We horen veel over Kunstmatige Intelligentie, vooral over een van de meest prominente takken ervan, zoals \"Machine Learning\". Kunstmatige intelligentie is echter niet nieuw; het bestaat al sinds het einde van de jaren '50, toen wetenschappers elkaar ontmoetten in Darthmoud en de term in 1956 bedachten. Vandaag de dag heeft de invloed ervan meerdere sectoren en gebieden bereikt, waaronder: de automobielsector, energie, industrie, de banksector, gezondheid, cyberverdediging en cyberbeveiliging.<\/p>\n\n\n\n
Machine Learning bestaat uit het cre\u00ebren van modellen of algoritmen om gegevens te analyseren, ervan te leren en het mogelijke gedrag ervan in de tijd of geschatte situaties te voorspellen. Om deze redenen is de cyberbeveiligingsindustrie niet immuun gebleven voor de groei, verspreiding en installatie van technieken om de computerbeveiliging te verbeteren, met behulp van Machine Learning-modellen en -technieken, die een meer adequate respons mogelijk maken in lijn met de huidige eisen. Deze praktijken verbeteren en maken een analyse van bedreigingen mogelijk en beloven effectiever te zijn in het stoppen of voorkomen van beveiligingsincidenten. Momenteel vinden we verschillende toepassingen van kunstmatige intelligentie, via Machine Learning, in computer cyberbeveiliging, waaronder: de detectie van bankkaartfraude, inbraakdetectie, malwareclassificatie en detectie van denial-of-service-aanvallen, bijvoorbeeld. Noem er een paar.<\/p>\n\n\n\n
Het valt niet te ontkennen dat de komst van het internet veel voordelen en verbeteringen in de levensomstandigheden van veel mensen heeft opgeleverd. Telewerken en virtueel onderwijs zijn bijvoorbeeld twee gebieden of sectoren die hebben geprofiteerd van de tools en platforms om thuis te werken of te studeren zonder ondergedompeld te worden in de chaotische en constante problemen van transport en onveiligheid. Van onze grote steden.<\/p>\n\n\n
Een andere sector die heeft geprofiteerd van de ontwikkeling en massificatie van het internet is ongetwijfeld de elektronische handel. Bedrijven zijn ondergedompeld in de noodzaak om nieuwe media en communicatiestrategie\u00ebn met hun klanten te cre\u00ebren, die hen in staat stellen om het noodzakelijke verkoopvolume te verkrijgen om de winst te verbeteren; om deze redenen is e-commerce een hulpmiddel van onschatbare waarde voor de verkoopafdeling van bedrijven. Maar, aan de andere kant, net zoals de voordelen van het gebruik van het internet zijn toegenomen in de vele tools, platformen, overlegsites, financi\u00eble en bankportalen, etc., is het ook waar dat de risico's, bedreigingen en mogelijkheden van inbraak door gewetenloze en kwaadwillende mensen zijn toegenomen.<\/p>\n\n\n\n
De uitbreiding en versnelde ontwikkeling in communicatie, de massificatie van mobiele en intelligente apparaten en de vooruitgang in technologie\u00ebn zoals het Internet of Things (IoT) hebben het belang en de complexiteit ervan vergroot; het is daar waar gegevenswetenschap staat met een optie om de mechanismen voor de analyse van vereisten in computersystemen te optimaliseren en een betere optie te genereren tegen de verschillende soorten beveiligingsrisico's die vandaag de dag bestaan.<\/p>\n\n\n\n
Aan de andere kant blijven aanvallen en inbraken in computersystemen, websites en applicaties steeds vaker voorkomen, waardoor het essentieel is om autonome mechanismen te gebruiken om schade aan of verlies van informatie te voorkomen. De beveiliging van bedrijfsgegevens, persoonlijke gegevens en bedrijfskritische toepassingen zijn aspecten die organisaties koste wat het kost moeten vermijden dat ze in gevaar komen. Dit is waar de constante evolutie en verbetering in machine-learningtechnieken in beeld komen, omdat ze historische of actuele gegevens in overweging nemen, met de bedoeling om voorspellingen of projecties te maken van een bepaald bereik van gegevens, of in bepaalde tijdsperioden, om in staat te zijn overeenkomsten vast te stellen, in relatie tot patronen of gedragskenmerken. <\/p>\n\n\n\n
Er moet rekening mee worden gehouden dat een computersysteem dankzij machine learning vreemd gedrag en afwijkende situaties kan vinden in grote hoeveelheden gegevens, die bekend staan als patronen. Machine Learning detecteert ongebruikelijke situaties die het netwerk van een systeem willen infiltreren. We kunnen twee mogelijke oplossingen vinden: Heuristische IDS en regelgebaseerde IDS.<\/p>\n\n\n
Het IDS is het inbraakdetectiesysteem dat verantwoordelijk is voor het monitoren van inkomend en uitgaand verkeer van een website en het vastleggen van het gedrag ervan. Het maakt toezicht mogelijk dat verdachte activiteiten detecteert en genereert waarschuwingen bij detectie. Op basis van deze waarschuwingen kan een SOC-analist (Security Operations Center) of incidentresponder het probleem onderzoeken en de juiste actie ondernemen om de bedreiging te corrigeren. IDS zijn ontworpen om in verschillende omgevingen te worden ingezet. En net als veel andere cyberbeveiligingsoplossingen kan een IDS gebaseerd zijn op een host of een netwerk. Laten we nu wat meer leren over de verschillende soorten IDS.<\/p>\n\n\n\n
Hostgebaseerde IDS (HIDS):<\/strong> Een HIDS wordt ingezet op een bepaald eindpunt om bescherming te bieden tegen interne en externe bedreigingen. Dit type IDS kan in staat zijn om het inkomende en uitgaande netwerkverkeer van de computer te monitoren, draaiende processen te observeren en systeemlogs te inspecteren. Het zicht van een HIDS is beperkt tot de hostcomputer, wat de context voor het nemen van beslissingen verkleint. Toch heeft het diep inzicht in de interne componenten van de hostcomputer.<\/p>\n\n\n\n Netwerkgebaseerde IDS (NIDS):<\/strong> Een NIDS is ontworpen om een volledig beschermd netwerk te monitoren. Het heeft zicht op al het verkeer dat door het netwerk stroomt en maakt beslissingen op basis van de metadata en inhoud van de pakketten. Dit bredere overzicht biedt meer context en de mogelijkheid om alomtegenwoordige bedreigingen te detecteren. Deze systemen hebben echter geen zicht op de interne componenten van de endpoints die ze beschermen. Een ge\u00efntegreerde oplossing voor bedreigingsbeheer wordt aanbevolen, waarbij technologie\u00ebn in \u00e9\u00e9n systeem worden ge\u00efntegreerd om een uitgebreidere beveiliging te bieden. Door de verschillende niveaus van zichtbaarheid biedt het implementeren van een ge\u00efsoleerde HIDS of NIDS een onvolledige bescherming van het bedreigingssysteem voor een organisatie.<\/p>\n\n\n IDS-oplossingen verschillen in de manier waarop ze potenti\u00eble inbraken identificeren:<\/p>\n\n\n\n Handtekeningdetectie -<\/strong> Oplossingen voor inbraakdetectiesystemen op basis van handtekeningen gebruiken vingerafdrukken van bekende cyberbedreigingen om ze te identificeren. Zodra malware of andere schadelijke inhoud is ge\u00efdentificeerd, wordt een handtekening gegenereerd en toegevoegd aan de lijst die door de IDS-oplossing wordt gebruikt om inkomende inhoud te scannen. Hierdoor kan een IDS een hoge detectiegraad van bedreigingen bereiken zonder valse meldingen, omdat alle waarschuwingen worden gegenereerd op basis van de detectie van bekende schadelijke inhoud. Een IDS op basis van handtekeningen is echter beperkt tot het detecteren van bekende cyberdreigingen en detecteert geen kwetsbaarheden.<\/p>\n\n\n\n Anomaliedetectie -<\/strong> Oplossingen voor inbraakdetectiesystemen op basis van anomalie\u00ebn cre\u00ebren een model van het \"normale\" gedrag van het beveiligde systeem. Al het toekomstige gedrag wordt gecontroleerd aan de hand van dit model en afwijkingen worden aangemerkt als potenti\u00eble cyberdreigingen en leiden tot waarschuwingen. Hoewel deze aanpak nieuwe cyberbedreigingen kan detecteren, betekent de moeilijkheid om een nauwkeurig model van \"normaal\" gedrag te maken dat deze systemen een evenwicht moeten vinden tussen valse positieven en valse negatieven.<\/p>\n\n\n\n Hybride detectie -<\/strong> Een hybride IDS gebruikt zowel detectie op basis van handtekeningen als detectie op basis van anomalie\u00ebn. Hierdoor kan een groter aantal potenti\u00eble aanvallen worden gedetecteerd met een lagere foutmarge dan wanneer beide systemen afzonderlijk worden gebruikt.<\/p>\n\n\n IDS-systemen en Firewalls zijn cyberbeveiligingsoplossingen die kunnen worden ge\u00efmplementeerd om een Endpoint of een netwerk te beschermen. Ze verschillen echter aanzienlijk in hun doelen. Een IDS is een passief bewakingsapparaat dat potenti\u00eble cyberbedreigingen detecteert en waarschuwingen genereert, zodat analisten in een incident response SOC het potenti\u00eble incident kunnen onderzoeken en erop kunnen reageren. Het biedt echter geen absolute bescherming voor het eindpunt of het netwerk. Aan de andere kant is een firewall ontworpen om te fungeren als een beschermingssysteem dat de metadata van netwerkpakketten analyseert en verkeer toestaat of blokkeert op basis van vooraf gedefinieerde regels, waardoor een limiet wordt gecre\u00eberd die bepaalde soorten verkeer of protocollen niet kunnen passeren.<\/p>\n\n\n\n Met andere woorden, een firewall is een actief beschermingsapparaat, meer zoals een intrusion prevention system (IPS). Een IPS lijkt op een IDS, maar blokkeert actief ge\u00efdentificeerde cyberbedreigingen in plaats van alleen maar te waarschuwen. IDS vult de functionaliteit van een firewall aan, en veel next-generation firewalls (NGFW's) hebben IDS\/IPS-mogelijkheden ingebouwd, waarmee vooraf gedefinieerde filterregels kunnen worden toegepast en waarmee meer geavanceerde cyberbedreigingen kunnen worden gedetecteerd en hierop kan worden gereageerd (IDS\/IPS).<\/p>\n\n\n Het is de oplossing die uitgaat van een match met patronen zodat het systeem in staat is deze automatisch te detecteren en een waarschuwing te lanceren. Enkele voorbeelden zijn Snort, Suricata, Ossec, Samhain, Bro of Kismet. Al deze systemen zijn gebaseerd op regels die vooraf geconfigureerd moeten worden om automatisch en zonder toezicht te werken. Het is ook belangrijk om te onthouden dat ze zo effectief zijn als hun databases met bekende bedreigingen worden bijgewerkt.<\/p>\n\n\n Een IDS-systeem is een onderdeel dat aanwezig moet zijn in de cyberbeveiligingsimplementatie van elke organisatie. Een eenvoudige firewall vormt de basis voor netwerkbeveiliging, maar veel geavanceerde cyberbedreigingen kunnen onopgemerkt blijven. Een IDS voegt een extra verdedigingslinie toe, waardoor het voor een cyberaanvaller moeilijk wordt om ongemerkt toegang te krijgen tot het netwerk van een organisatie.<\/p>\n\n\n\n Bij het kiezen van een IDS is het belangrijk om rekening te houden met het inzetscenario. In sommige gevallen kan een inbraakdetectiesysteem de beste optie zijn, terwijl in andere gevallen de ingebouwde bescherming van een IPS een betere optie is. Een NGFW met ge\u00efntegreerde IDS\/IPS-functies biedt een ge\u00efntegreerde oplossing en vereenvoudigt de detectie van cyberbedreigingen en het beveiligingsbeheer.<\/p>\n\n\n\nIDS-detectiemethoden<\/strong><\/h2>\n\n\n
IDS en firewalls<\/strong><\/h2>\n\n\n
Regelgebaseerde IDS<\/strong><\/h2>\n\n\n
Hoe kies je een IDS-oplossing?<\/strong><\/h2>\n\n\n