it-swarm-es.com

Popularidad de Idses basados ​​en anomalías.

He estado leyendo bastante tiempo sobre las ID de anomalías/comportamiento basadas en los servidores web.

Entiendo las desventajas: posibles altos falsos positivos, fase de aprendizaje, entrenamiento constante.

Mi pregunta es lo populares que son estos sistemas para servidores web? Parece que la mayoría de los IDES se basan en la firma (la más popular que viene a mi mente es mod_security).

Sé que esta es una pregunta muy amplia, supongo que estoy más interesado en que las personas las usan o si este tipo de IDS sigue siendo a nivel más teórico/académico.

9

Utilizamos un motor de detección basado en anomalías. Definitivamente, hay una tasa de alta falsa positiva y la fase de aprendizaje puede ocupar mucho tiempo. En mi experiencia, un IDS que es SO y Aplicación Aware sigue siendo una mejor opción. Si bien hemos encontrado algunas cosas interesantes, no es útil a menos que tenga el personal para mantenerlo y tamizar a través de todos los falsos positivos. Yo diría que están avanzando pero no son para todos.

3
nrduren

El problema generalmente definirá el tráfico "normal" contra el cual puede detectar las anomalías. De la investigación pasada, los clasificadores de conjunto parecen ser más eficientes para reducir sus falsos positivos. Yo mismo trabajé investigando muchos de estos algoritmos y todavía está bajo una investigación pesada. Otra área es sistemas inmunológicos artificiales en una combinación de identificaciones y tecnología de respuesta a incidentes.

Echa un vistazo a varios clasificadores en uso: http://roberto.perdisci.com/projects/mcpad Aquí hay un artículo sobre sistemas inmunológicos artificiales: http://www.cs.unm.edu /~forriet/publications/hofmeyr_forrost.pdf

¿Qué tan bueno es la tecnología detrás de las herramientas de detección de fraudes que el sector financiero se despliega en términos de detección de anomalías?

2
Epoch Win

El sector financiero ha comenzado a adoptar el uso de firewalls de aplicación web (WAF). Para este tipo de entorno, encontrará el uso de productos más marcados en el mercado, como imperva (ver http: //www.imperva. com/productos/wsc_web-application-firewall.html ) BARACUDA (ver http://www.barracudanetworks.com/ NS/PRODUCTOS/SITIO WEB-SITIO-FIREWALL-DESCRIPCIÓN GVERVER.FP? GCLID = CJTV3_YSZQUCFCXO4QOD9TZUKA ) e incluso Cisco (http://www.cisco .com/EN/US/Productos/PS9586/index.html). Mi experiencia es con Imperva, por lo que no puedo hablar de otros productos.

Sin embargo, descubrí que, si bien es fácil vender el financiamiento de un proyecto a la alta gerencia para comprar nuevos dispositivos de seguridad agrícolas y frescos que van a proteger totalmente sus aplicaciones (¡debate!), El problema se produce cuando esa financiación se ha acabado antes del La fase de aprendizaje se ha completado. Esto es aún más problemático cuando las aplicaciones deben ser protegidas se basan en la lógica empresarial enormemente compleja.

Cuando esto sucede, el resultado es un WAI que queda solo en el modo de monitor, sin la protección en tiempo real que se suponía que el dispositivo debía proporcionar.

¡En una nota positiva (y de la experiencia!) Incluso el modo de monitor de WAF puede ser vital durante una respuesta a un incidente, incluso si esto está siendo una fuente de registro que captura todo el ataque en formato CSV. ;-)

1
David Stubley