Un IDS detecta actividades sospechosas a través de patrones en el tráfico analizado. La mayor parte del tráfico con el que trato es encriptado (ya sea HTTPS o propietario, como SMB). No puede ser descifrado para su análisis por razones legales.
Estoy buscando ejemplos de entornos en los que un IDS basado en red todavía pueda ser útil cuando la mayor parte del tráfico está cifrado.
Primero, la tecnología IDS no se reduce necesariamente a una simple coincidencia de patrones, pero IDS a menudo también puede analizar el tráfico HTTP, incluida la descompresión de cargas útiles comprimidas, extraer datos adjuntos de correos electrónicos, etc. y buscar patrones allí. Además, los IDS como Suricata pueden extenderse más allá de la simple coincidencia de cadenas con lenguajes de secuencias de comandos como LUA.
Y algunos IDS modernos también pueden analice el protocolo de enlace TLS que contiene información valiosa, como la extensión SNI que contiene el nombre de host de destino o el certificado devuelto por el servidor. Ambos de estos datos no están encriptados. Y a veces se puede detectar malware porque utilizan cifrados TLS o extensiones TLS de una manera especial diferente a la de otros clientes. Consulte Ocultando a simple vista: Uso de software malicioso de TLS y cifrado para algunas investigaciones esta área.
Aparte de eso, el IDS se puede usar junto con un proxy de intercepción o similar que alimenta el tráfico descifrado al IDS para un análisis más profundo.
Respecto a SSL: la terminación SSL puede ocurrir antes de que el IDS examine el tráfico. El hecho de que un servidor web sea capaz de manejar SSL / TLS no significa que deba hacerse en el servidor web. Puede haber una máquina en el borde de su red que cifra y descifra el tráfico SSL.
Aparte de eso, un IDS no se limita a flujos de red individuales. Puede registrar todo el tráfico y generar estadísticas sobre lo que se considera normal. Luego, si los flujos de tráfico cambian repentinamente, por ejemplo, si la distribución de las direcciones de origen cambia significativamente, si el volumen de tráfico aumenta enormemente, o si hay un tráfico repentino entre máquinas que nunca se comunicaron antes, o cualquier otro patrón que se pueda imaginar, puede alertar a los humanos. . Todo esto se puede hacer sin mirar las cargas útiles de tráfico; mirar el encabezado TCP / IP y el volumen de tráfico y el tiempo es suficiente para este tipo de análisis.