HackMD
- IDS(Intrusion Detection System, 入侵偵測系統)
簡答: 從名字就可以看的出來,他是針對流入流出的各種封包的偵測系統,也就是獨立於Firewall的旁之,如果他有檢測到封包內有什麼異常的Payload或是pattern,就會跳出告警,但就僅只於此,不會再做更多的操作
詳答: What is IDS(Intrusion Detection Systems)?入侵偵測系統(Intrusion Detection System,IDS)是用來偵測資訊系統或網路上潛在的惡意破壞活動
- 網路型入侵偵測系統(NIDS):主要是由一個或多個偵測器,加上收集與分析資料的主控臺所組成,可以分析每個通過的網路封包,並與已知的攻擊特徵進行比對,如果符合某項攻擊特徵,系統就會啟動防護機制,例如發簡訊或命令防火牆中斷該連線。
- 主機型入侵偵測系統(HIDS):是從主機系統稽核日誌檔演進而來,必須在主機上安裝代理程式﹙Agent﹚,負責監視主機內部的程序,並監控記錄檔與可疑活動,若有任何系統事件都會被記錄至日誌檔,並與攻擊特徵資料庫比對,判斷主機是否遭到攻擊
- 誘捕型入侵偵測系統(Deception Systems):目的是偵測未經授權的活動,任何進出誘捕系統的封包都會被認定是可疑的。但它卻是受到爭議的產品,有些廠商認為誘捕型系統只適合學術研究,因為它誘導駭客上勾,因此收集的證據無法用來起訴駭客
- IPS(Intrusion Prevention System, 入侵防禦系統)
IPS就是要改進上述的問題,他主打的就是偵測到快快的東西就會主動的防禦掉,但這樣還是有一個問題,現今的攻擊手法越來越多種,而且有時候是那種可以包裝成安全落地的形式,必須要在本地端監控才有辦法知道 - EDR(Endpoint Detection and Response, 端點偵測與應對)
EDR就是在做這樣的事情,可是有可能會有一個疑問,每個人的主機內不是都有安裝那種傳統的Windows Defenders或是小紅傘那種東西,為什麼還需要有EDR,其實現今的攻擊手法已經有很大的變化,有可能單純看個人的裝置會看不出個所以然,必須要聯合其他的裝置一起做關聯性的比對才會知道目前是不是正在遭受攻擊,所以EDR強大的地方在於他做到各個裝置endpoint端點的串聯,讓資安事件的偵測和防禦可以更嚴謹,這也是中小型企業最需要的資安產品 - MDR(Managed Detection and Response, 受管式偵測與應對)
這東西其實就是一個EDR+SOC的服務衍生的產品,但ddaa說這個東西要做出市場區隔可能還沒有到太創新 - What is NSM(Network Security Monitors)?
NSM主要目的是偵測、找出入侵者,提高能見度。它建立在「我們一定會被攻擊,而且最終防禦一定會被突破」的思惟上。假設意志堅決的駭客最終打穿我們辛苦建立的防禦,但只要能在入侵者進一步破壞、感染系統前偵測、做出回應,讓入侵者無法達到目的,便能阻擋這波攻擊
NSM不是等接收IDS/IPS等等資安設備觸發警示後才開始收集,而是平時便預先主動收集資料,提供NSM平台審視、分析,強化可見度,主動找出入侵軌跡 - What is SIEM(Security Information and Event Management)
SIEM的功能和一般日誌管理工具類似,都會將來自不同伺服器和設備的日誌和事件紀錄集中在一個地方 (通常是Log server伺服器本身硬碟或特定的儲存池Storage pool),避免日誌和紀錄隨著機器故障遺失,符合稽核要求,可以進行關鍵字或日期查詢,所以也有人直接用日誌管理工具來進行分析
功能- 彙整、解讀多項系統設備日誌
- 資料圖形化
- SIEM具備強大的比對Correlation 功能
e.g.帳號登入失敗、創建新帳號、帳號權限提升等等可能是攻擊行為也可能是網管的正常登入,要看一連串的流量或封包資料才能判斷耗費人力 - 整合其他資安工具或資安服務
