İlk olarak, IDPS nedir ve neden önemsiyoruz?
Saldırı Önleme Sistemleri (IPS), İzinsiz Giriş Tespiti Sistemlerinde (IDS) bir gelişme olarak ortaya çıktı. IDS, bilgileri analiz ederek uyarılar yapmak için ağ trafiğini dinler. IPS’in en önemli “özelliği” sadece uyarı yapmak yerine, bilinen bir saldırı ile karşılaşıldığında bunun engellenmesi idi. IPS bunu yapabilmek için sisteme müdahil oldu. Müdahil olmak, IDS / IPS imza kalitesinde bir devrimi mecburi kıldı. Sadece uyarılar üretilirken imza kalitesinin iyi olması çok önemli değildi. Ancak trafik akışını engelleme kararını vermek için bilinen bir saldırı olması gerekir ve yanlış-pozitif karar (hatalı bloklar) kesinlikle kabul edilemez. Şüphe duyulması durumunda sadece uyarı verilebilir. Sonuç olarak, amaç bariz saldırıların kesinlikle engellenmesidir. Çünkü ağda bunlara yer yoktur. “Emin olduğunu engelle ve diğerlerini de tespit et” IPS’in konsepti ve değeri haline geldi. IPS, kurumsal güvenliğin gizli kahramanıdır. İşlevi düzgün çalışırken görünmez olmasıdır ve saldırıların çoğunu durdurur. Birçok sunucu merkezli güvenlik çalışanı, internetin o kadar tehlikeli olmadığını düşünebilir; ancak trafik onlara ulaşmadan önce, ağın IPS yoluyla en uç noktalarından temizlendiğini bilmemektedirler.
Güvenlik duvarı pazarı duruma geç uyandı, IPS’i güvenlik duvarlarına dahil etmeye başladı ve Yeni Nesil Güvenlik Duvarları oluşturdu. Bununla birlikte, IPS’in en iyi sonuçları tek başına kullanılan ürünlerdedir. Çünkü bu bir odaklanma meselesidir. Güvenlik duvarları uyuma odaklanmıştır (trafik X’e izin verilmektedir), IPS ise tehdit odaklıdır (trafik Y’nin kötü olduğu bilinmektedir). Güvenlik altyapısı meraklıları (tam açıklama: bu yazının sahibi Greg Young da onlardan biri!), bunun Olumlu ve Olumsuz Güvenlik Modelleri arasındaki temel fark olduğunu söyleyeceklerdir.
2018 IDPS Magic Quadrant’da Ne Yenilikler Var
Ben (Greg Young) ve bir meslektaşım 2005’te ilk Gartner IPS Magic Quadrant için görevlendirildik. O sene ve sonraki birkaç seneye ait raporun baş yazarı bendim. O tarihten bu yana da pazarın gelişimi konusunda gözlemciyim.
Trend Micro’nun Magic Quadrant’daki özellikleriyle bağlantılı blog yazısı burada.
Bu yılın en büyük değişimi, pazarın adı ve kapsamı: IDPS’e karşı IPS. Geçtiğimiz yıllarda güvenlik konusunda saldırı tespit etme ile saldırı önlemenin birbirlerine üstünlükleri konusunda verimsiz tartışmalar yaşanmıştır. Bu tartışmalarından biri, IPS’in her yerde olamaması nedeniyle, bir saldırının sonunda başarılı olacağı ve saldırı sonrası algılamanın en iyi mekanizma olduğudur. Alternatif argüman ise, eğer durdurulabiliyorsa bilinen saldırı trafiğinin devam etmesine neden izin verilsin? Yanıt, gerçek hayatta ve güvenlik konusundaki birçok şey gibi nüanstan kaynaklanıyor. IPS çekirdeğinde IDS’e hep sahipti. Fakat aynı şeylerin daha fazlası yerine, IDPS bazı önemli değişiklikleri kabul eder.
Birinci değişiklik, IPS’in tek bir paket akışında, olabildiğince derine gidebilir, akışlar arasındaki desende oldukça değerli güvenlik bağlamı bulunur. Ağ trafiği davranışı ve anormallik tespiti daima IPS ile biraz çakır, ancak bu yeterli değil. MQ’nun alt yarısına yeni satıcıların eklenmesiyle daha gelişmiş analizlerin geleceğine inanıyorum. Tehdit Zekası (TI), paket akışının daha akıllı ve gerçek zamanlı analizi için bir faktördür. Bununla birlikte, TI’nın kalitesi kablo hızlarında çalışırken önemlidir. Bu nedenle TI, sadece web URL’lerini yeniden paketlemek değil, IDPS için de optimize edilmelidir.
IPS’in, çoğunlukla statik imzalarının ötesine geçerek, yanlış-pozitif ve yanlış-negatifleri önlemek için IDPS’in daha yüksek kaliteli güvenlik açığı araştırması ve TI’ya ihtiyacı vardır. Algılamanın tek başına insanların çözeceği gürültülü ve bolca uyarılar üretme lüksü vardı. Ancak IDPS bizi kalitenin önemine geri döndürüyor. Bu kalite, güvenlik açığı araştırması için IDPS ve TI için gereklidir.
Başka bir gelişme, IPS’in sandbox ile entegrasyonu veya Advanced Threat Detection (ATD – Gelişmiş Tehdit Tespiti)’dir. IPS, hiçbir zaman bağlantıları hızlıca denetleyemedi ve bunu yapacak diğer ürünlere ihtiyaç duydu; çünkü ağ paket denetimi hızlı olmalı, aksi takdirde ekteki anti-malware incelemeleri biraz zaman aldığından, gecikme nedeniyle iletişim bozulabilir. Bu incelemeleri yapan ayrı ve birbirine bağlı olmayan ürünlerin bulunması bir ara boşluktu, bunların birbirlerine bağlanmaları ancak birleşmemeleri gerekiyordu. ATD’yi bağlamak veya entegre etmek, değerli yeni bir korelasyon kaynağı anlamına gelir ve potansiyel bir boşluğu doldurur ve boşluklar saldırganların denediği ve kullandığı şeylerdir. Bu bağlantı, korelasyonu elle yapmak zorunda olan güvenlik analistleri ve SOC’ler tarafından daha hızlı ve daha doğru olay çözünürlüğü üretmek için bir avantajdır.
Şekil 1 – IDPS’in 5 Nitelikleri (TrendMicro)
Stand-Alone IDPS’in Neden Eskiden Olduğundan Daha Önemli
“Ama ben bulut kullanıyorum, ağ güvenliğine ihtiyacım yok.” Sanallaştırılmış veri merkezleri ve hibrid bulut, IDPS’in her zamankinden daha önemli olduğu anlamına geliyor. Altyapı hiç bu kadar savunmasız olmadı, çünkü üzücü olan ve sürekli kanıtlanmış gerçek şu ki, güvenlik dışı ürünler satılırken güvenlik özellikleri öne çıkarılıyor. Veri merkezi mimarileri sil-baştan eskizinde yazılmıştır: Sanaldırlar, sürekli değişmekte ve dönüşmektedirler. Genel bulut ve sanallaştırma sağlayıcıları, isteğe bağlı bir IDPS’e değil sadece düşük özellikli bir IPS’e sahiptir. Sanal olmayan veri merkezlerimizdeki tehditleri engellerken sanal, karma bulut veya çoklu bulut mimarisine geçtik diye bunu yapmayı bırakmamalıyız. Veri merkezleri inanılmaz mimari değişiklikler geçiriyor. Bu durum gösteriyor ki, değişen mimariye izin vermek için IDPS yeni bir mimari araçtır. Bir tanesi temiz bir trafik akışı sağlarken bir diğeri ‘düzenlenemez’ veya bypass edilemez.