ขีดความสามารถของ IDS
IDS เป็นเครื่องมือหนึ่งที่ต้องมีในระบบการรักษาความปลอดภัยของเครือข่ายแต่ก็มีขีดความสามารถที่จำกัด และต้องมีการวางแผนความปลอดดภัยให้กับเครือข่าย ต้องรู้จักและเข้าใจว่ามีหน้าที่อะไรและสามารถทำอะไร บางสถานการณ์อาจต้องใช้เครื่องมือช่วยให้เป็นไปตามหลักการป้องกันเชิงลึก IDS สามารถทำหน้าที่ได้ดีดังนี้
- มอนิเตอร์และวิเคราะห์เหตุการณ์ที่เกิดขึ้นในระบบและพฤติกรรมของผู้ใช้
- ทดสอบระดับความปลอดภัยของระบบ
- บอกถึงระดับมาตรฐานความปลอดภัยของระบบ และเฝ้าติดตามการเปลี่ยนแปลงจากระดับดังกล่าว
- เรียนรู้ลำดับเหตุการณ์ของระบบที่เกิดจากการโจมตีที่รู้ล่วงหน้า
- เรียนรู้ลำดับเหตุการณ์ของระบบที่แตกต่างจากเหตุการณ์ปกติ
- จัดการข้อมูลเกี่ยวกับอีเวนต์ล็อกและออดิทล็อก ของระบบปฏิบัติการ
- รายงานข้อมูลเกี่ยวกับนโยบายการรักษาความปลอดภัยพื้นฐาน
- อนุญาตให้ผู้ที่ยังไม่มีความชำนาญทางด้านการรักษาความปลอดภัย สามารถมอนิเตอร์ความปลอดภัยได้
สินค้าแนะนำ : รั้วไฟฟ้า กล้องวงจรปิด สัญญาณกันขโมยไร้สาย
IDS ไม่สามารถทำหน้าที่ต่อไปนี้ได้
- ไม่สามารถปิดช่องโหว่ หรือจุดอ่อนของระบบที่ไม่ได้ป้องกันโดยระบบการรักษาความปลอดภัยอื่น เช่น ไฟร์วอลล์ การพิสูจน์ทราบตัวตน การเข้ารหัสข้อมูล การควบคุมการเข้าถึง และการป้องกันไวรัส เป็นต้น
- ไม่สามารถตรวจจับ รายงาน และตอบโต้การโจมตีได้ในช่วงเวลาที่มีการใช้เครือข่ายอย่างหนาแน่น หรือโหลดของเครือข่ายมากเกินไป
- ไม่สามารถตรวจจับการโจมตีแบบใหม่ หรือการโจมตีเก่าที่ได้ปรับเปลี่ยนรูปแบบการโจมตี
- ไม่สามารถตอบโต้การโจมตีได้อย่างมีประสิทธิภาพต่อผู้บุกรุกที่มีความชำนาญสูง
- ไม่สามารถสืบหาผู้บุกรุกได้โดยอัตโนมัติ การสืบหาผู้บุกรุกนั้นต้องอาศัยคนช่วยในการวิเคราะห์เพื่อสืบสวนเรื่องราว
- ไม่สามารถขัดขวางไม่ให้โจมตี IDS เอง
- ไม่สามารถป้องกันปัญหาเกี่ยวกับความถูกต้องของแหล่งข้อมูล
- ไม่สามารถทำงานได้ดีในระบบเครือข่ายที่ใช้สวิตช์
ประเภทของ IDS
IDS แบ่งออกเป็น2 ประเภท โฮสต์เบสไอดีเอส คือ ระบบที่ติดตั้งที่โฮสต์และเฝ้าระวังและตรวจจับความพยายามที่จะบุกรุกโฮสต์
ส่วนเน็ตเวิร์คเบสไอดีเอส คือ ระบบที่ตรวจดูแพ็กเก็ตที่วิ่งอยู่ในเครือข่าย และแจ้งเตือนถ้าพบหลักฐานที่คาดว่าจะเป็นการบุกรุกเครือข่าย
Host-Based IDS
ซอฟต์แวร์ที่รันบนโฮสต์ โดยปกติจะวิเคราะห์ล็อกเพื่อค้นหาข้อมูลเกี่ยวกับการบุกรุก ในระบบยูนิกซ์นั้นล็อกที่ IDS จะตรวจสอบ
ส่วนในวินโดวส์นั้นก็จะตรวจสอบอีเวนต์ล็อกต่าง ๆ IDS จะอ่านเหตุการณ์ใหม่ที่เกิดขึ้นในล็อกและเปรียบเทียบกับกฎที่ตั้งไว้ก่อนหน้า
ถ้าตรงก็จะแจ้งเตือนทันที จะตรวจจับการบุกรุกได้ระบบจะต้องบันทึกเหตุการณ์ต่าง ๆ ที่สำคัญเกิดขึ้นกับระบบในล็อกไฟล์ ถ้า IDS
ไม่มีข้อมูลที่จะใช้วิเคราะห์ว่ามีการบุกรุกหรือไม่ และยังสามารถตรวจสอบการแก้ไขไฟล์ในระบบได้ด้วย อาจทำได้โดยการตรวจสอบวันที่ที่แก้ไขครั้งสุดท้ายและขนาดของไฟล์
ข้อดีของโฮสต์เบสไอดีเอส มีดังนี้
- โฮสต์เบสไอดีเอสสามารถตรวจพบทุกการบุกรุกกับโฮสต์นั้น ๆ ได้เสมอถ้าระบบสามารถบันทึกเหตุการณ์ในล็อกได้ หรือการบุกรุกมีการเรียกหรือใช้ซิสเต็มคอล
- โฮสต์เบสไอดีเอสสามารถบอกได้ว่าการบุกรุกนั้นสำเร็จหรือไม่ โดยการวิเคราะห์ข้อความในล็อกหรือจากหลักฐานอื่น ๆ เมื่อมีการแก้ไขไฟล์ที่สำคัญของระบบ เป็นต้น
- โฮสต์เบสไอดีเอสสามารถระบุได้ว่ามีการเข้าใช้งานระบบอย่างผิดปกติโดยผู้ใช้ของระบบเอง
ข้อเสียของโฮสต์เบสไอดีเอส
- โพรเซสของไอดีเอสอาจถูกโจมตีเองจนอาจไม่สามารถแจ้งเตือนได้
- โฮสต์เบสไอดีเอสจะแจ้งเตือน ก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ก่อนหน้า ถ้าแฮคเกอร์มีเทคนิคใหม่ ๆ ไอดีเอสอาจไม่แจ้งเตือนการบุกรุกก็ได้
- การทำงานของโฮสต์เบสไอดีเอสมีผลกระทบต่อประสิทธิภาพของโฮสต์เอง เนื่องจากต้องตรวจสอบล็อคไฟล์และซิสเต็มคอล
สนใจติดตั้งกล้องวงจรปิด >>> บริษัท มีเดีย เสิร์ซ จำกัด โทร. 02-8883507-8, 081-700-4715