Anomaly detection is hard op weg om te integreren in IDS, kunnen we nog veel van verwachten. Onbekende materie? Lees dan The State of Anomaly Detection door Matthew Tanase.

Het betreft dus een alarm voor vreemd systeemgedrag. In plaats van detectie op basis van een vaste set aan regels of filters (IDS) detecteert ADS op basis van afwijkingen van een norm van normale activiteit. Aha, denkt u, het gaat nog 20 jaar duren voordat ADS op enige schaal toegepast wordt. Fout, althans deels. Energiebedrijven en bijvoorbeeld de Belastingdienst experimenteren er al heel lang mee.
ADS binnen informatiebeveiliging is inderdaad wel bijzonder gecompliceerd. Dit geldt eigenlijk voor alle ICT systemen die enorme hoeveelheden data produceren. Er zijn simpelweg te weinig mensen in staat om IDS en ADS type gegevens correct te interpreteren, laat staan dat ze er tijd voor hebben. Vraag maar eens aan uw beheerorganisatie of deze de logs van de kritische systemen of de corporate firewall daadwerkelijk begrijpt, weinig kans. Dus IDS en ADS zijn niet levensvatbaar? Tuurlijk wel, echter voorlopig alleen binnen grotere organisaties met voldoende middelen om deze technologie te beheersen en beheren binnen een steeds dynamischer wordend LAN/WAN.
Hoe moeten we dan wel verder? Lastige vraag waarop ik (nu) nog geen goed antwoord heb. Laten we maar eens beginnen met de focus te verleggen van technologie naar de mens. Je zult zien dat binnen een organiatie met tevreden werknemers veel minder incidenten plaatsvinden. Je zou dus kunnen pleiten voor een UPDS, Unhappy People Detection System!