Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van host-based intrusion prevention/detection-systemen?
Network-based intrusion protection-systeem
De introductie van network-based intrusion prevention/detection-systemen kampte met een lage acceptatiegraad. Met name door de hoge leercurve van dergelijke systemen aangaande het filteren van false-positives. De inspanning is echter de moeite waard. Een goed getraind N-IPS levert namelijk een effectieve, zichtbare bijdrage aan de verhoging van de beveiliging van de ict-infrastructuur. Deze verhoogde beveiliging uit zich onder andere in een verkleining van het exploit window bij zero day-aanvallen. Immers, een N-IPS-update, dat misbruik van de kwetsbaarheid in een applicatie voorkomt, is meestal sneller beschikbaar dan een patch voor het dichten van de kwetsbaarheid in de applicatie zelf. Bovendien is ook de benodigde tijd voor het uitrollen van de N-IPS-update velen malen korter dan die voor het uitrollen van een patch voor een applicatie. Met name in de testfase is tijdwinst te behalen. Een bijkomend voordeel is de verlaging van de druk op het meestal toch wel complexe patch management-proces binnen organisaties.
Software as a service
Door de toename van het gebruik van SaaS-clouddiensten, veelal web-based, vermindert de effectiviteit van N-IPS. Onder andere vanwege de veelal globale toegankelijkheid van SaaS-diensten via het internet wordt bijvoorbeeld de werknemer die vanuit huis werkt niet beschermd door het N-IPS. Ook is de communicatie met SaaS-diensten veelal versleuteld, wat de vertrouwelijkheid van informatie weliswaar ten goede komt, maar het een N-IPS moeilijk maakt zijn werk te doen. Het N-IPS kan de datastroom namelijk niet inspecteren op kwaadaardige code vanwege de versleuteling. Kortom, het gebruik van SaaS-clouddiensten is een ontwikkeling waardoor de perimeter verder erodeert.
Ook surfen op het web vormt een risico. Kwetsbaarheden die voorheen uitsluitend misbruikt konden worden vanuit het lan zijn door de open toegang tot het world wide web ook vanaf het internet te misbruiken. Niet alleen met opzet ontwikkelde, kwaadwillende websites maar ook goedwillende websites die alledaags door velen worden geraadpleegd kunnen kwaadwillende code bevatten. Code die door een kwaadwillende aan de website is toegevoegd middels bijvoorbeeld SQL Injects en Cross Site Scripting (XSS). Op het moment dat een argeloze bezoeker de geïnfecteerde website bezoekt wordt ofwel de kwaadaardige code, bijvoorbeeld een exploit, direct uitgevoerd op de host (computer) van de bezoeker of wordt een verbinding opgezet met een derde website. Deze derde website kan kwaadaardige code bevatten die misbruik maakt van een kwetsbaarheid in een op de host geïnstalleerde applicatie (exploit) met bijvoorbeeld als doel deze op afstand over te nemen.
Om het slagen van dit soort aanvallen te verkleinen is het aan te bevelen om een H-IPS als beveiligingslaag op de host/endpoint (computer van de gebruiker) toe te voegen. Doordat de versleuteling wordt getermineerd op de host kan een H-IPS aanvallen voorkomen die een N-IPS niet kan analyseren. Ook deze ontwikkeling onderstreept het Jericho-gedachtegoed, namelijk de verschuiving van het gewicht van de beveiliging van netwerk naar host en uiteindelijk naar applicatie en data.
Host-based intrusion protection-systeem
Een host-based intrusion prevention/detection-systeem heeft in principe dezelfde functionaliteiten als een N-IPS, maar dan op de host/endpoint. Een H-IPS analyseert aanvallen op basis van pattern/stateful matching (signatures) en anomaly detection (statistical, protocol en traffic). Een toevoeging van IPS-functionaliteit op de host is een logische, volgende stap als men kijkt naar ontwikkelingen als SaaS. Hoelang gaat het echter nog duren totdat H-IPS net zo omarmd gaat worden als N-IPS?
Roy Samson CISSP CISA CEH
Senior security consultant
Capgemini Nederland