Popularidad de IDSes basadas en anomalías

8

He estado leyendo bastante tiempo sobre IDSes basados en anomalías / comportamiento para servidores web.

Entiendo las desventajas: posibles falsos positivos, fase de aprendizaje, capacitación constante.

Mi pregunta es ¿qué tan populares son estos sistemas para servidores web? Parece que la mayoría de los IDSes están basados en firmas (el más popular que me viene a la mente es mod_security).

Sé que esta es una pregunta muy amplia, creo que me interesa más si las personas los usan o si este tipo de IDS aún se encuentran en un nivel más teórico / académico.

    
pregunta Alexandru Luchian 02.12.2010 - 16:01
fuente

3 respuestas

3

Utilizamos un motor de detección basado en anomalías. Definitivamente hay una alta tasa de falsos positivos y la fase de aprendizaje puede llevar mucho tiempo. En mi experiencia, una IDS que es consciente del sistema operativo y la aplicación sigue siendo una mejor opción. Si bien hemos encontrado algunas cosas interesantes, no es útil a menos que tenga el personal para mantenerlo y analizar todos los falsos positivos. Yo diría que están llegando pero no son para todos.

    
respondido por el nrduren 16.04.2012 - 18:10
fuente
2

El problema generalmente será definir el tráfico "normal" contra el cual se pueden detectar las anomalías. De investigaciones anteriores, los clasificadores de conjuntos parecen ser más eficientes para reducir sus falsos positivos. Yo mismo trabajé investigando muchos de estos algoritmos y aún estoy bajo una gran investigación. Otra área es Artificial Immune Systems en una combinación de IDS y tecnología de respuesta a incidentes.

Revise los múltiples clasificadores en uso: enlace Aquí hay un documento sobre sistemas inmunes artificiales: enlace

¿Qué tan buena es la tecnología detrás de las herramientas de detección de fraude que el sector financiero implementa en términos de detección de anomalías?

    
respondido por el Epoch Win 16.04.2012 - 18:52
fuente
1

El sector financiero ha comenzado a adoptar el uso de firewalls de aplicaciones web (WAF). Para este tipo de entorno, encontrará el uso de productos más comerciales como Imperva (consulte enlace ) Baracuda (consulte enlace ) e incluso Cisco (http://www.cisco.com/en/US/products/ps9586/index.html). Mi experiencia es con Imperva, por lo que no puedo hablar sobre otros productos.

Sin embargo, encontré que si bien es fácil vender la financiación de un proyecto a la administración superior para comprar nuevos dispositivos de seguridad que protegerán totalmente sus aplicaciones (¡debate!), el problema surge cuando se ha ejecutado la financiación Antes de que se complete la fase de aprendizaje. Este es un problema aún mayor cuando las aplicaciones que WAF debería proteger se basan en una lógica empresarial sumamente compleja.

Cuando esto sucede, el resultado es un WAF que se deja solo en modo monitor, sin la protección en tiempo real que se suponía que el dispositivo estaba proporcionando.

En una nota positiva (¡y por experiencia!) incluso WAF en modo monitor puede ser vital durante una respuesta a un incidente, incluso si se trata de una fuente de registro que captura todo el ataque en formato CSV. ;-)

    
respondido por el David Stubley 02.12.2010 - 21:16
fuente

Lea otras preguntas en las etiquetas