Comprendo que la mayoría de los NIPS en estos días tienen reglas o firmas incorporadas y tal vez la recopilación de información antes de la implementación pueda ayudar a ajustar las reglas / firmas una vez que el IPS se haya implementado, en funcionamiento.
Como tal, ¿qué tipo de información debemos reunir antes de implementar un NIPS (por ejemplo, sistemas operativos en una red, segmentos de red)?
Las opiniones, pensamientos y sugerencias serían muy apreciadas.
En la situación ideal, reuniría una lista de todos los activos y vectores de amenazas en su red, que incluyen, entre otros:
Con eso, puede analizar todas las firmas que están disponibles e incluir solo las que se aplican a usted. Por ejemplo, si Solaris no existe en su red, entonces probablemente no haya razón para incluir una firma para CVE-2007-0882 (la omisión de autenticación de telnet). En este caso, puede determinar, con cierto grado de precisión, qué clases de reglas deben habilitarse incluso antes de insertar su primer sensor. Teniendo en cuenta que estas firmas se actualizan y agregan constantemente, es mejor pensar en términos de tipos de firmas en lugar de firmas específicas.
Si tiene una red bien regulada, revise su CMDB para obtener esta información. Si no tiene un CMDB, este podría ser un buen momento para comenzar uno. Si está no en una red bien controlada, entonces puede comenzar haciendo análisis de flujo o revisando capturas de paquetes. Una buena herramienta de evaluación de vulnerabilidades también podría ayudar a darle una lista de lo que hay por ahí.
En cualquier caso, debe asumir que cualquier imagen que desarrolle está incompleta. Recomendaría cometer errores al habilitar demasiadas reglas, y solo planear un ajuste inicial bastante intenso.
Nunca olvide que un sistema IPS / IDS tiene una buena cantidad de mantenimiento continuo. A medida que se actualicen las firmas y se agreguen / resten sistemas / aplicaciones, deberá evaluar lo que está buscando.
Además de la publicación de Scott, que cuenta con una excelente orientación técnica, por el lado de la política, asegúrese de tener un registro de riesgos o al menos algún tipo de clasificación de riesgos para cada uno de los activos en su red. Esto tendrá un valor incalculable a la hora de definir la protección necesaria y puede simplificar la administración al requerir que el IPS controle menos tráfico, o al excluir por completo algunos hosts o segmentos de red.
Un beneficio de ejecutar un SIEM es la capacidad de correlación antes de que se promulguen las acciones, incluidas las acciones automatizadas.
Q1 Labs QRadar, ArcSight ESM y OSSIM tienen capacidades de activos e inventario. OSSIM está formado por muchas aplicaciones de código abierto que son excelentes para IDS e IPS. El proveedor de inventario predeterminado es OCS Inventory NG . En el portal web OSSIM, los menús desplegables Análisis e Inteligencia llevarán a Eventos / Anomalías (proveedores predeterminados con snort, PADS, p0f y Ntop) y controles de correlación.
snort-inline podría utilizarse como proveedor IPS de OSSIM. OSSIM también tiene una capacidad de respuesta, que se puede usar para cambiar las configuraciones del firewall / enrutador / switch / IPS. Hay complementos para OpenVAS (el complemento de administración de vulnerabilidades predeterminado) y Nessus, que se pueden usar para probar el IPS una vez que se está bloqueando. Un artículo en PDF del hilo de la revista ISSA, toolsmith se puede encontrar aquí en [PDF] [OpenVAS-4] 3 .
Una funcionalidad similar es común en la mayoría de los paquetes SIEM.
Lea otras preguntas en las etiquetas network ids monitoring intrusion