“Conocimiento Redes>Seguridad de Red

¿Qué eficiencia de detección de intrusos disminuye con el cifrado?

2016/3/29
El cifrado dificulta significativamente los sistemas de detección de intrusos (ID) que dependen de inspeccionar el contenido del tráfico de red . Aquí hay un desglose de por qué y las áreas específicas afectadas:

* Detección basada en la firma:

* Este método se basa en reconocer patrones o firmas conocidos dentro de los paquetes de red. Si el contenido está encriptado, las firmas están ocultas, lo que hace que este enfoque sea ineficaz.

* Por ejemplo, un IDS podría detectar una cadena específica que se sabe que es parte de un ejecutable de malware. Si ese ejecutable se transmite a través de una conexión cifrada (https, ssh, vpn), los ID no verán la cadena y, por lo tanto, no activarán una alerta.

* Análisis de protocolo:

* Muchos protocolos (por ejemplo, HTTP, SMTP, FTP) tienen estructuras y comandos específicos que un IDS puede analizar para anomalías. El cifrado oscurece estas estructuras, lo que hace que el análisis de protocolo sea difícil o imposible.

* Incluso si la conexión en sí está encriptada, los metadatos dentro del protocolo podrían proporcionar pistas sobre el tipo de tráfico. Por ejemplo, la indicación del nombre del servidor (SNI) puede revelar el nombre de host que se accede a través de HTTPS. SNI cifrado (ESNI) y el cliente cifrado Hello (ECH) tiene como objetivo cifrar estos metadatos, lo que obstaculiza aún más la detección.

* Detección de anomalías:

* Si bien la detección de anomalías aún puede funcionar con el tráfico encriptado, su efectividad se reduce.

* Si el IDS está capacitado en datos no cifrados, no sabrá cómo se ve "normal" dentro de la transmisión cifrada. Puede detectar patrones de tráfico inusuales basados ​​en el tamaño, el tiempo o la frecuencia del paquete, pero no podrá identificar el contenido específico que causa la anomalía. Este mayor riesgo de falsos positivos y falsos negativos.

Áreas específicas donde disminuye la eficiencia:

* Detección de descargas de malware: Los sistemas IDS que buscan archivos ejecutables o scripts maliciosos que se descargan a través de HTTP/FTP serán ciegos si el tráfico está encriptado.

* Identificación de la exfiltración de datos: Si los datos confidenciales se encriptan antes de ser enviados fuera de la red, las ID no pueden detectarlos en función del contenido de los datos.

* Reconociendo comandos maliciosos: Si un atacante está utilizando un canal cifrado (por ejemplo, SSH) para emitir comandos a una máquina comprometida, las IDS no podrán ver los comandos ellos mismos.

* Monitoreo de ataques de aplicaciones web: Los ataques comunes de aplicaciones web (por ejemplo, inyección de SQL, secuencias de comandos de sitios cruzados) a menudo se transmiten dentro del cuerpo de la solicitud HTTP. Si se usa HTTPS, las ID no pueden inspeccionar el cuerpo de solicitud.

Qué todavía funciona (hasta cierto punto) con cifrado:

* Análisis de tráfico de red (metadatos): Incluso con el cifrado, un IDS aún puede analizar metadatos como:

* Direcciones y puertos IP

* Tamaño y frecuencia del paquete

* Tiempo de conexiones

* Información del certificado TLS/SSL (SNI, emisor, etc.)

* Duración de conexión

* Bytes transferidos

* Cadenas de agentes de usuario (aunque estas pueden ser falsificadas)

* JA3/S Firmas

* Suites de cifrado utilizadas

Estos metadatos se pueden usar para detectar patrones de comunicación sospechosos, incluso si el contenido está oculto. Por ejemplo, un aumento repentino en el tráfico a una dirección IP maliciosa conocida o un uso inusual de certificados puede ser banderas para una mayor investigación.

* Detección y respuesta de punto final (EDR): Las soluciones EDR funcionan en las computadoras individuales dentro de la red, por lo que no se ven tan afectadas por el cifrado. Pueden monitorear procesos, actividad del sistema de archivos y cambios de registro para detectar el comportamiento malicioso, incluso si el tráfico de la red está encriptado.

* Análisis de comportamiento: Esto implica analizar el comportamiento de los usuarios y la entidad dentro de la red para identificar desviaciones de los patrones normales. Esto puede ser efectivo incluso con el cifrado, ya que se centra en el "quién", "qué", "dónde" y "cuándo" de actividad en lugar de "cómo".

En resumen:

El cifrado reduce la capacidad de los sistemas tradicionales de detección de intrusos para inspeccionar el contenido del tráfico de red, lo que dificulta la detección de ataques basados ​​en firmas, anomalías de protocolo y tipos específicos de exfiltración de datos. Los sistemas IDS deben adaptarse al enfocarse en el análisis de metadatos, el análisis de comportamiento e integración con las soluciones de detección y respuesta de punto final para mantener la efectividad en entornos cifrados. El aumento del cliente cifrado Hello (ECH) y otras tecnologías de mejora de la privacidad requieren aún más enfoques innovadores para el monitoreo de la seguridad de las redes.

Página anterior:
Página siguiente:
Seguridad de Red
¿Cómo se convierte HTTPS en un protocolo seguro?
¿Cómo puede influir un administrador de red qué interruptor STP se convierte en el puente raíz?
¿Cómo se compara la seguridad de Internet de CA con Norton?
Cómo encontrar mi CIFS
Zero Protocolo Conocimiento
¿Medidas que protegen y defienden los sistemas de información al garantizar su confidencialidad de la autenticación de la integridad de la disponibilidad.
¿Qué es la seguridad de los datos?
¿La seguridad de la tendencia es más barata que Norton es más barata que Norton?
Los últimos artículos de equipo
Artículos de la popular computadora
Más categorías
Conocimiento de la computadora © http://www.ordenador.online