侵入検知システム(IDS)は、既知の悪意のあるアクティビティ、不審なアクティビティ、またはセキュリティ・ポリシー違反について、ネットワーク・トラフィックやデバイスを監視する ネットワーク・セキュリティ ・ツールです。
IDS は、セキュリティ管理者に既知の脅威または潜在的な脅威を警告したり、データと組み合わせることができるセキュリティ情報およびイベント管理 (SIEM) システムなどの集中セキュリティ ツールにアラートを送信したりすることにより、ネットワーク脅威の検出を加速および自動化するのに役立ちます。他のソースから得た情報を利用して、セキュリティ チームが他のセキュリティ対策がすり抜けてしまう可能性のあるサイバー脅威を特定して対応できるようにします。
IDS は、コンプライアンスの取り組みもサポートできます。 Payment Card Industry Data Security Standard (PCI-DSS) などの特定の規制では、組織に侵入検知対策を実装することが求められています。
IDS は単独でセキュリティの脅威を阻止することはできません。現在、IDS 機能は通常、侵入防御システム (IPS) と統合または組み込まれており、セキュリティ上の脅威を検出し、自動的に防御措置を講じることができます。
IDS は、ネットワークに接続されたエンドポイントまたは専用のハードウェア デバイスにインストールされるソフトウェア アプリケーションです。一部の IDS ソリューションはクラウド サービスとして利用できます。どのような形式であっても、IDS は 2 つの主要な脅威検出方法 (シグネチャ ベースの検出または異常ベースの検出) の一方または両方を使用します。
シグネチャベースの検出は、ネットワークパケットを分析して、攻撃シグネチャ(特定の脅威に関連する固有の特性または行動)がないか調べます。特定のマルウェアの亜種に現れる一連のコードは、攻撃シグネチャの一例です。
シグネチャベースの IDS は、ネットワーク パケットを比較する攻撃シグネチャのデータベースを維持します。パケットがいずれかの署名との一致をトリガーすると、IDS はそれにフラグを立てます。効果を発揮するには、新しいサイバー攻撃が出現し、既存の攻撃が進化するにつれて、シグネチャ データベースを新しい 脅威インテリジェンス で定期的に更新する必要があります。まだシグネチャが分析されていない新しい攻撃は、シグネチャベースの IDS を回避する可能性があります。
異常ベースの検出方法では、 機械学習 を使用して、通常のネットワーク アクティビティのベースライン モデルを作成し、継続的に改良します。次に、ネットワーク アクティビティをモデルと比較し、通常よりも多くの帯域幅を使用しているプロセスや、通常は閉じているポートを開いているデバイスなどの逸脱にフラグを立てます。
異常ベースの IDS は異常な動作を報告するため、シグネチャベースの検出を回避する可能性のあるまったく新しいサイバー攻撃を捕捉できることがよくあります。たとえば、異常ベースの IDS はゼロデイ エクスプロイト、つまりソフトウェア開発者がソフトウェアの脆弱性を知る前に、またはパッチを適用する時間がなくなる前にソフトウェアの脆弱性を悪用する攻撃を捕捉できます。
しかし、異常ベースの IDS は誤検知が発生しやすい可能性もあります。許可されたユーザーが機密性の高いネットワーク リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースの IDS が引き起こされる可能性があります。
レピュテーションベースの検出は 、悪意のある、または疑わしいアクティビティに関連する IP アドレスやドメインからのトラフィックをブロックします。ステートフルプロトコル分析は 、プロトコルの動作に重点を置いています。たとえば、短期間に多数の同時TCP接続要求を行う単一のIPアドレスを検出することで、サービス拒否(DoS)攻撃を特定できます。
どのような方法を使用しても、IDS は潜在的な脅威またはポリシー違反を検出すると、 インシデント対応 チームに調査するよう警告します。IDS はまた、セキュリティ インシデントの記録を、独自のログに記録するか、 セキュリティ情報およびイベント管理 (SIEM) ツールを使用して記録します (下記の「IDS およびその他のセキュリティ ソリューション」を参照)。これらのインシデント ログは、新しい攻撃シグネチャの追加やネットワーク動作モデルの更新などによって、IDS の基準を調整するために使用できます。
IDS は、システム内のどこに配置され、どのようなアクティビティを監視するかに基づいて分類されます。
ネットワーク侵入検知システム (NIDS) は、 ネットワーク上のデバイスへの受信トラフィックと送信トラフィックを監視します。NIDSはネットワークの戦略的なポイントに配置される。 多くの場合、ネットワーク境界のファイアウォールのすぐ後ろに配置され、侵入した悪意のあるトラフィックにフラグを立てることができます。NIDS は、内部脅威やユーザー アカウントをハイジャックしたハッカーを捕捉するためにネットワーク内に配置されることもあります。たとえば、サブネット間を流れるトラフィックを監視するために、セグメント化されたネットワーク内の各内部ファイアウォールの背後に NIDS を配置する場合があります。
正規のトラフィックの流れの妨げを避けるために、NIDS は多くの場合「帯域外」に配置されます。つまり、トラフィックは直接通過しません。NIDS は、パケット自体ではなく、ネットワーク パケットのコピーを分析します。そうすることで、正規のトラフィックは分析を待つ必要がなくなりますが、NIDS は引き続き悪意のあるトラフィックを捕捉してフラグを立てることができます。
ホスト侵入検知システム (HIDS) は、 ラップトップ、ルーター、サーバーなどの特定のエンドポイントにインストールされます。HIDS は、そのデバイスとの間のトラフィックを含む、そのデバイス上のアクティビティのみを監視します。HIDS は通常、重要なオペレーティング システム ファイルのスナップショットを定期的に取得し、これらのスナップショットを経時的に比較することによって機能します。HIDS は、ログ ファイルの編集や構成の変更などの変更を検知すると、セキュリティ チームに警告します。
セキュリティ チームは、多くの場合、ネットワーク ベースの侵入検知システムとホスト ベースの侵入検知システムを組み合わせます。NIDS はトラフィック全体を監視しますが、HIDS は高価値資産の周囲に追加の保護を追加できます。HIDS は、感染したデバイスから拡散する ランサムウェア など、侵害されたネットワーク ノードからの悪意のあるアクティビティを捕捉するのにも役立ちます。
NIDS と HIDS が最も一般的ですが、セキュリティ チームは特殊な目的で他の IDS を使用する場合があります。プロトコルベースの IDS (PIDS) は、 サーバーとデバイス間の接続プロトコルを監視します。PIDS は、HTTP または HTTPS 接続を監視するために Web サーバーに配置されることがよくあります。アプリケーション プロトコル ベースの IDS (APIDS) は アプリケーション層で動作し、アプリケーション固有のプロトコルを監視します。APIDS は、SQL インジェクションを検出するために、Web サーバーと SQL データベースの間に配置されることがよくあります。
IDS ソリューションは多くの脅威を検出できますが、ハッカーはそれらを回避する方法を開発しました。IDS ベンダーは、これらの戦術を考慮してソリューションを更新することで対応します。しかし、これにより、ハッカーと IDS が互いに一歩先を行こうとする、一種の競争が生まれました。
一般的な IDS 回避戦術には次のようなものがあります。
分散型サービス拒否 (DDoS) 攻撃 -複数のソースから明らかに悪意のあるトラフィックを IDS に大量に送り込み、IDS をオフラインにします。IDS のリソースがおとりの脅威によって圧倒されると、ハッカーが忍び込みます。
スプーフィング- IP アドレスと DNS レコードを偽装して、トラフィックが信頼できる送信元から送信されているかのように見せかけます。
断片化- マルウェアやその他の悪意のあるペイロードを小さなパケットに分割し、署名を曖昧にして検出を回避します。ハッカーは、戦略的にパケットを遅らせたり、順序を間違えて送信したりすることで、IDS がパケットを再構築して攻撃に気づくことを防ぐことができます。
暗号化 -使用 IDS に対応する復号キーがない場合に、IDS をバイパスするための暗号化プロトコル。
オペレーターの疲労- インシデント対応チームの実際の活動から注意をそらすために、意図的に大量の IDS アラートを生成します。
IDS はスタンドアロンツールではありません。 これらは総合的なサイバーセキュリティ システムの一部となるように設計されており、多くの場合、次の 1 つ以上のセキュリティ ソリューションと緊密に統合されています。
IDS アラートは多くの場合、組織の SIEM に集められ、そこで他のセキュリティ ツールからのアラートや情報と組み合わせて、単一の一元化されたダッシュボードにすることができます。IDS と SIEM を統合することで、セキュリティ チームは脅威インテリジェンスと他のツールからのデータを使用して IDS アラートを強化し、誤報を除外し、修復のためのインシデントに優先順位を付けることができます。
上で述べたように、IPS は、IDS などの不審なアクティビティがないかネットワーク トラフィックを監視し、接続を自動的に終了したり、他のセキュリティ ツールをトリガーしたりすることで、脅威をリアルタイムで阻止します 。IPS はサイバー攻撃を阻止することを目的としているため、通常はインラインに配置されます。つまり、すべてのトラフィックはネットワークの残りの部分に到達する前に IPS を通過する必要があります。
組織によっては、IDS と IPS を別個のソリューションとして実装しています。多くの場合、IDS と IPS は、侵入を検出し、ログに記録し、セキュリティ チームに警告し、自動的に対応する単一の侵入検知および防御システム (IDPS) に組み合わされます。
IDS とファイアウォールは相補的です。 ファイアウォールはネットワークの外側に面しており、事前定義されたルールセットを使用してトラフィックを許可または禁止するバリアとして機能します。IDS はファイアウォールの近くに設置されることが多く、ファイアウォールをすり抜けてくるものを捕捉するのに役立ちます。一部のファイアウォール、特に次世代ファイアウォールには、IDS および IPS 機能が組み込まれています。
手遅れになる前に、ネットワークに潜む隠れた脅威を見つけ出します。IBM Security QRadar Network Detection and Response (NDR) は、ネットワーク・アクティビティをリアルタイムで分析することで、セキュリティー・チームを支援します。深く幅広い可視性と高品質のデータおよび分析を組み合わせて、実用的な洞察と対応を促進します。
IBM Security のインシデント対応リテーナー・サブスクリプションを利用して、組織が侵害への備えを強化するために必要なセキュリティー保護を入手してください。IRコンサルタントのエリートチームと契約を結べば、信頼できるパートナーが待機し、インシデント対応にかかる時間を短縮し、その影響を最小限に抑え、サイバーセキュリティインシデントが疑われる前に早期復旧を支援します。
ゼロトラスト アプローチにより、ランサムウェアによるビジネス継続の中断を阻止し、攻撃が発生した場合には迅速に復旧します。これにより、ランサムウェアをより迅速に検出して対応し、ランサムウェア攻撃の影響を最小限に抑えることができます。