¿Toda la detección de intrusiones se basará en el host una vez que todos los paquetes de red se hayan cifrado?
¿Toda la detección de intrusiones se basará en el host una vez que todos los paquetes de red se hayan cifrado?
Si entiendo su pregunta correctamente, entonces sí.
Si utiliza el cifrado de capa de red en todo , por ejemplo, ipsec o < a href="https://en.wikipedia.org/wiki/Secure_Socket_Layer"> SSL / TLS , entonces cualquier IDS / IPS basado en la red tendrá una capacidad limitada para detectar el nivel de la aplicación (o cualquier capa superior) ataques a sus hosts, porque está encapsulado / cifrado. Si este es el caso, entonces tener una forma de protección basada en el host es su mejor opción.
No. Incluso si su capa de red está totalmente encriptada y todo funciona bien, aún desea sensores en ambas posiciones para la defensa en profundidad y la correlación de alertas. Puede y debe implementar varias tecnologías para descifrar el tráfico interceptado en diferentes lugares en los flujos de la aplicación (proxies, balanceadores de carga, firewalls, SPAN / TAP ...) para que su IDS no esté completamente ciego. Las firmas IDS pueden ser menos útiles sin el contenido del paquete, pero aún pueden funcionar, y la captura de flujos y estadísticas funciona bien con la mayoría de los tipos de cifrado (aunque IPSec ESP lo limitaría).
Estaré de acuerdo en que, en una red totalmente encriptada, es posible que desee cambiar el equilibrio hacia herramientas basadas en host, pero esa no es la única forma de leer su propio tráfico encriptado. Para responder a su pregunta, es posible que tenga que redefinir 'host' para incluir otros dispositivos en los que se pueda analizar claramente el tráfico en lugar de solo los clientes finales y los servidores.
Argumentaría que habrá suficiente tráfico sin cifrar, así como otros casos de cobertura para IDS / IPS basados en la red por algún tiempo.
Primero, el cifrado es costoso, tanto computacional como administrativamente. A menos que haya una buena razón para cifrar todos los datos (casos de uso limitado), seguirá habiendo tráfico descifrado en la mezcla (es decir, chatter de protocolo - "¿tiene sentido cifrar paquetes icmp?"). Dado que IDS / IPS ayuda a monitorear y aplicar políticas, desde datos en encabezados de paquetes (dirección IP, puerto, etc.) hasta Los datos de la carga útil, los administradores de seguridad seguirán encontrando valor en los IDS / IPS basados en la red.
En segundo lugar, una estrategia de defensa en profundidad implica que tener múltiples capas de defensas es una importante Estrategia de protección de activos de información. ¿Qué sucede si falla un IDS / IPS basado en host? ¿Qué sucede si existe una vulnerabilidad en el propio agente de IDS / IPS basado en host? Las herramientas de seguridad asombrosas desde el perímetro de la red hasta el host ayudan a reducir el riesgo de un solo punto de falla.
Por último, el mercado de IDS / IPS continuará evolucionando con el mercado o la extinción del riesgo. Hay muchos proveedores que han comenzado a prefijar sus productos de firewall o IDS / IPS con "next-gen" (es decir, firewall de próxima generación, ids / ips de próxima generación). Además, IDS / IPS realmente es un término usado para describir un conjunto de tecnologías y métodos para implementar un control de seguridad técnico. Entonces, si el mercado cambia, habrá proveedores que encuentren soluciones creativas y que reutilicen o creen un nuevo término para describir ese mercado.
Lea otras preguntas en las etiquetas encryption network ids