IPS vagy IDS? Ez itt a kérdés!

Az OT rendszerek biztonsági kérdéseinek előtérbe kerülésével egyre többet találkozunk az IPS és IDS rövidítésekkel. De hogy ezek pontosan mit is jelentenek, az jelenleg - legalábbis tapasztalataink szerint - még rendkívül ködös. Ezért arra gondoltunk, hogy egy kicsit tisztába tesszük, hogy milyen különbségek rejlenek a két hárombetűs technológia között.

A kiberbiztonság az a terület, amelyet az ipar 4.0 térhódításával egyszerűen nem lehet és nem is javasolt figyelmen kívül hagyni. Sőt, inkább úgy fogalmaznék, hogy ez az egyik olyan kérdés,  amivel mindenkinek “kötelező” foglalkoznia. Az informatika területének fejlődésével, az IIoT rendszerek mindennapos használatával ugyanis egyre nagyobb mértékben vagyunk fenyegetettségnek kitéve, éppen ezért előbb vagy utóbb mindenki rákényszerül arra, hogy a kiberbiztonságba beleássa magát. Ha szerencséje van, akkor mindezt még azelőtt teszi mielőtt maga is valamilyen kibertámadást szenvedne el, amely akár több napon keresztül megbéníthatja a termelést, ezzel több milliós károkat okozva.

Szerencsére egyre inkább azt tapasztaljuk, hogy a hazai gyártók valamilyen módon már elkezdtek a kiberbiztonság témával foglalkozni. Egyesek egészen elöl járnak és olyanokkal is találkozunk, akik most teszik meg az első lépéseket ezen az ösvényen. Éppen ezért, a Com-Forth-nál a kezdetektől nagy hangsúlyt fektetünk ezeknek a koncepcióknak és megoldásoknak az érdeklődőkkel való megismertetésére a különböző szakmai konferenciákon, fórumokon stb. keresztül. 

A kiberbiztonság témához tartozó, egyik talán legtöbbet látott és hallott kifejezések, amelyekkel a szakértők sokszor dobálóznak, azok az ún. IPS és IDS megoldások. Alapvetően mind az IDS, mind az IPS célja a szervezetet érő fenyegetések elleni védelem.

Na de mégis mik ezek, és mi a különbség köztük? A tűzfal önmagában nem elég?

Megannyi kérdés merül fel, ezért talán kezdjük ez utóbbival, A tűzfal továbbra is fontos elem, azonban önmagában nem elegendő. Bár nélkülözhetetlen minden vállalati szintű hálózathoz, működésük gyakran kissé merev - különösen, ha az eszköz régebbi. A tűzfalak a bejövő forgalmat számos szempont alapján vizsgálhatják és szűrhetik: portok, protokollok, fejlécek, a csomag forrása-, a rendeltetési helye és így tovább. Bár ezek az ellenőrzések fontosak, a korlátozott hatáskör gyakran nem teszi lehetővé a tűzfalak számára, hogy felismerjék az olyan szofisztikáltabb fenyegetéseket , amilyeneket például egy hackertámadás jelenthet, ahol, bár az adatcsomagok több szempontból is biztonságosnak tűnhetnek, mégis veszélyt jelentenek. Arról nem is beszélve, hogy a tűzfalak csak a bejövő és kimenő, vagyis interfészei között áthaladó forgalommal foglalkoznak, míg az IPS/IDS megoldások a hálózaton belüli mozgás során is képesek azonosítani a problémákat.

Nézzük tehát, hogy mire is jó az IPD/IDS. Még mielőtt nagyon előreszaladnánk a téma boncolgatásában annyit mindenképpen érdemes megjegyezni, hogy ezek a  technológiák több évtizedes múltra tekintenek vissza az IT világban. Bár az évek alatt óriási fejlődésen mentek keresztül, alapvetően még mindig nagyon hasonlítanak az 1986-ban kifejlesztett első prototípushoz (Intrusion Detection Expert System), amely statisztikai anomáliadetektálást, szignatúrákat, valamint a felhasználók és a host rendszerek profiljait használta a káros hálózati viselkedés felderítésére. Az IT  és az OT (operatív technológia) terület - mely korábban két külön világnak számított - utóbbi jóval lassabb fejlődési üteme mellett, . a digitális transzformáció előrehaladtával mára egyre inkább összeolvad. Az IoT és IIoT elterjedése megköveteli az IT és OT rendszerek összekapcsolását, ez pedig magával vonja azt is, hogy az OT-rendszerek mindinkább ki vannak téve a kiberkockázatoknak. Az IT-szférából ismert támadások - mint például a zsarolóvírusok - most már az OT-rendszereket is érinthetik, éppen ezért szükséges ezt a  területet is felvértezni  megfelelő védelmi megoldásokkal.

IDS 

Az IDS az Intrusion Detection System (behatolásérzékelő rendszer) angol szavak rövidítése, és ahogy az a nevéből is következik, az illetéktelen hálózati hozzáférés jelzésére kifejlesztett passzív felügyeleti megoldás, amelynek célja, hogy a vállalatot fenyegető kiberbiztonsági incidenseket észlelje, és potenciális behatolás esetén riassza a biztonságért felelős illetékeseket, hogy azok kivizsgálják az incidenst, és szükség esetén megtehessék a korrekciós intézkedéseket. Az IDS rendszerek monitorozzák és elemzik a hálózati forgalmat olyan mintázatok után kutatva, amelyek kibertámadásra utalnak. Összehasonlítják az aktuális hálózati aktivitást a már ismert fenyegetési adatbázissal, hogy beazonosítsanak többféle viselkedést, például a biztonsági házirendek megsértését, malware-eket, ismert sérülékenységet kihasználó kártékony kódokat vagy akár portscannelést végző programokat. Monitor üzemmódban elővalidációra is használhatók. Ezzel biztosra mehetünk, hogy a beállított szabályok rendben vannak és kiküszöbölhetünk minden helytelen konfigurációt. Ebben az esetben remek visszajelzést adnak anélkül, hogy bármilyen kockázatot jelentenének a gyártósor folyamatos működés szempontjából.

IPS

Az Intrusion Prevention Systems vagy behatolásmegelőző rendszer a hálózatnak a tűzfallal azonos területén, a külvilág és a belső hálózat között helyezkedik el, de használhatók belső zónák vagy cellák kialakításához is. Ezeket a hardvereket gyakorta használják a hálózat szegmentálására, hogy ezzel egy cellákra bontott optimális topológiáthozzanak létre, továbbá alkalmazzák még plusz védelmi vonalként is a kritikus vagy sérülékeny berendezések előtt. Az IDS rendszerekhez hasonlóan az IPS is beazonosítja a potenciális fenyegetéseket szignatúra-, eltérés- vagy hibrid detektálási módszerekkel ezt követően pedig proaktívan blokkolja a hálózati forgalmat.

IPS vs IDS - összehasonlítás

Mind az IDS mind az IPS eszközök végeznek ún. mély-adatcsomag vizsgálatot (Deep Packet Inspection) és összehasonlítják a tartalmakat az ismert fenyegetések adatbázisával, (a már ismert, gyanús vagy kártékony aktivitások mintagyűjteménye). Az elsődleges különbség a két eszköz között az, hogy mi történik ezután. Az IDS-ek alapvetően monitorozó eszközök, így nem tesznek önállóan intézkedéseket. Működésük külső beavatkozást - emberi - kíván meg. Az összehasonlítás eredménye alapján kerül meghatározásra a következő lépés.

Ezzel szemben az IPS eszközök a veszélyes tartalmak blokkolására lettek kifejlesztve. Ehhez mindössze arra van szükség, hogy naprakész fenyegetettségi adatbázis álljon rendelkezésre.

A vállalatok IT/OT üzemeltetéséért felelős munkatársai fokozatosan egyre nagyobb veszéllyel néznek szembe. A hatékony védekezéshez átfogó kiberbiztonsági stratégia kiépítésre van szükség, amelynek sajátos és fontos feladatait látja el az IDS/IPS technológia. 

Az IDS/IPS-rendszerek nagyrészt önműködők, ez pedig ideális jelöltekké teszi őket a jelenlegi biztonsági stackben való használatra. Az IPS biztosítja, hogy a hálózat korlátozott erőforrásigény mellett védve legyen az ismert fenyegetésekkel szemben.

Egyre több gyártónál, így a MOXA-nál is megjelennek az IPS és IDS funkciókat kombináló megoldások, mint például az új generációs EtherCatch és EtherFire, amelyek whitelisting funkciókkal, továbbfejlesztett OT-központú Deep Packet Inspection technológiával növelik az ipari hálózatok biztonságának átláthatóságát és redukálják a sérülékenység mértékét. A virtuális patch-elési technológiának köszönhetően pedig védelmet biztosítanak az elavult, régi operációs rendszereket és szoftvereket futtató ipari berendezéseknek. Az eszközök egyaránt képesek a "Detection" és "Prevention" üzemmódra ezáltal támogatva a különböző OT-forgatókönyveket.

A cikk megjelent a Jövő Gyára oldalán.