Die Verschlüsselung behindert signifikant Intrusion Detection Systems (IDS), die auf die Überprüfung des
-Netzverkehrs beruhen . Hier ist eine Aufschlüsselung des Warum und der betroffenen Bereiche:
* Signaturbasierte Erkennung:
* Diese Methode beruht auf der Erkennung bekannter Muster oder Signaturen in Netzwerkpaketen. Wenn der Inhalt verschlüsselt ist, sind die Unterschriften verborgen, was diesen Ansatz unwirksam macht.
* Zum Beispiel kann eine IDs eine bestimmte Zeichenfolge erkennen, die als Teil einer ausführbaren Malware -Datei bekannt ist. Wenn diese ausführbare Datei über eine verschlüsselte Verbindung (HTTPS, SSH, VPN) übertragen wird, werden die IDs die Zeichenfolge nicht angezeigt und löst daher keine Warnung aus.
* Protokollanalyse:
* Viele Protokolle (z. B. HTTP, SMTP, FTP) haben spezifische Strukturen und Befehle, die eine IDS für Anomalien analysieren kann. Die Verschlüsselung verdeckt diese Strukturen und macht die Protokollanalyse schwierig oder unmöglich.
* Selbst wenn die Verbindung selbst verschlüsselt ist, kann Metadaten innerhalb des Protokolls Hinweise auf die Art des Verkehrs liefern. Beispielsweise kann die Servername -Indikation (SNI) auf den Hostnamen auftreten, auf das über HTTPS zugegriffen wird. Verschlüsselter SNI (ESNI) und verschlüsseltes Client Hello (Ech) zielt darauf ab, diese Metadaten zu verschlüsseln, was die Erkennung weiter behindert.
* Anomalieerkennung:
* Während die Anomalie -Erkennung immer noch mit verschlüsseltem Verkehr funktionieren kann, wird seine Wirksamkeit verringert.
* Wenn die IDs auf unverschlüsselten Daten geschult sind, weiß sie nicht, wie "normal" im verschlüsselten Stream aussieht. Es kann ungewöhnliche Verkehrsmuster basierend auf Paketgröße, Timing oder Häufigkeit erkennen, kann jedoch nicht den spezifischen Inhalt identifizieren, der die Anomalie verursacht. Dieses erhöhte Risiko für falsch positive und falsche Negative.
spezifische Bereiche, in denen die Effizienz abnimmt:
* Malware -Downloads erkennen: IDS -Systeme, die nach ausführbaren Dateien oder böswilligen Skripten suchen, die über HTTP/FTP heruntergeladen werden, sind blind, wenn der Datenverkehr verschlüsselt wird.
* Daten prüfen: Wenn sensible Daten vor dem Versenden aus dem Netzwerk verschlüsselt werden, können die IDs sie nicht basierend auf dem Inhalt der Daten erkennen.
* Erkennen bösartiger Befehle: Wenn ein Angreifer einen verschlüsselten Kanal (z. B. SSH) verwendet, um Befehle an eine gefährdete Maschine auszugeben, können die IDs die Befehle selbst nicht sehen.
* Überwachung von Webanwendungsangriffen: Häufige Angriffe auf Webanwendungen (z. B. SQL-Injektion, Cross-Site-Skripte) werden häufig innerhalb der HTTP-Anforderungsbehörde übertragen. Wenn HTTPS verwendet wird, können die IDs die Anforderungsbehörde nicht inspizieren.
Was funktioniert noch (bis zu einem gewissen Grad) mit Verschlüsselung:
* Netzwerkverkehrsanalyse (Metadaten): Auch bei der Verschlüsselung kann ein IDS Metadaten analysieren, wie z. B.:
* IP -Adressen und Ports
* Paketgröße und Frequenz
* Timing von Verbindungen
* TLS/SSL -Zertifikatsinformationen (SNI, Emittent usw.)
* Verbindungsdauer
* Bytes übertragen
* Benutzer-Agent-Zeichenfolgen (obwohl diese gefälscht werden können)
* Ja3/s -Unterschriften
* Chiffher Suites verwendet
Diese Metadaten können verwendet werden, um verdächtige Kommunikationsmuster zu erkennen, auch wenn der Inhalt verborgen ist. Beispielsweise kann ein plötzlicher Anstieg des Datenverkehrs zu einer bekannten böswilligen IP -Adresse oder einer ungewöhnlichen Zertifikatsanwendung Flags für weitere Untersuchungen sein.
* Endpunkterkennung und -antwort (EDR): EDR -Lösungen arbeiten auf den einzelnen Computern innerhalb des Netzwerks, sodass sie nicht von der Verschlüsselung betroffen sind. Sie können Prozesse, Dateisystemaktivitäten und Registrierungsänderungen überwachen, um böswilliges Verhalten zu erkennen, auch wenn der Netzwerkverkehr verschlüsselt ist.
* Verhaltensanalyse: Dies beinhaltet die Analyse des Benutzer- und Entitätsverhaltens innerhalb des Netzwerks, um Abweichungen von normalen Mustern zu identifizieren. Dies kann auch bei Verschlüsselung effektiv sein, da es sich auf das "wer", "was", "wo" und "wann" eher auf Aktivität als auf das "Wie" konzentriert.
Zusammenfassend:
Die Verschlüsselung verringert die Fähigkeit herkömmlicher Intrusion-Erkennungssysteme, den Inhalt des Netzwerkverkehrs zu überprüfen, wodurch es schwieriger wird, signaturbasierte Angriffe, Protokollanomalien und spezifische Arten von Datenexfiltration zu erkennen. IDS -Systeme müssen sich anpassen, indem sie sich auf Metadatenanalysen, Verhaltensanalysen und Integration in die Erkennung von Endpunkten und die Antwortlösungen konzentrieren, um die Wirksamkeit in verschlüsselten Umgebungen aufrechtzuerhalten. Der Aufstieg des verschlüsselten Kunden-Hello (ECH) und anderer Technologien für Privatsphäre, die in den Datenschutzverfahren verstärkt werden, erfordert ferner innovative Ansätze zur Überwachung der Netzwerksicherheit.