IDS – Tutkitko ennen kuin hutkit?

 

 

Aikaisemmassa blogissani perehdyttiin siihen, miten TNNetin IDS-palvelu syntyi ja mistä se sai alkunsa. Tuossa blogissa ei kuitenkaan sen tarkemmin pureuduttu itse IDS-palvelun syviin synteihin, vaan luvattiin jättää teknisempi jargon myöhemmäksi. Tämän blogin tarkoituksena onkin lunastaa annetut lupaukset ja vastata mahdollisesti lukijan päätä askarruttaviin kysymyksiin; ”mikä on IDS, mihin sitä tarvitaan ja ennen kaikkea pitäisikö minulla olla se?”

IDS ja IPS, kumpi on kampi?

Kertauksena, IDS muodostuu sanoista Intrusion Detection System, eli tunkeilijan havaitsemisjärjestelmä. On olemassa myös termi IPS (Intrusion Prevention System), joka nimensä mukaisesti tarkoittaa tunkeilijan havaitsemista ja automaattista estämistä.

Miksi sitten tarjota järjestelmää, joka ainoastaan havaitsee tunkeilijan, mutta ei estä niitä, jos kerran sellainenkin olisi olemassa?

Aikaisemmassa IDS-blogissa  jo hieman viitattiinkin automaattisen estämisen ongelmiin: Järjestelmä tuottaa uudessa verkossa herkästi paljon virheellisiä hälytyksiä ja täten estää aivan liikaa liikennettä. Pahimmassa tapauksessa verkossa ei kulje liikenne enää laisinkaan, kun palvelu pitää kaikkea liikennettä vaarallisena.

No entäpä sitten koneoppiminen? Mahdollista, joskin erittäin paljon laskentaresursseja vaativaa ja nostaisi palvelun hinnan aivan uudelle tasolle, katukerroksesta kattohuoneistoon. Lisäksi koneoppiminen yleensä pyrkii oppimaan, mikä on verkon normaalia liikennettä, ja estämään kaiken siitä poikkeavan. Mitä jos verkossa on jotakin haitallista liikennettä niin paljon, että se on koneen mielestä jo verkon normaalia liikennettä?

IDS:lläkin on toki omat ongelmansa IPS:n verraten, joista suurimmat ovat tarvittava ihmisen työmäärä ja mahdollinen hitaus todellisen uhan ilmetessä. Hitautta on helppo mitigoida laukaisemalla esimerkiksi sähköposti- tai tekstiviestihälytys tiettyjen parametrien täyttyessä. Työmäärä on niin sanotusti pakollinen paha, mutta sekin kulminoituu pääosin palvelun aloituksen yhteyteen. Kun verkkoa on tarkasteltu hetki ja tulleet hälytykset on käyty yhdessä asiakkaan ja TNNetin asiantuntijan kanssa läpi, on tulevilla tarkastelukerroilla jäljellä ainoastaan aidosti kiinnostavia insidenttejä. Asiantuntijan käytön mahdollisuus tuo palveluun huomattavan lisäarvon, sillä olemme suodattaneet useita erilaisia verkkoja ja IDS-hälytyksiä ja oppineet tekemään tämän sekä tehokkaasti että tarkasti.

TNNetillä IDS-palvelu on kuitenkin nimensä mukaisesti palvelu. Emme siis jätä asiakasta yksin tämän alun työmäärän kanssa, vaan käymme yhdessä asiakkaan kanssa hälytyksiä ja muita kiinnostavia tapahtumia läpi niin kauan kuin on tarpeen. Lisäksi palveluun sisältyy konsultointia asiakkaan henkilökohtaisten tarpeiden mukaisesti.

Entä jos asiakas välttämättä haluaa IDS:n sijasta IPS:n? – Onnistuu. Suosittelemme kuitenkin kampeamaan palvelun liikkeelle IDS:llä.

Yhteensä yli 1 000 hälytystä viikossa. Tietoturvauhkia vai vääriä hälytyksiä? (Kuva Jari Lehtosen sisäverkosta)

Minulla on jo virustentorjuntaohjelma ja palomuuri

”Entä mihin minun yritykseni tarvitsee tällaista järjestelmää, onhan meillä virustentorjunta ja teleoperaattorin tarjoama palomuuri sekä tarkka dokumentaatio palomuurisäännöistä?”

Kysymys, jonka usein kuulee, kun IDS-palvelusta puhutaan. Kysymys, johon on mielestäni vaikea vastata suoraan, mutta helppo vastata vertauskuvallisesti: ”Mihin minun liikkeeni tarvitsee valvontakameroita, onhan minulla jo lukot ovissa ja tarkka dokumentaatio henkilöistä, joilla on avaimet?”

Kysymys, johon on helppo lähteä luettelemaan vastauksia: Haluan tietää kuka liikkeessä on käynyt, kamerat auttavat selvittämään menneitä tapahtumia, avaimen omistaja voi hukata avaimensa, jonkun avain on varastettu, lukko voi olla viallinen tai jotakin äärimmäisen odottamatonta tapahtuu.

Mitäpä jos tietoverkkosi on liikkeesi, IDS-palvelu on valvontakamerasi, lukko on palomuurisi, avain on virustentorjuntasi ja avaimen omistaja on tietokoneen käyttäjä. Tietoverkossa voi tapahtua jotakin odottamatonta, jolloin on ensisijaisen tärkeää pystyä jäljittämään tapahtuma. Virustentorjuntasi voi olla vanhentunut, mennä pois päältä tai toimia muuten viallisesti. Käyttäjä voi tehdä jotakin yritykselle haitallista. Palomuurisäännöt eivät olekaan tarpeeksi kattavia. Kaikki nämä voidaan havaita ja jäljittää IDS-palvelulla.


Miksi 23.1. on tullut yli kymmenkertainen määrä hälytyksiä muihin päiviin verrattuna? Onko sisäverkossa tapahtunut tietomurto? (Kuva Jari Lehtosen sisäverkosta.)

Jos haluaisit vielä tietää miksi valita juuri TNNetin IDS-palvelu tai haluaisit päästä lukemaan tosielämän IDS-hälytyksen ratkaisun, suosittelen sinua jatkamaan tämän blogin jatko-osaan.

Lue lisää

Mikäli mieleesi nousi kysymyksiä, voit myös ottaa yhteyttä vaikkapa suoraan allekirjoittaneeseen jari.lehtonen@tnnet.fi


Kirjoittaja
Jari Lehtonen
Järjestelmäasiantuntija

 

Lue lisää muista blogiartikkeleista tästä