คำนิยาม

ระบบตรวจจับการบุกรุก (IDS) เป็น เครื่องมือ รักษาความปลอดภัยเครือข่าย ที่ตรวจสอบปริมาณการใช้งานเครือข่ายและอุปกรณ์ต่างๆ เพื่อค้นหาการกระทำที่เป็นอันตราย กิจกรรมที่น่าสงสัย หรือการละเมิดนโยบายความปลอดภัย

ระบบ IDS สามารถช่วยเร่งและตรวจจับภัยคุกคามเครือข่ายโดยอัตโนมัติ โดยการแจ้งเตือนผู้ดูแลระบบความปลอดภัยเกี่ยวกับภัยคุกคามที่ทราบหรืออาจเกิดขึ้น หรือโดยการส่งการแจ้งเตือนไปยังเครื่องมือรักษาความปลอดภัยส่วนกลาง เครื่องมือรักษาความปลอดภัยส่วนกลาง เช่น ระบบ จัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) สามารถรวมข้อมูลจากแหล่งอื่นๆ เพื่อช่วยให้ทีมรักษาความปลอดภัยสามารถระบุและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจหลุดรอดจากมาตรการรักษาความปลอดภัยอื่นๆ ได้

IDS ยังช่วยสนับสนุนความพยายามในการปฏิบัติตามกฎระเบียบ กฎระเบียบบางประการ เช่น มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI-DSS)กำหนดให้องค์กรต่างๆ ต้องใช้มาตรการตรวจจับการบุกรุก

ระบบ IDS ไม่สามารถหยุดยั้งภัยคุกคามความปลอดภัยได้ด้วยตัวเอง ปัจจุบันความสามารถของระบบ IDS มักถูกรวมเข้ากับ ระบบป้องกันการบุกรุก (IPS)ซึ่งสามารถตรวจจับภัยคุกคามความปลอดภัยและดำเนินการป้องกันได้โดยอัตโนมัติ

ระบบตรวจจับการบุกรุกทำงานอย่างไร

IDS อาจเป็นแอปพลิเคชันซอฟต์แวร์ที่ติดตั้งบนจุดปลายทางหรืออุปกรณ์ฮาร์ดแวร์เฉพาะที่เชื่อมต่อกับเครือข่าย โซลูชัน IDS บางโซลูชันมีให้บริการในรูปแบบคลาวด์ ไม่ว่าจะอยู่ในรูปแบบใด IDS จะใช้วิธีการตรวจจับภัยคุกคามหลักวิธีใดวิธีหนึ่งหรือทั้งสองวิธี ได้แก่ การตรวจจับตามลายเซ็น หรือการตรวจจับตามความผิดปกติ

การตรวจจับตามลายเซ็น

การตรวจจับตามลายเซ็นจะวิเคราะห์แพ็กเก็ตเครือข่ายเพื่อหาลายเซ็นการโจมตี ลักษณะเฉพาะ หรือพฤติกรรมที่เกี่ยวข้องกับภัยคุกคามเฉพาะ ลำดับโค้ดที่ปรากฏในมัลแวร์สายพันธุ์หนึ่งๆ ถือเป็นตัวอย่างของลายเซ็นการโจมตี

ระบบ IDS แบบอิงลายเซ็นจะเก็บรักษาฐานข้อมูลลายเซ็นการโจมตีไว้ ซึ่งใช้เปรียบเทียบแพ็กเก็ตเครือข่าย หากแพ็กเก็ตใดแพ็กเก็ตหนึ่งทำให้เกิดการจับคู่กับลายเซ็นใดลายเซ็นหนึ่ง ระบบ IDS จะทำการทำเครื่องหมายไว้ เพื่อให้เกิดประสิทธิภาพ ฐานข้อมูลลายเซ็นจะต้องได้รับการอัปเดต ข้อมูลภัยคุกคาม ใหม่ๆ อย่างสม่ำเสมอ เมื่อมีการโจมตีทางไซเบอร์ใหม่ๆ เกิดขึ้นและการโจมตีที่มีอยู่เดิมมีการพัฒนา การโจมตีใหม่ๆ ที่ยังไม่ได้วิเคราะห์ลายเซ็นสามารถหลบเลี่ยงระบบ IDS แบบอิงลายเซ็นได้

การตรวจจับตามความผิดปกติ

วิธีการตรวจจับโดยอาศัยความผิดปกติใช้ การเรียนรู้ของเครื่อง เพื่อสร้างและปรับปรุงแบบจำลองพื้นฐานของกิจกรรมเครือข่ายปกติอย่างต่อเนื่อง จากนั้นจะเปรียบเทียบกิจกรรมเครือข่ายกับแบบจำลองและระบุความเบี่ยงเบน เช่น กระบวนการที่ใช้แบนด์วิดท์มากกว่าปกติ หรืออุปกรณ์เปิดพอร์ต

เนื่องจากรายงานพฤติกรรมผิดปกติใดๆ ก็ตาม IDS ที่ใช้ความผิดปกติจึงมักสามารถตรวจจับการโจมตีทางไซเบอร์ใหม่ๆ ที่อาจหลบเลี่ยงการตรวจจับโดยใช้ลายเซ็นได้ ตัวอย่างเช่น IDS ที่ใช้ความผิดปกติสามารถตรวจจับช่องโหว่แบบ Zero-day ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ก่อนที่นักพัฒนาซอฟต์แวร์จะรู้หรือมีเวลาแก้ไขช่องโหว่เหล่านั้น

อย่างไรก็ตาม IDS ที่มีพื้นฐานจากความผิดปกติอาจมีแนวโน้มที่จะเกิดผลบวกปลอมได้มากกว่า แม้แต่กิจกรรมที่ไม่เป็นอันตราย เช่น ผู้ใช้ที่ได้รับอนุญาตเข้าถึงทรัพยากรเครือข่ายที่ละเอียดอ่อนเป็นครั้งแรก ก็อาจกระตุ้นให้เกิด IDS ที่มีพื้นฐานจากความผิดปกติได้

วิธีการตรวจจับที่พบได้น้อยกว่า

การตรวจจับโดยอิงตามชื่อเสียงจะบล็อกการรับส่งข้อมูลจากที่อยู่ IP และโดเมนที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายหรือน่าสงสัย การวิเคราะห์โปรโตคอลแบบ Stateful มุ่งเน้นไปที่พฤติกรรมของโปรโตคอล ตัวอย่างเช่น อาจระบุการโจมตีแบบปฏิเสธการให้บริการ (DoS) ได้โดยการตรวจจับที่อยู่ IP เดียวที่ส่งคำขอเชื่อมต่อ TCP พร้อมกันหลายรายการในช่วงเวลาสั้นๆ

ไม่ว่าจะใช้วิธีใด เมื่อ IDS ตรวจพบภัยคุกคามหรือการละเมิดนโยบายที่อาจเกิดขึ้น ระบบจะแจ้งเตือน ทีม รับมือเหตุการณ์ ให้ดำเนินการตรวจสอบ นอกจากนี้ IDS ยังเก็บบันทึกเหตุการณ์ด้านความปลอดภัยไว้ด้วย ไม่ว่าจะบันทึกในบันทึกของตนเองหรือบันทึกด้วย เครื่องมือ จัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) (ดู 'IDS และโซลูชันความปลอดภัยอื่นๆ' ด้านล่าง) บันทึกเหตุการณ์เหล่านี้สามารถใช้เพื่อปรับปรุงเกณฑ์ของ IDS ได้ เช่น การเพิ่มลายเซ็นการโจมตีใหม่ หรือการอัปเดตโมเดลพฤติกรรมเครือข่าย

ประเภทของระบบป้องกันการบุกรุก

IDS จะถูกแบ่งประเภทตามตำแหน่งที่วางในระบบและประเภทของกิจกรรมที่ตรวจสอบ

ระบบตรวจจับการบุกรุกเครือข่าย (NIDS) จะตรวจสอบการรับส่งข้อมูลขาเข้าและขาออกไปยังอุปกรณ์ต่างๆ ทั่วทั้งเครือข่าย ระบบ NIDS จะถูกติดตั้งไว้ตามจุดสำคัญต่างๆ ในเครือข่าย โดยมักจะอยู่หลังไฟร์วอลล์ที่ขอบเขตเครือข่าย เพื่อให้สามารถแจ้งเตือนการรับส่งข้อมูลอันตรายใดๆ ที่เล็ดลอดผ่านเข้ามาได้

NIDS อาจถูกติดตั้งไว้ภายในเครือข่ายเพื่อตรวจจับภัยคุกคามภายในหรือแฮกเกอร์ที่แฮ็กบัญชีผู้ใช้ ตัวอย่างเช่น NIDS อาจถูกติดตั้งไว้หลังไฟร์วอลล์ภายในแต่ละอันในเครือข่ายแบบแบ่งส่วน เพื่อตรวจสอบการรับส่งข้อมูลระหว่างซับเน็ต

เพื่อหลีกเลี่ยงการขัดขวางการไหลของทราฟฟิกที่ถูกต้อง NIDS มักถูกจัดวางแบบ "นอกแบนด์" ซึ่งหมายความว่าทราฟฟิกจะไม่ผ่านโดยตรง NIDS จะวิเคราะห์สำเนาของแพ็กเก็ตเครือข่ายแทนที่จะวิเคราะห์ตัวแพ็กเก็ตเอง ด้วยวิธีนี้ ทราฟฟิกที่ถูกต้องจึงไม่ต้องรอการวิเคราะห์ แต่ NIDS ยังคงสามารถตรวจจับและทำเครื่องหมายทราฟฟิกที่เป็นอันตรายได้

ระบบตรวจจับการบุกรุกโฮสต์ (HIDS) ถูกติดตั้งบนจุดปลายเฉพาะ เช่น แล็ปท็อป เราเตอร์ หรือเซิร์ฟเวอร์ HIDS จะตรวจสอบเฉพาะกิจกรรมบนอุปกรณ์นั้น รวมถึงการรับส่งข้อมูลเข้าและออกจากอุปกรณ์ โดยทั่วไป HIDS ทำงานโดยการเก็บสแนปช็อตของไฟล์ระบบปฏิบัติการที่สำคัญเป็นระยะๆ และเปรียบเทียบสแนปช็อตเหล่านี้เมื่อเวลาผ่านไป หาก HIDS ตรวจพบการเปลี่ยนแปลง เช่น มีการแก้ไขไฟล์บันทึก หรือมีการเปลี่ยนแปลงการกำหนดค่า ระบบจะแจ้งเตือนไปยังทีมรักษาความปลอดภัย

ทีมรักษาความปลอดภัยมักจะใช้ระบบตรวจจับการบุกรุกบนเครือข่ายและระบบตรวจจับการบุกรุกบนโฮสต์ร่วมกัน ระบบ NIDS จะตรวจสอบปริมาณการรับส่งข้อมูลโดยรวม ขณะที่ HIDS สามารถเพิ่มการป้องกันเพิ่มเติมให้กับทรัพย์สินที่มีมูลค่าสูง นอกจากนี้ HIDS ยังสามารถช่วยตรวจจับกิจกรรมที่เป็นอันตรายจากโหนดเครือข่ายที่ถูกบุกรุก เช่น แรนซัมแวร์ ที่แพร่กระจายจากอุปกรณ์ที่ติดไวรัส

แม้ว่า NIDS และ HIDS จะเป็นระบบที่ใช้กันมากที่สุด แต่ทีมรักษาความปลอดภัยก็สามารถใช้ IDS อื่นๆ เพื่อวัตถุประสงค์เฉพาะทางได้ IDS แบบอิงโปรโตคอล (PIDS) จะตรวจสอบโปรโตคอลการเชื่อมต่อระหว่างเซิร์ฟเวอร์และอุปกรณ์ต่างๆ PIDS มักถูกติดตั้งบนเว็บเซิร์ฟเวอร์เพื่อตรวจสอบการเชื่อมต่อ HTTP หรือ HTTPS

IDS ที่ใช้โปรโตคอลแอปพลิเคชัน (APIDS) ทำงานที่ชั้นแอปพลิเคชัน เพื่อตรวจสอบโปรโตคอลเฉพาะแอปพลิเคชัน APIDS มักถูกนำไปใช้ระหว่างเว็บเซิร์ฟเวอร์และฐานข้อมูล SQL เพื่อตรวจจับการแทรก SQL

กลยุทธ์การหลีกเลี่ยง IDS

แม้ว่าโซลูชัน IDS จะสามารถตรวจจับภัยคุกคามได้มากมาย แต่แฮกเกอร์ก็สามารถหลีกเลี่ยงได้ ผู้จำหน่าย IDS ตอบสนองด้วยการอัปเดตโซลูชันเพื่อรองรับกลยุทธ์เหล่านี้ อย่างไรก็ตาม การอัปเดตโซลูชันเหล่านี้ก่อให้เกิดการแข่งขันกันอย่างดุเดือด โดยแฮกเกอร์และ IDS พยายามที่จะก้าวให้ทันคู่แข่งอยู่เสมอ 

กลยุทธ์การหลีกเลี่ยง IDS ทั่วไปบางประการได้แก่:

• การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS): ทำให้ IDS ออฟไลน์โดยการโจมตีด้วยทราฟฟิกที่เป็นอันตรายอย่างชัดเจนจากหลายแหล่ง เมื่อทรัพยากรของ IDS ถูกคุกคามจนล้นหลาม แฮกเกอร์ก็จะแอบเข้ามา
• การปลอมแปลง: การปลอมแปลงที่อยู่ IP และบันทึก DNS เพื่อให้ดูเหมือนว่าการรับส่งข้อมูลมาจากแหล่งที่เชื่อถือได้
• การแยกส่วน: การแบ่งมัลแวร์หรือเพย์โหลดอันตรายอื่นๆ ออกเป็นแพ็กเก็ตขนาดเล็ก ปกปิดลายเซ็น และหลีกเลี่ยงการตรวจจับ แฮกเกอร์สามารถป้องกันไม่ให้ IDS รวบรวมแพ็กเก็ตเหล่านั้นและตรวจจับการโจมตีได้ด้วยการหน่วงเวลาแพ็กเก็ตอย่างมีกลยุทธ์หรือส่งแพ็กเก็ตไปอย่างไม่เป็นระเบียบ
• การเข้ารหัส: การใช้โปรโตคอลเข้ารหัสเพื่อหลีกเลี่ยง IDS หาก IDS ไม่มีคีย์การถอดรหัสที่สอดคล้องกัน
• ความเหนื่อยล้าของผู้ปฏิบัติงาน: สร้างการแจ้งเตือน IDS จำนวนมากโดยตั้งใจเพื่อเบี่ยงเบนความสนใจของทีมตอบสนองเหตุการณ์จากกิจกรรมจริง

IDS และโซลูชั่นความปลอดภัยอื่น ๆ

IDS ไม่ใช่เครื่องมือแบบสแตนด์อโลน แต่ถูกออกแบบมาเพื่อเป็นส่วนหนึ่งของระบบรักษาความปลอดภัยทางไซเบอร์แบบองค์รวม และมักผสานรวมเข้ากับโซลูชันรักษาความปลอดภัยต่อไปนี้อย่างน้อยหนึ่งรายการ

IDS และ SIEM (การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย)

การแจ้งเตือน IDS มักถูกส่งไปยังระบบ SIEM ขององค์กร ซึ่งสามารถรวมเข้ากับการแจ้งเตือนและข้อมูลจากเครื่องมือรักษาความปลอดภัยอื่นๆ ไว้ในแดชบอร์ดรวมศูนย์เดียว การผสานรวม IDS เข้ากับ SIEM ช่วยให้ทีมรักษาความปลอดภัยสามารถเสริมประสิทธิภาพการแจ้งเตือน IDS ด้วยข้อมูลภัยคุกคามและข้อมูลจากเครื่องมืออื่นๆ กรองการแจ้งเตือนที่ผิดพลาด และจัดลำดับความสำคัญของเหตุการณ์เพื่อแก้ไข

IDS และ IPS (ระบบป้องกันการบุกรุก)

ดังที่ได้กล่าวไปแล้วข้างต้น IPS จะตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่น่าสงสัย เช่น IDS และสกัดกั้น ภัยคุกคามแบบเรียลไทม์ด้วยการตัดการเชื่อมต่อหรือเปิดใช้งานเครื่องมือรักษาความปลอดภัยอื่นๆ โดยอัตโนมัติ เนื่องจาก IPS มีจุดประสงค์เพื่อหยุดยั้งการโจมตีทางไซเบอร์ จึงมักติดตั้งแบบอินไลน์ หมายความว่าการรับส่งข้อมูลทั้งหมดต้องผ่าน IPS ก่อนจึงจะเข้าถึงส่วนที่เหลือของเครือข่ายได้

บางองค์กรใช้ IDS และ IPS เป็นโซลูชันแยกกัน บ่อยครั้งที่ IDS และ IPS จะถูกรวมไว้ในระบบตรวจจับและป้องกันการบุกรุก (IDPS) ระบบเดียว ซึ่งทำหน้าที่ตรวจจับการบุกรุก บันทึกการบุกรุก แจ้งเตือนทีมรักษาความปลอดภัย และตอบสนองโดยอัตโนมัติ

IDS และไฟร์วอลล์

IDS และไฟร์วอลล์เป็นส่วนเสริมซึ่งกันและกัน ไฟร์วอลล์จะหันหน้าออกนอกเครือข่ายและทำหน้าที่เป็นกำแพงกั้นโดยใช้ชุดกฎที่กำหนดไว้ล่วงหน้าเพื่ออนุญาตหรือไม่อนุญาตให้มีการรับส่งข้อมูล IDS มักจะอยู่ใกล้กับไฟร์วอลล์และช่วยดักจับทุกสิ่งที่เล็ดลอดผ่านเข้ามา ไฟร์วอลล์บางประเภท โดยเฉพาะไฟร์วอลล์รุ่นถัดไป จะมีฟังก์ชัน IDS และ IPS ในตัว