dat security een doel
is en dat een IDS daar bij hoort. Het doel is echter de organisatie goed te
laten draaien.

Wel eens een goed ingerichte IPS (IDS signaleert allen) gezien?

Lekker patchen dus, en een goede netwerkarchitectuur.

Net of die polymorfe shellcode tegen houden...

Een IDS/IPS is een onderdeel van een scala aan maatregelen
die je kunt nemen om de beveiliging te verbeteren. Puur en
alleen vertrouwen op de technische signatures zonder ook
policy compliancy checks in te bouwen is uiteraard niet de
bedoeling. Je kunt op basis van zowel layer 3 filter
diagrammen alsook op basis van semantische rules correlatie
technieken inbouwen die redelijk geavanceerd zijn.

Combineer dat in de DMZ met desinformatietechnieken op zowel
banner als stack niveau en je stuurt in ieder geval de worms
en scripts de verkeerde weg op.

Wat betreft opmerkingen dat IDS/IPS niet 100% waterdicht is
het volgende. Wie denkt dat er in beveiligingsland zoiets
bestaat als 100 % waterdicht moet zijn schoolgeld terug gaan
halen. Zoiets bestaat namelijk zelfs natuurkundig niet eens.
Zelfs de filosofisch wiskundigen bekvechten nog op het
gebied van predikaten logica over de juiste uitgangsgedachte
c.q. basisprincipe.

Uiteraard is een interessantere discussie het nut van de
inzet van een IDS/IPS in DMZ of LAN. Wie echter in praktijk
ervaring heeft opgedaan met dergelijke produkten weet dat in
veel gevallen een IDS/IPS wel degelijk meerwaarde heeft. Met
name in grote LAN omgevingen waar je geklooi wil detecteren
van allerlei n00bs...

Uiteraard zijn er allerlei IDS evasion technieken te
bedenken waarvoor weer allerlei updates verschijnen... Het
is paardje over waarbij je als organisatie gewoon telkens de
lat wat hoger legt voor de bad guy... Hoe hoog je de lat wil
leggen is geen beslissing die door IT nerds genomen moet
worden maar door de business. Op basis van een goede risico
inschatting. Een chocolade fabriek heeft nou eenmaal niet
hetzelfde risicoprofiel een kernreactor...

My two cents,
Fubar

Vind ik ook.

Ik vraag me nog af hoe die patches op het netwerk komen of deze opgestuurd worden per cd of per internet gedownload worden.Want dan vraag ik me nog af hoe die hier tegen beveiligd zijn.Want hoe weet een bedrijf dat het ook een patch is en geen trojan waarvan een hacker de patch verbinding heeft gehijackt lijkt me toch wel risico gevoelig puntje.

Tja, sommige productie gerelateerde zaken KUN je eenmaal niet
patchen... Processen die 3 maanden lopen, en bij het patchen een scratch
opleveren van 3 miljoen pleuro, dan kan die patch wachten hoor. en als
dan een IPS/IDS met de juiste signatures een vergroting van het
patchwindow oplevert, waarom niet? Mensen, kijk eens verder dan 'ik heb
windows geinstalleerd, dus ik ben super-admin'-omgevingen.

Leuk antwoord!! -M.

Welk proces loopt drie maanden en heeft tegelijkertijd
actieve interactie met andere netwerken nodig? Goede
securityzonering en netwerkopbouw kunnen veel problemen
voorkomen, en daarmee ook de noodzaak om te patchen.

Dankje