Donwload als JPG: Poster.jpg
Download als PDF: Poster.pdf

IT-Security

Kalibrierung von

Intrusion Detection Systems

Von:

Wolfram Fenske

 Marco Schmidt
wfenske@cs.uni-magdeburg.de marcschm@cs.uni-magdeburg.de
 

Aufbau eines IDS

Als Intrusion-Detection wird die aktive Überwachung von Computersystemen und/oder -netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch bezeichnet. Das Ziel von Intrusion-Detection besteht darin, aus allen im Überwachungsbereich stattfindenden Ereignissen mit Hilfe sog. Signaturen diejenigen herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten, um diese anschließend vertieft zu untersuchen. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.

Netzbasierte Sensoren (Netzsensoren) überwachen den Netzverkehr eines Rechners oder eines ganzen Teilnetzes auf verdächtige Ereignisse. Zum Betrieb jedes Netzsensors wird typischerweise ein separater Rechner eingesetzt, so dass andere Applikationen nicht gestört werden können.

Hostbasierte Sensoren (Hostsensoren) sind dadurch gekennzeichnet, dass sie auf dem zu

überwachenden System betrieben werden. Sie werden typischerweise eingesetzt, um Angriffe zu erkennen, die auf Anwendungs- oder Betriebssystemebene durchgeführt werden.

 

 

Grundsätze:

  • Es empfiehlt sich, zurückhaltend mit der Festlegung von Alarmen umzugehen. Bei zu vielen Fehlalarmen stumpft die Sensibilität des Incident-Response-Personals schnell ab.

  • Je detaillierter die Einsatzziele des IDS formuliert wurden und je genauer spezifiziert ist, was erkannt werden soll, desto einfacher gestaltet sich die Kalibrierung.

  • Für Ereignisse, die gemäß Konfiguration anderer Sicherheitskomponenten oder vorgegebener Richtlinien nicht auftreten sollten, können die zugehörigen Signaturen aktiviert werden. Ihr Auftreten stellt eine Anomalie dar und weist möglicherweise auf die Fehlkonfiguration anderer Komponenten oder auf sicherheitsgefährdende Aktivitäten hin.

  • Vor der Festlegung automatischer aktiver Reaktionen, wie etwa der Unterbrechung von Kommunikationsverbindungen, sind deren Auswirkungen im Fall von Fehlalarmen genau zu prüfen. Genau diese aktiven Reaktionen des IDS könnten von Angreifern durch Herbeiführen von Fehlalarmen provoziert werden.

  • Daher ist die Festlegung aktiver Reaktionen vor allem für solche Signaturen sinnvoll, durch die entstandene Schäden erkannt werden und bei denen eine Schadensbehebung oder -eingrenzung durch die Reaktion möglich ist. 

Optimale Kalibrierung: 

  • Die optimale Kalibrierung ist dann erreicht, wenn genau alle Meldungen des IDS, die eine Bearbeitung durch das Personal erfordern, von diesem auch bearbeitet werden können. Diese m Meldungen werden von den s Signaturen generiert, für die Alarmierung oder Protokollierung zur Nachverfolgung eingestellt wurde. Diese Kalibrierung kann natürlich erst im Betrieb des IDS gefunden werden. Sie muss, abhängig von der Gesamtanzahl der vom IDS geprüften Ereignisse und der Erfahrung des Personals, angepasst werden.

  • Ist die Anzahl der Meldungen, die manuelle Bearbeitung erfordern, geringer als die vom Personal zu bewältigende Anzahl m, so werden möglicherweise sicherheitskritische Vorgänge übersehen, da mit steigender Zahl von Meldungen auch die Anzahl der gemeldeten relevanten Ereignisse steigt.

  • Ist die Zahl der Meldungen wiederum zu hoch, werden weniger relevante Ereignisse vom Personal entdeckt, da bei steigender Zahl von Meldungen durch das IDS die Fehlerrate stärker wächst als die Anzahl gemeldeter relevanter Ereignisse. Die Wahrscheinlichkeit, dass das Personal einen Fehlalarm bearbeitet, ist in diesem Fall also höher als bei der optimalen Kalibrierung.

Kalibrierung

Definition:

Im Rahmen der Kalibrierung wird für jeden Sensor festgelegt, was der Sensor erkennen soll und wie er auf das erkannte Ereignis reagieren soll. D.h., für jeden Sensor muss für jede der bis zu einigen 1000 Signaturen eine IDS-Reaktion (Intrusion-Response) festgelegt werden.

Dieser Prozess ist sehr zeitaufwendig und sollte daher in 2 Stufen erfolgen:

1. Basiskonfiguration:

Hier wird die Reaktion des IDS insbesondere für Signaturen festgelegt, die besonders relevant für die Einsatzziele des IDS sind. Hierzu kann auch die Parametrisierung bestehen  der Signaturen, oder die Programmierung neuer Signaturen erforderlich sein.

2. Verfeinerung der Kalibrierung:

Im Verlauf des IDS-Betriebs erfolgt die Verfeinerung der Kalibrierung. Die möglichen   und realen Auswirkungen gemeldeter Ereignisse werden untersucht. Auf dieser Basis wer-  den die zugehörigen Signaturen neu bewertet.

Für jede Signatur wird eine der folgenden Intrusion-Responses festgelegt:

Alarmierung

Eine Alarmierung ist für Signaturen vorzusehen, bei denen die zugrunde liegenden Ereignisse mit hoher Wahrscheinlichkeit schadenverursachend sind.

Protokollierung zur Nachverfolgung

Ereignisse werden zur Nachverfolgung protokolliert, falls die Auswirkungen des der Signatur zugrunde liegenden Ereignisses bislang nicht geklärt wurden, oder die Signatur eine   hohe Wahrscheinlichkeit von Fehlalarmen aufweist.

Protokollierung für Auswertungszwecke

Das der Signatur zugrunde liegende Ereignis hat keine schädlichen Auswirkungen, wird   jedoch für Auswertungszwecke protokolliert.

Deaktivierung

Eine Signatur wird vollständig deaktiviert, wenn die durch die Signatur erkannten Ereignisse nachweislich unschädlich und auch für Auswertungszwecke nicht relevant sind.

Protokollierung als "Unbearbeitet"

Für Signaturen, deren zugrunde liegenden Ereignisse bislang nicht bewertet wurden, sollte   eine spezifische Kennzeichnung bei der Protokollierung vorgesehen werden.

m: vom Personal zu bewältigende Meldungen
s: aktive Signaturen
E: Gesamtzahl relevanter Ereignisse

 

 

Schlussfolgerungen

Der Betrieb eines IDS ist sehr personal- und damit kostenintensiv.

Die Kalibrierung sollte zweistufig erfolgen. Zunächst wird mit einer Basiskalibrierung gearbeitet, die im Betrieb angepasst und verfeinert wird.

Für optimalen Betrieb sollten ausreichende personelle Ressourcen vorhanden sein, um gemeldete Ereignisse bearbeiten zu können.

Bei begrenzten personellen Ressourcen lieber eine geringere Anzahl „guter“ Signaturen mit niedriger Fehlerkennungsrate aktivieren.

Die Kalibrierung muss im Betrieb abhängig vom zur Verfügung stehenden  Personal und der Ereignishäufigkeit angepasst werden.

Im Falle gezielter Angriffe und somit erhöhter Angriffslast sollte zusätzliches Personal zur Verfügung stehen, um wieder im Bereich der optimalen Kalibrierung zu arbeiten.

Die Kalibrierung sollte auch der Erfahrung des IDS-Personals angepasst werden, da mit wachsender Erfahrung auch die Zeit zur Beurteilung einer Meldung sinkt und im selben Zeitraum mehr Meldungen bearbeitet werden können.

 

Quellen