Supongamos que tengo tanto IDS basados en red como IDS basados en host en mi entorno. ¿Perderé algún ataque de seguridad si no correlaciono la información de estas fuentes? Si es así, ¿Que son? Parece que uno de estos sistemas debería poder atrapar cualquier ataque cuando ocurren, pero no estoy seguro de si estoy en lo cierto.
Daré la vuelta a tu pregunta:
"Qué ataques solo pueden ser detectados por una combinación de host y datos de red? "
Y la respuesta a esa pregunta es: no muchas.
El verdadero poder de la correlación de los datos del host y la red es la capacidad de ver "más allá" del ataque para ver qué tan extendido está y de dónde se originó. En otras palabras, correlaciona esos dos conjuntos de datos para ayudarlo a responder, no solo a identificar.
Un algoritmo de detección antimalware puede identificar un ataque en un host, pero las otras fuentes de datos pueden proporcionarle lo que necesita para erradicarlo, no solo del host, sino de todo su entorno.
La vista más amplia podría considerarse el ataque "real", si eso es lo que quisiste decir. Y, si no quiso decir eso, debería incluirse en su consideración.
Se omite un poco de información clave a considerar. Por ejemplo, cuando dices "ataque" no mencionas lo que se está ejecutando el activo objetivo.
En el caso de un sitio web HTTPS, la mayoría de los IDS / IPS no ofrecen la posibilidad de cargar sus certificados SSL para descifrar el tráfico para inspeccionarlo.
En este caso, sus IDS / IPS ofrecen poca o ninguna protección. Todavía pueden ver y prevenir cualquier ataque que esté diseñado para ser aprovechado durante el proceso de negociación / negociación de SSL, pero eso es todo.
Aquí es donde un agente basado en host sería beneficioso (o un servidor de seguridad de la aplicación) ya que podría inspeccionar el tráfico después de que se haya descifrado.
La capacidad de correlacionar esta información es útil durante las investigaciones forenses, validando falsos positivos, validando los controles de seguridad (es decir: el ataque se detuvo en el IDS y no regresó al host, lo cual puede correlacionarse a través del registros de hosts)
Bueno, en primer lugar, hay dos tipos de firmas IDS y anomalías. El IDS basado en firmas funciona de manera similar a AV, tiene firmas con ataques bien conocidos, por lo que el IDS monitorea los paquetes en la red y los compara con una base de datos de firmas. Si los paquetes cumplen con alguna firma, el IDS lo alertará. El otro tipo está basado en anomalías y este tipo de IDS recopila datos y los almacena en la base de datos, y cuando el IDS ve algo inusual, lo alertará. Básicamente siempre extrañarás los lugares vulnerables. Y en mi opinión, siempre hay posibilidades de perder vectores de ataque, sin importar lo que hagas. Espero que esto responda a su pregunta, si hay algún malentendido pregunte en los comentarios.
La correlación se utiliza para reducir los falsos positivos. Los sistemas de detección de intrusos son conocidos por generar una gran cantidad de falsos positivos debido a la detección basada en anomalías. En el caso de los IDS basados en firmas, la tasa de falsos positivos se reduce, pero la capacidad de detección se limita solo a los ataques conocidos para los cuales el IDS tiene la firma de detección.
Si no correlaciona la información y analiza los eventos tanto de IDS basados en host como de IDS basados en red individualmente, no se perderá ningún ataque. Sin embargo, la correlación de los dos eventos facilitará mucho la vida del analista.
Además, la correlación de los eventos lo ayudará a priorizar los ataques detectados. Por ejemplo, un patrón de ataque para el sistema operativo Windows XP detectado por el NIDS generará una alerta en la interfaz del NIDS. Sin embargo, si la IP de destino es un cuadro de Linux, no necesita estar alarmado porque el ataque está destinado a fallar.
La conclusión es que, si desea reducir la tasa de falsos positivos y asegurarse de que solo los analistas detecten y actúen sobre esos eventos que tienen una alta probabilidad de verdaderos positivos, correlacione los eventos de HIDS y NIDS.