ما المقصود بنظام كشف التسلل (IDS)؟

يمكن لنظام كشف التسلل (IDS) أن يُسهم في تسريع وأتمتة عملية اكتشاف التهديدات الشبكية من خلال تنبيه مسؤولي الأمان إلى التهديدات المعروفة أو المحتملة، أو عبر إرسال التنبيهات إلى أداة أمن مركزية. يمكن لأداة أمن مركزية مثل إدارة المعلومات والأحداث الأمنية (SIEM) أن تدمج البيانات من مصادر متعددة، لمساعدة فرق الأمن على تحديد التهديدات الإلكترونية والاستجابة لها، حتى تلك التي قد تتجاوز الإجراءات الأمنية الأخرى.

يمكن لأنظمة كشف التسلل (IDS) أيضًا أن تدعم جهود الامتثال. تفرض بعض اللوائح، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)، على المؤسسات تنفيذ إجراءات كشف التسلل.

لا يمكن لنظام IDS إيقاف التهديدات الأمنية من تلقاء نفسه. اليوم، غالبًا ما تكون قدرات أنظمة كشف التسلل (IDS) مدمجة في أنظمة منع التسلل (IPSs) أو متكاملة معها، وتساعد هذه الأنظمة على كشف التهديدات الأمنية واتخاذ الإجراءات تلقائيًا لمنعها.

يمكن أن تكون أنظمة كشف التسلل (IDSs) تطبيقات برمجية يتم تثبيتها على نقاط النهاية، أو أجهزة مخصصة متصلة بالشبكة. تتوفر بعض حلول كشف التسلل (IDS) على شكل خدمات سحابية. بغض النظر عن شكلها، تستخدم أنظمة كشف التسلل (IDS) إحدى طريقتَي كشف التهديدات الرئيسيتين، أو كلتيهما: الكشف القائم على التوقيع أو الكشف القائم على الحالات الشاذة.

يعمل الكشف القائم على التوقيع على تحليل حزم الشبكة بحثًا عن توقيعات الهجمات أو الخصائص أو السلوكيات الفريدة المرتبطة بتهديد محدد. يُعَد تسلسل التعليمات البرمجية الذي يظهر في متغيّر برنامج ضار معين مثالًا على توقيع الهجوم.

يحتفظ نظام كشف التسلل القائم على التوقيع بقاعدة بيانات تحتوي على توقيعات الهجمات، ويقارن حزم الشبكة بها. إذا تطابقت حزمة مع أحد التوقيعات، يضع نظام كشف التسلل (IDS) علامة عليها كتهديد. ولكي تكون فعَّالة، يجب تحديث قواعد بيانات التوقيعات بانتظام باستخدام استعلامات التهديدات الجديدة مع ظهور هجمات إلكترونية جديدة وتطوُّر الهجمات الحالية. الهجمات الجديدة تمامًا، التي لم يتم تحليلها بعد لتحديد توقيعاتها، يمكن أن تتجاوز نظام كشف التسلل (IDS) القائم على التوقيع.

تستخدِم طرق الكشف القائم على الحالات الشاذة التعلم الآلي لإنشاء نموذج أساسي للنشاط الطبيعي في الشبكة، مع تحسينه بشكل مستمر. بعد ذلك، يقارن النظام نشاط الشبكة بالنموذج المرجعي ويشير إلى الانحرافات، مثل عملية تستخدم عرض نطاق أكبر من المعتاد أو جهاز يفتح منفذًا.

ونظرًا لأنه يُبلغ عن أي سلوك غير طبيعي، يمكن لنظام كشف التسلل القائم على الحالات الشاذة اكتشاف الهجمات الإلكترونية الجديدة التي قد تفلت من الكشف القائم على التوقيعات. على سبيل المثال، يمكن لأنظمة كشف التسلل القائم على الحالات الشاذة اكتشاف حالات الاستغلال دون انتظار (Zero-day)، وهي هجمات تستغل الثغرات البرمجية قبل أن يكون مطوِّر البرنامج على علم بها أو يتمكن من تصحيحها.

لكن أنظمة كشف التسلل القائم على الحالات الشاذة قد تكون أكثر عرضة لإنشاء تنبيهات خاطئة. حتى الأنشطة العادية، مثل وصول مستخدم مصرح له لأول مرة إلى مورد شبكي حساس، قد تؤدي إلى تفعيل نظام كشف التسلل القائم على الحالات الشاذة.

يعمل الكشف القائم على السمعة على حظر حركة المرور القادمة من عناوين IP أو نطاقات مرتبطة بأنشطة خبيثة أو مشبوهة. يركِّز تحليل البروتوكولات القائم على الحالة على سلوك البروتوكول، على سبيل المثال، قد يحدِّد هجومًا موزعًا لحجب الخدمة (DoS) من خلال اكتشاف عنوان IP واحد يُجري العديد من طلبات اتصال TCP المتزامنة في فترة قصيرة.

مهما كانت الطريقة المستخدمة، عند اكتشاف نظام كشف التسلل (IDS) لتهديد محتمل أو انتهاك للسياسات، يعمل على تنبيه فريق الاستجابة للحوادث للتحقق منه. تحتفظ أنظمة كشف التسلل (IDSs) أيضًا بسجلات للحوادث الأمنية، سواء في سجلاتها الخاصة أو عبر توثيقها باستخدام أداة إدارة المعلومات والأحداث الأمنية (SIEM) (انظر القسم أدناه "نظام كشف التسلل وحلول الأمان الأخرى").يمكن استخدام سجلات الحوادث هذه لتحسين معايير نظام كشف التسلل (IDS)، مثل إضافة توقيعات هجمات جديدة أو تحديث نموذج سلوك الشبكة.

يتم تصنيف أنظمة كشف التسلل (IDSs) بناءً على موقعها في النظام ونوع النشاط الذي تراقبه.

تعمل أنظمة كشف التسلل على مستوى الشبكة (NIDSs) على مراقبة حركة المرور الواردة والصادرة إلى الأجهزة عبر الشبكة. يتم وضع NIDS في نقاط استراتيجية بالشبكة، غالبًا مباشرةً خلف جدران الحماية على محيط الشبكة، ليتمكن النظام من اكتشاف أي حركة مرور خبيثة تخترق الدفاعات.

يمكن أيضًا وضع NIDS داخل الشبكة لرصد التهديدات الداخلية أو المتسللين الذين استحوذوا على حسابات المستخدمين. على سبيل المثال، يمكن وضع NIDS خلف كل جدار حماية داخلي في شبكة مقسَّمة لمراقبة حركة المرور بين الشبكات الفرعية.

لتجنُّب إعاقة تدفق حركة المرور الشرعية، غالبًا ما يتم وضع NIDS بشكل "خارج المسار" (Out-of-band)، أي أن حركة المرور لا تمر مباشرةً من خلاله. يحلل نظام NIDS نسخًا من حزم الشبكة بدلًا من الحزم نفسها. بهذه الطريقة، لا يتعيّن على حركة المرور المشروعة انتظار التحليل، ولكن لا يزال بإمكان NIDS التقاط حركة المرور الضارة والإبلاغ عنها.

يتم تثبيت أنظمة كشف التسلل على مستوى المضيف (HIDSs) على نقطة نهاية محددة، مثل الكمبيوتر المحمول أو جهاز التوجيه أو الخادم. يراقب HIDS النشاط على ذلك الجهاز فقط، بما في ذلك حركة المرور الواردة والصادرة منه وإليه. عادةً ما يعمل نظام HIDS عن طريق أخذ لقطات دورية للملفات الحرجة في نظام التشغيل ومقارنتها بمرور الوقت. إذا لاحظ HIDS تغييرًا، مثل تحرير ملفات السجل أو تغيير التكوينات، فإنه ينبِّه فريق الأمان.

غالبًا ما تعمل فرق الأمان على دمج أنظمة كشف التسلل على مستوى الشبكة (NIDS) مع أنظمة كشف التسلل على مستوى المضيف (HIDS). ينظر NIDS إلى حركة المرور بشكل عام، بينما يمكن أن يضيف HIDS حماية إضافية حول الأصول عالية القيمة. يمكن أن يساعد نظام HIDS أيضًا على اكتشاف الأنشطة الضارة من عقدة شبكة مخترقة، مثل برامج الفدية التي تنتشر من جهاز مصاب.

على الرغم من أن NIDS وHIDS هما الأكثر شيوعًا، يمكن لفرق الأمان استخدام أنظمة كشف تسلل أخرى لأغراض متخصصة. يعمل نظام كشف التسلل القائم على بروتوكول التطبيقات (PIDS) على مراقبة بروتوكولات الاتصال بين الخوادم والأجهزة. غالبًا ما يتم وضع PIDS على خوادم الويب لمراقبة اتصالات HTTP وHTTPS.

يعمل نظام كشف التسلل القائم على بروتوكول التطبيقات (APIDS) في طبقة التطبيقات، ويراقب البروتوكولات الخاصة بالتطبيقات. غالبًا ما يتم نشر APIDS بين خادم الويب وقاعدة بيانات SQL للكشف عن عمليات حقن SQL.

بينما تستطيع حلول IDS اكتشاف العديد من التهديدات، يمكن للمتسللين التحايل عليها. يستجيب مزوِّدو حلول IDS من خلال تحديث أنظمتهم لمواجهة هذه الأساليب. ومع ذلك، فإن هذه التحديثات للحلول تُنشئ نوعًا من سباق التسلح، حيث يحاول المتسللون وأنظمة IDS التفوق على بعضهم خطوة بخطوة. 

تتضمن بعض أساليب التحايل على أنظمة كشف التسلل الشائعة ما يلي:

• الهجمات الموزعة لحجب الخدمة (DDoS): إيقاف عمل أنظمة IDS عن طريق إغراقها بحركة مرور خبيثة واضحة من مصادر متعددة. عندما تطغى التهديدات الوهمية على موارد أنظمة IDS، يتسلل المتسللون إلى الداخل.

• التزييف (Spoofing): انتحال عناوين IP وسجلات DNS لجعل حركة المرور تبدو وكأنها صادرة من مصدر موثوق به.

• التجزئة (Fragmentation): تقسيم البرامج الضارة أو الحمولات الضارة إلى حزم صغيرة لإخفاء بصمتها وتجنُّب الكشف. من خلال تأخير الحزم بشكل استراتيجي أو إرسالها خارج الترتيب، يمكن للمتسللين منع IDS من إعادة تجميعها وملاحظة الهجوم.

• التشفير: استخدام بروتوكولات مشفرة لتجاوز IDS إذا لم يكن لدى IDS مفتاح فك التشفير المقابل.

• إرهاق المشغِّل: توليد أعداد كبيرة من تنبيهات IDS عن قصد لتشتيت انتباه فريق الاستجابة للحوادث عن نشاطهم الحقيقي.

لا تُعَد أنظمة IDS أدوات مستقلة. فهي مصممة لتكون جزءًا من نظام أمني متكامل، وغالبًا ما يتم دمجها بشكل وثيق مع واحدة أو أكثر من حلول الأمن التالية.

غالبًا ما يتم تحويل تنبيهات أنظمة IDS إلى نظام SIEM الخاص بالمؤسسة، حيث يمكن دمجها مع التنبيهات والمعلومات من أدوات الأمن الأخرى في لوحة معلومات مركزية واحدة. يُتيح دمج أنظمة IDS مع SIEM لفِرق الأمن تعزيز تنبيهات IDS بمعلومات التهديدات وبيانات الأدوات الأخرى، وتصفيتها من الإنذارات الكاذبة، وترتيب الحوادث حسب الأولوية لمعالجتها.

كما ذُكر أعلاه، يراقب نظام IPS حركة الشبكة للكشف عن النشاط المشبوه مثل IDS، ويعترض التهديدات في الوقت الفعلي من خلال إنهاء الاتصالات تلقائيًا أو تفعيل أدوات أمنية أخرى. نظرًا لأن IPS مصممة لإيقاف الهجمات الإلكترونية، غالبًا ما يتم وضعها في خط الشبكة، ما يعني أن كل حركة المرور يجب أن تمر عبر IPS قبل الوصول إلى بقية الشبكة.

بعض المؤسسات تطبِّق IDS وIPS كحلول منفصلة. وفي كثير من الأحيان، يتم الجمع بين IDS وIPS في نظام واحد للكشف عن التسلل ومنعه (IDPS)، والذي يكتشف التسلل ويسجله وينبّه فرق الأمن ويستجيب له تلقائيًا.

تعمل أنظمة كشف التسلل وجدران الحماية بشكل متكامل. جدران الحماية تواجه الشبكة الخارجية وتعمل كحواجز باستخدام مجموعات قواعد محددة مسبقًا للسماح أو منع حركة المرور. وغالبًا ما يتم وضع أنظمة IDS بالقرب من جدران الحماية للمساعدة على كشف أي شيء يتجاوزها. بعض جدران الحماية، وخاصةً جدران الحماية من الجيل التالي، تحتوي على وظائف IDS وIPS مدمجة.