“Conocimiento Redes>Seguridad de Red

¿Qué eficiencia de detección de intrusos disminuye con el cifrado?

2015/5/18
La eficiencia de detección de intrusos disminuye con el cifrado porque el cifrado oscurece el contenido del tráfico de red. Sistemas de detección de intrusos (IDS) que se basan en la detección basada en la firma o Detección de anomalías basada en el análisis de contenido será significativamente obstaculizado.

Aquí hay un desglose:

* IDS basadas en firmas: Estos sistemas buscan patrones específicos (firmas) de actividades maliciosas conocidas dentro de la carga útil de datos. El cifrado hace que la carga útil sea ilegible, lo que hace imposible que las IDS identifiquen estas firmas. El IDS solo ve el tráfico encriptado, que se ve igual si es benigno o malicioso.

* IDS basados ​​en anomalías (basados ​​en contenido): Estos sistemas crean un perfil del tráfico de red normal y las desviaciones de la bandera como anomalías. Si bien algunas detecciones de anomalías pueden analizar los metadatos del tráfico (como IP de origen/destino, números de puerto, tamaño del paquete), la incapacidad de analizar el contenido encriptado limita severamente la capacidad de detectar anomalías relacionadas con los datos en sí. Por ejemplo, un IDS podría no detectar la exfiltración de datos confidenciales si esos datos están encriptados.

Sin embargo, es importante tener en cuenta que el cifrado no niega completamente todas las capacidades de detección de intrusos. Algunas técnicas siguen siendo efectivas:

* IDS basados ​​en anomalías (basados ​​en metadatos): Estos sistemas aún pueden detectar anomalías basadas en metadatos, como el volumen de tráfico inusual, la frecuencia o los patrones de comunicación, incluso si el contenido está encriptado.

* IDS basadas en red: Estos sistemas analizan el tráfico de red a nivel de paquete. Si bien no pueden inspeccionar la carga útil, pueden identificar patrones sospechosos relacionados con el comportamiento de la red, como las actividades de escaneo o los ataques de denegación de servicio.

* Detección y respuesta de punto final (EDR): Las soluciones EDR funcionan en los puntos finales (computadoras, servidores) y a menudo pueden inspeccionar datos descifrados si las claves de descifrado están disponibles.

En resumen, si bien el cifrado es crucial para la confidencialidad de los datos, presenta un desafío para los sistemas de detección de intrusiones que dependen de la inspección del contenido. Las estrategias de seguridad efectivas deben combinar el cifrado con otras medidas de seguridad, incluidas las robustas soluciones de seguridad de anomalías basadas en metadatos y seguridad de punto final.

Página anterior:
Página siguiente:
Seguridad de Red
Online Privacy Tools
Anomalía - Based Intrusion Detection Network
¿Qué elimina un cortafuegos potente y correctamente configurado?
¿Qué tan bueno es el sistema de seguridad inalámbrica ADT?
¿Cuál es el primer paso en la conciencia de seguridad?
Cómo mostrar qué usuarios tienen acceso a las carpetas compartidas
Confidencialidad integridad disponibilidad ¿Para qué se utilizan?
Cómo habilitar SSL para Tomcat
Los últimos artículos de equipo
Artículos de la popular computadora
Más categorías
Conocimiento de la computadora © http://www.ordenador.online