In English
intrångsdetektion

MDR • Artikel

29 mars, 2021

Vad är intrångsdetektion?

Intrångsdetektering eller på engelska Intrusion Detection är processen för att identifiera olovlig aktivitet i nätverk och system. Ett intrångsdetekteringssystem (Intrusion Detection System) analyserar information från olika källor i syfte att identifiera möjliga säkerhetsöverträdelser. Det inbegriper både intrång (attacker som kommer utifrån organisationen) samt missbruk (attacker som sker inom organisationen).

Ett intrångsdetekteringssystem (IDS) reagerar på misstänkt nätverkstrafik eller händelser i ett IT-system, som skiljer sig från det normala eller som överensstämmer med kända hot. När systemet hittar något misstänkt larmas användaren som får mer detaljerad data om den misstänkta incidenten.

För att vara framgångsrik i arbetet med intrångsdetektering krävs det också att någon kontrollerar och agerar på larmen som genereras. De som arbetar med dessa larm kallas för säkerhetsoperatörer eller säkerhetsanalytiker, ofta är de en del av ett team i ett så kallat Security Operations Center.

En del större företag har egna Security Operations Center medan desto fler investerar i en övervakningstjänst från en Managed Security Services Provider (MSSP).

Argument för att ha intrångsdetektion som tjänst är förutom bemanningen dygnet runt, att man i högre utsträckning kan säkerställa kompetensen hos personalen som arbetar med varierade säkerhetsincidenter för olika kunder varje dag. Jämför kostnaden med att bygga upp ett eget Security Operations Center, hitta rätt personal och upprätthålla god kunskapsnivå över tid.

En tjänsteleverantör har dessutom möjlighet att vara effektivare eftersom de kan upptäcka en incident på en kund som sedermera kan hjälpa till att stoppa samma typ av incident hos andra kunder.

Intrångsdetekteringsystem (IDS) är att jämföra med ett inbrottslarm som övervakar kontoret, och så fort ett inbrottsförsök sker larmas säkerhetsbolaget som ryker ut i syfte att kontrollera larmet och eventuellt agerar på det. När tillgångar idag i allt högre utsträckning lagras digitalt är det förvånande att det fortfarande finns företag som saknar digitala inbrottslarm.

Olika typer av intrångsdetektering

Det finns två huvudtyper av intrångsdetekteringssystem, Network Intrusion Detection System och Host Intrusion Detection System.

Network Intrusion Detection System (NIDS)

Nätbaserad intrångsdetektering försöker identifiera obehöriga, olagliga och avvikande beteenden som enbart bygger på nätverkstrafik. Ett IDS för nätverk, som antingen använder en nätverkstapp, span eller hubb, samlar helheter av information som korsar ett visst nätverk. Genom att ta hjälp av denna infångade data kan IDS analysera trafiken och flagga misstänkt trafik. Till skillnad från ett intrångsförebyggande system (Intrusion Prevention System, IPS), blockerar IDS inte aktivt någon nätverkstrafik. IDS roll är passiv och går endast ut på att samla data, loggning och varningar som identifieras.

Host Intrusion Detection System (HIDS)

Värdbaserade, så kallade Host Intrusion Detection Systems (HIDS) används för att identifiera obehöriga, olagliga och avvikande beteenden på ett system eller en enhet på nätverket. Systemet tar ögonblicksbilder av systemfiler och matchar de mot tidigare ögonblicksbilder i syfte att identifiera misstänkt aktivitet. Om kritiska filer ändrats eller tagits bort genererar detta larm till användaren av systemet. HIDS brukar användas i syfte att skydda kritiska servrar, där det inte förväntas ändras eller tas bort något.

Intrångsdetekteringssystem använder flera tekniker

Det finns flera olika tekniker för intrångsdetekteringssystem. De mest välkända teknikerna är Signature Based IDS och Anomaly Based IDS och de skiljer sig åt på följande sätt:

Signature Based IDS
Signaturbaserade system söker av nätverkstrafik i syfte att identifiera en serie sekvenser som är kända för att vara skadliga sedan innan. En viktig fördel med denna detekteringsmetod är att signaturer är lätta att utveckla och förstå om du vet vilket nätverksbeteende du försöker identifiera. Dessutom kan mönstermatchning utföras snabbt på moderna system så att energin som går åt till att utföra kontroller är minimal.

Anomaly Based IDS
Anomalibaserade system kretsar kring ett slags grundläggande beteende för nätverksanvändning. Denna baslinje blir själva utgångspunkten i deskriptionen av ett accepterat nätverksbeteende, vilket har lärts upp eller specificerats av nätverksadministratören. Händelser i denna anomalidetektering baseras på beteenden som faller utanför den fördefinierade eller accepterade beteenderamen.

Vikten av att ha detektionsförmåga dygnet runt

Precis som med larm och väktartjänst för ens lokaler dygnet runt, är det lika viktigt att säkerställa att det finns någon som tittar och agerar på digitala larm dygnet runt. Hackare arbetar dessvärre inte bara under kontorstid vilket kräver att man som organisation har en plan för hur man ska hantera säkerhetsövervakningen dygnet runt. Antingen internt eller externt via en tjänsteleverantör.

Vill ni ha mer information om Sentors IDS-tjänst?

Sentor har en framstående IDS-tjänst för upptäcka tecken på intrång och skadlig kod 24/7, året om. Vill ni veta mer om tjänsten? Klicka på länken!

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.