Verhindern Sie Sicherheitsrisiken mit umfassenden IDPS in Unified SASE

Im Bereich Secure Access Service Edge (SASE) ist die Integration von Intrusion Detection and Prevention Systems (IDPS) nahezu universell. Seine Rolle geht über die bloße Verhinderung bekannter Exploits hinaus, es dient als wachsamer Wächter für IOC (Indicators of Compromise) und bietet einen umfassenden Schutz. Ich würde sogar behaupten, dass das IDPS eher für Indicators of Compromise und Indicators of Attack verwendet wird jüngste Vergangenheit durch Organisationen.

Die Stärke von IDPS liegt in seiner Fähigkeit, umfassende Einblicke in den Netzwerkverkehr zu liefern; Es extrahiert nicht nur Verbindungsmetadaten wie 5-Tupel der Verbindung, sondern befasst sich auch mit den differenzierten Details verschiedener Protokollfelder. Diese Extraktionstiefe liefert unschätzbare Informationen über die Eigenschaften der Daten, die das Netzwerk durchlaufen, und verbessert so das Kontextbewusstsein.

IDPS verwendet mehrere Methoden, um die Netzwerksicherheit zu stärken. Es erkennt und blockiert bekannte Exploits und Malware durch signaturbasierte Erkennungsmethoden. Darüber hinaus schützt es vor anomalen Daten, indem es Regeln verwendet, die unregelmäßige Paket- oder Stream-Muster identifizieren können. Diese Regeln erweitern ihren Geltungsbereich auf abnormale Protokollattributgrößen und unerwartetes Protokollwertverhalten.

Während Funktionen und Sicherheitswirksamkeit von IDPS innerhalb der SASE Rahmen Zwar kann es zwischen den Dienstanbietern zu leichten Abweichungen kommen, die Kernfunktionen bleiben jedoch aufgrund der Verwendung von Signaturdatenbanken, die typischerweise von Drittanbietern von Bedrohungsinformationen stammen, weitgehend ähnlich. Darüber hinaus sind IDPS-Technologien ausgereifter geworden und haben ähnliche Fähigkeiten entwickelt, selbst angesichts der vielfältigen Umgehungstechniken, die von Angreifern eingesetzt werden. Meiner Einschätzung nach liegt der Hauptunterschied zwischen den Anbietern im Bereich der Beobachtbarkeit und der Möglichkeiten, die sie für die Bedrohungssuche bieten, wobei der Schwerpunkt auf der Minimierung falsch positiver und falsch negativer Ergebnisse liegt.

Die Absicht dieses Artikels besteht nicht darin, sich mit der Unterscheidung der IDPS-Funktionen zu befassen SASE Dienstleistungen. Vielmehr geht es darum, die genauen Punkte innerhalb des Paketpfads zu untersuchen, an denen IDPS-Funktionen ausgeführt werden SASE Dienste und ob diese Einfügungspunkte Angriffsmuster innerhalb des ursprünglichen Datenverkehrs effektiv erkennen.

Einige sind der Ansicht, dass die Integration der Intrusion Detection and Prevention System (IDPS)-Funktionalität auf der Proxy-Ebene in Secure Access Service Edge (SASE) Dienstleistungen ist ausreichend. Ihr Grund hierfür liegt in der Tatsache, dass viele Unternehmen bereits OnPrem IDPS für die Erkennung von Eindringlingen bei generischem Datenverkehr einsetzen. Die größte Herausforderung bei OnPrem IDPS liegt in der Unfähigkeit, TLS-verschlüsselten Datenverkehr zu überprüfen. Angesichts dessen SASE Proxys führen eine Man-in-the-Middle (MITM) TLS-Inspektion durch und erhalten Zugriff auf unverschlüsselten Datenverkehr. Daher wird davon ausgegangen, dass es ausreichend ist, den IDPS-Einfügungspunkt an den Proxys zu haben.

Darüber hinaus argumentieren einige, dass eine erhebliche Anzahl von Systemen ausreichend gegen Angriffe auf Netzwerkebene (L3/L4) und TLS-Ebene gepatcht ist. Als Reaktion darauf haben Angreifer ihren Fokus auf den Einsatz ausgefeilterer Taktiken auf Anwendungs- (L7) und Datenebene verlagert. Folglich herrscht die Meinung vor, dass es gerechtfertigt ist, die IDPS-Funktionalität nicht über die Proxy-Ebene innerhalb des Netzwerks hinaus auszuweiten. Dieses Argument gilt jedoch nicht in allen Fällen. Ziehen Sie IoT-Geräte in Betracht, die weiterhin auf älteren, selten aktualisierten Betriebssystemen laufen. Diese Geräte bleiben möglicherweise weiterhin anfällig für eine breitere Palette von Angriffen, was einen umfassenden Sicherheitsansatz erfordert.

Das erkennen auch viele an SASE Von den Diensten wird erwartet, dass sie IDPS sowohl auf Proxy- als auch auf L3-Ebene integrieren, um eine gründliche Prüfung des gesamten Netzwerkverkehrs sicherzustellen. Um eine umfassende Angriffserkennung zu erreichen, sollte die IDPS-Funktionalität nicht nur, wie bereits erwähnt, auf Proxy-Ebene, sondern auch auf der Proxy-Ebene angewendet werden WAN Schnittstellenebene, auf der der Datenverkehr an Schnittstellen ein- und ausgeht, die für den Datenverkehr zum und vom Internet vorgesehen sind. Dieser Ansatz stellt zwar eine Verbesserung gegenüber der alleinigen Bereitstellung von IDPS auf Proxy-Ebene dar, bringt jedoch auch eine Herausforderung mit sich. In Fällen, in denen der Datenverkehr über die Proxys fließt, hat IDPS möglicherweise keinen Einblick in den ursprünglichen Datenverkehr in beide Richtungen der Sitzungen. Proxys beenden typischerweise Verbindungen und bauen neue auf. Da sie sich auf das Lokale verlassen TCP/IP-Stack, sie setzen Originalpakete wieder zusammen und ordnen sie neu TCP Daten, IP neu erstellen/TCP Optionen und generieren Sie TLS-Handshake-Nachrichten neu. Folglich IDPS am WAN Auf Schnittstellenebene fehlt möglicherweise der Einblick in den ursprünglichen Datenverkehr, der aus dem internen Netzwerk stammt, was möglicherweise dazu führt, dass Angriffsmuster übersehen werden, die Teil des ursprünglichen Datenverkehrs waren.

Es ist erwähnenswert, dass es sich bei den Angreifern nicht immer um externe Angreifer handeln muss. Es könnte auch interne Angreifer geben. Darüber hinaus können Angriffe aufgrund früherer Malware-Infektionen von internen Systemen ausgehen. Daher ist es wichtig sicherzustellen, dass der IDPS den ursprünglichen Datenverkehr in beide Richtungen kontinuierlich beobachtet, um Bedrohungen effektiv erkennen und verhindern zu können.

Suchen SASE Dienste mit mehreren IDPS-Einfügepunkten

Wir setzen uns dafür ein SASE Dienste bieten die Flexibilität, IDPS an mehreren Punkten einzufügen, die alle gleichzeitig aktiv sind. Organisationen sollten die Freiheit haben zu entscheiden, ob sie IDPS an jeder L3-Schnittstelle und auf der Proxy-Ebene bereitstellen möchten. Dieser Ansatz ermöglicht es IDPS, den ursprünglichen Datenverkehr sowohl von Client- als auch Server-Endpunkten der Sitzungen zu überprüfen, selbst wenn der Datenverkehr TLS-verschlüsselt ist und über die Proxys läuft.

Darüber hinaus sollten Organisationen aktiv nach suchen SASE Dienste, die die Generierung doppelter Warnungen und Protokolle aufgrund mehrerer Einfügepunkte vermeiden. Beispielsweise kann Datenverkehr, der keine Proxys, sondern mehrere L3-Schnittstellen durchläuft (auf einer Schnittstelle empfangen und über eine andere gesendet) von zwei IDPS-Instanzen erkannt werden, was möglicherweise zu doppelten Warnungen und Protokollen führt. Für Unternehmen ist es ratsam, dafür zu sorgen, dass die Redundanz in den Protokollen minimiert wird, um die Überlastung des Verwaltungspersonals zu verhindern, das bereits mit einer großen Menge an Protokollen zu kämpfen hat, die von Sicherheitsfunktionen generiert werden. Im Idealfall, SASE Dienste sollten Intelligenz auf Basis einer einzelnen Verkehrssitzung aufweisen und auf intelligente Weise die doppelte Ausführung von IDPS-Funktionen vermeiden, wenn innerhalb der keine Verkehrsänderungen auftreten SASE Bedienung.

Darüber hinaus sollten Unternehmen nach Lösungen suchen, die die Korrelation von Protokollen ermöglichen, die von mehreren Sicherheitsfunktionen, einschließlich verschiedener IDPS-Instanzen, für eine bestimmte Verkehrssitzung generiert werden. Diese Korrelation trägt zur Verbesserung der Beobachtbarkeit bei und rationalisiert die Arbeit von Bedrohungsjägern, indem sie die Zuordnung von Sicherheitsereignissen vereinfacht.

Angesichts der rechenintensiven Natur von IDPS sollten Organisationen auch danach streben, Ressourcen zu schonen, wo immer dies möglich ist. Wenn Unternehmen beispielsweise bereits Host IDS (HIDS) oder On-Prem IDPS einsetzen, möchten sie möglicherweise die Kontrolle über die Deaktivierung von IDPS auf bestimmten Instanzen für bestimmte Arten von Datenverkehr behalten. SASE Dienste, die eine richtlinienbasierte IDPS-Steuerung bieten, können Organisationen in die Lage versetzen, zu bestimmen, welcher Datenverkehr von verschiedenen IDPS-Instanzen innerhalb des Netzwerks überprüft werden soll SASE Rahmen.

Zusammenfassend lässt sich sagen, dass die Wirksamkeit von IDPS innerhalb der SASE Paradigma geht über seine Merkmale hinaus; Es kommt auf die Flexibilität an SASE bietet Informationen zu IDPS-Einfügepunkten und dem Grad der Kontrolle, den es Unternehmen ermöglicht, sich an ihre spezifischen Anforderungen anzupassen.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.