SIBER GÜVENLIK - Mayıs 26, 2023
Saldırı Tespit Sistemleri ( IDS ) ve Saldırı Önleme Sistemleri ( IPS ), ağ yöneticilerinin siber saldırıları belirlemek için kullandığı iki araçtır. IDS ve IPS araçlarının her ikisi de çevrimiçi tehditleri keşfetmek için kullanılır, ancak nasıl çalıştıkları ve ne yaptıkları arasında belirgin bir fark vardır.
IDS saldırı tespit sistemi olarak adlandırılan temelde ve bir ağı izleyip güvenlik açıkları ve saldırıları tespit etmek üzere kurgulanmış yazılım veya donanım şeklinde çalışan siber güvenlik sistemidir. IPS sistemi ile kombine bir şekilde veya ayrı olacak şekilde kurgulanabilir. Her iki sistemde güvenlik duvarının arkasında kurgulanmaktadır.
IDS sisteminin bir yazılım veya kişiden kaynaklanan saldırıları tespit etmek, bunları rapor etmek, gelecekte kanıt oluşturacak şekilde kaydetmek, zarar görmüş sistemleri karantinaya almak gibi işlevleri vardır. Bunun yanında mevcut saldırıları ve saldırı modellerini kaydederek gelecekteki saldırıların tespitini kolaylaştırmaya çalışır.
Bir ağ üzerindeki normal çalışma sisteminin dışında gerçekleşen anormal durumları izlemek üzerine kurulmuştur. Önceden belirlenmiş bir davranış modeli olmasa bile sistemde normal olarak değerlendirilmiş hareketler haricindeki olayları anormal diye nitelendirir. Yanlış negatif alarm verme durumu oldukça fazla olsa da tanımlanmamış saldırıları yakalamanın önemli bir yoludur.
İmza bazlı yani daha önceden bilinen ve belirtilmiş kurallar ve davranışlar çerçevesinde çalışan saldırı önleme sistemidir. Olumsuz yanı ise daha önceden belirlenmemiş saldırı modellerini yakalayamamasıdır.
RFC’ler telefondan tanımlanan protokol ihlallerini taramak üzere kurulmuş bir sistemdir. Protokollerin iyi tanımlanması durumunda güvenli bir çalışma ortamı sağlarlar.
İnternet bağlantılı noktalarında ki veri akışlarını ve paketlerini inceleyen bir analiz sistemidir. Hedef ve kaynak arasındaki bağlantı noktalarını ilişkilendirerek tarama yapar. Klasik bağlantı noktaları dışında gerçekleşen saldırıları tespit etmekte zorlanabilir.
Sistem kaynaklarını yoğun bir şekilde tüketen Bir analiz modeli olması haricinde sezgisel çalışan bir saldırı önleme sistemidir. İmzanın tetiklenir tetiklenmeyeceğini sezgisel olarak belirler.
– Güvenlik tehditlerini tespit eder: IDS, ağdaki trafiği izleyerek tehditleri tespit edip önceden önlem alınmasını sağlar.
– Güvenlik zafiyetlerini tespit eder: IDS, ağdaki bilgisayar sistemlerinin güvenlik açıklarını belirleyerek bunların giderilmesini sağlar.
– Veri kaybını önler: IDS, ağdaki veri sızıntılarını tespit ederek veri kaybını önlemeye yardımcı olur.
– Ağ performansını artırır: IDS, ağdaki gereksiz trafiği filtreleyerek ağ performansını artırır.
– Mevzuat uyumunu sağlar: ISO 27001 gibi standartlar ve 5651 gibi yasalar, ağlarda güvenlik önlemleri alınmasını gerektirir. IDS, bu kurallara uyum sağlamayı kolaylaştırır.
Olmaması Gereken (False Positive) Tespit: Eğer IDS kurallarınızda neyin kötü niyetli bir etkinlik olacağı konusunda detaylı bir kurguya sahip değilse normal bir trafiği saldırı olarak algılayabilir.
Olması Gereken (False Negative) Tespit: Yeni ve karmaşık saldırı teknikleriyle karşı karşıya kalındığında IDS bazen bu saldırıları tespit edemeyebilir. Bu nedenle IDS çözümlerinin ve kurguların düzenli olarak güncelleştirilmesi önemlidir.
IDS çözümlerinizi tercih ederken yeni tehditleri öğrenebilme ve kötü niyetli bağlantıları hızlı bir şekilde tespit edilebilme yeteneğine sahip olmasına dikkat etmenizi öneririz.
IPS (saldırı tespit önleme sistemi veya IDPS olarak da bilinir), açıklardan yararlanmaları algılamak ve bunlara yanıt vermek için ağ trafiği içeriğini analiz eden bir yazılım platformudur.
Günümüzde IPS çözümlerin büyük çoğunluğu IDS yeteneğine de sahip olduğu için, artık hemen hemen tüm IPS çözümlerinde IDS kurallar ve saldırı/zafiyet tespit imkanı da mevcuttur.
Firewall üzerinden port erişim kısıtlamaları, antivirüs programı kullanımı gibi geleneksel güvenlik önlemleri gerçek zamanlı koruma için yetersiz gelebilir. Türkçe karşılığı “Saldırı Önleme Sistemi” olan IPS, bu önlemlere ek olarak içinde gömülü IDS kuralları ile zararlı trafik yaratan kaynakları tespit ederek, ağa erişimini engelleyebilir. Bu engellemeler, terspit edilen anlık bağlantının ve paketlerin drop edilmesi, belli süreli (örn 16 gün) erişim engelleme veya kalıcı bloke (permanent ban) uygulamaları olabilir.
Network bazlı saldırı önleme sistemi NIPS tüm ağ üzerinde meydana gelen şüpheli hareketleri tespit edip önlemek üzerine kullanılan saldırı önlemi sistemidir.
Kablosuz ağa saldırı önleme sistemi WIPS, kablosuz ağ protokolü izlenerek şüpheli hareketleri tespit etmek üzere kurulmuş saldırı önleme sistemidir.
Ana makine üzerine yoğunlaşan saldırıları önlemek için kurulmuş bir sistemdir. Temel olarak ana makine koruma altına alınır.
Normalde ağlar standart bazı davranışlar ile kullanılır. Bu standartların dışındaki hareketler şüphe ile yaklaşılması gereken hareketlerdir. Ağ üzerindeki hareketleri izleyerek, anormal durumların analiz edilmesi ve bu sayede saldırıların önceden tespit edilmesi için kurulmuş bir sistemdir.
Kesintisiz koruma sağlar: Ağ trafiğini sürekli izleyerek potansiyel tehditleri analiz eder ve müdahale eder. Bu sayede ağ bağlantılarında kesinti yaşanma riski en aza indirgenir.
Hızlı müdahale eder: Tehditleri anlık olarak tespit eder ve anında müdahale eder.
Ağ güvenliğinde önemli bir rol oynar: Ağda yaşanabilecek çoğu tehdit IPS tarafından tespit ederek önleyebilir. Bu sayede ağ içerisinde yaşanabilecek riskler en aza indirgenir.
Özelleştirme yapılabilir: Network altyapınıza özel güvenlik politikaları kurulabilir.
Operasyon zamanı ve maliyetlerinde tasarruf sağlar: Ağda yaşanabilecek tehditleri hızlı bir şekilde tespit ederek çözümleyebildiği için hem zaman hem de IT operasyon maliyetlerinde tasarruf sağlar.
Mevzuat uyumunu sağlar: IDS gibi ağ güvenliğine ihtiyaç duyan IPS’de ISO, PCI DSS gibi standartlara ve 5651 sayılı kanun gibi mevzuatlara uygundur.
Performans Sorunları: Eğer yüksek bant genişliğine sahipseniz, cihazınızın veya yazılımınızın ihtiyaç duyacağı kaynaklar da artacaktır. Bu da çözümdeki maliyetinizi artırır.
Olmaması Gereken (False Positive) ve Olması Gereken (False Negative) Tespit: Hatalı tespitler en büyük engel sayılabilir. Bu nedenle IPS yapısını kurarken uzman desteği alarak detaylı kurgulanması gerekir.
İLGİLİ HABER
Doxing Nedir, Nasıl Korunabiliriz?İncele