Elke applicatie, inclusief malware, heeft een ander patroon dan de acties, bestandsgrootte, file hashes en gecompileerde code. Dit patroon wordt een handtekening genoemd. Inbraakdetectie op basis van handtekeningen onderzoekt het verkeer over een netwerk om kwaadaardige softwarehandtekeningen te detecteren. Hoewel het een oudere vorm van malwaredetectie is, is op handtekeningen gebaseerde detectie nauwkeurig en nog steeds levensvatbaar in cyberbeveiliging en dataprotectie.
Wat is Signature-based Intrusion Detection?
Inbraakdetectie op basis van handtekeningen identificeert bedreigingen door systeemactiviteit te vergelijken met een database met bekende aanvalspatronen of handtekeningen om kwaadaardig gedrag te detecteren.
Malware wordt, net als elk ander programma, verzameld in binaire computertaal. De samengestelde code kan worden gehasht om een unieke handtekening te creëren, maar andere kenmerken kunnen ook een handtekening creëren. De acties die malware samen met de in-memory code uitvoert, kunnen de unieke handtekening bepalen. Sommige malware geeft auteurszinnen weer die in het geheugen zijn opgeslagen, terwijl andere specifieke bestanden op specifieke locaties opslaan, die ook in het specifieke patroon worden opgenomen.
Moderne malware communiceert vaak met een command-and-control (C2)-locatie. De malware heeft hardgecodeerde IP-adressen of domeinnamen om met de auteur te communiceren. Communicatie laat de aanvaller weten dat een gerichte machine nu de malware uitvoert en dat hun aanval succesvol was. Firewalls en inbraakdetectiesystemen kunnen verzoeken detecteren om op deze IP-adressen en domeinen te communiceren om beheerders te waarschuwen voor verdachte activiteiten.
Hoe Signature-gebaseerde inbraakdetectie werkt
Om te werken met op handtekeningen gebaseerde inbraakdetectie, moet u eerst malwarehandtekeningen opslaan. Handtekeningen worden opgeslagen in een database, meestal geleverd door de aanbieder van inbraakdetectie. De handtekening die als indicator wordt gekozen, wordt bepaald door beveiligingsonderzoekers die hun bevindingen vaak delen op open source-locaties. De populaire YARA-tool kan bijvoorbeeld worden gebruikt om malwarehandtekeningen te classificeren en te maken.
Inbraakdetectiesystemen monitoren het netwerkverkeer voortdurend op malwarehandtekeningen. Ze vergelijken netwerkverkeer met de handtekeningen die zijn opgeslagen in de database van het inbraakdetectiesysteem. Wanneer een handtekening in het verkeer wordt gedetecteerd, onderneemt inbraakdetectie actie zoals het waarschuwen van beheerders.
Voordelen van Signature-based Intrusion Detection
Omdat handtekeningen zijn gebouwd op malware, is het een veel nauwkeuriger systeem dan andere op anomalie gebaseerde detectie. Handtekeningen zijn statisch, op voorwaarde dat de malware-auteur geen wijzigingen aanbrengt en een variant introduceert, dus inbraakdetectie met een bijgewerkte database heeft zeer weinig valse positieven. Valse positieven doen zich voor wanneer de inbraakdetectie een toepassing onjuist markeert.
Een ander voordeel van detectie op basis van handtekeningen is dat het snel is en geen benchmarkgegevens vereist. Handtekeningen kunnen snel worden geïdentificeerd zonder eerst data te verzamelen om te bepalen of de activiteit niet overeenkomt met benchmarks. Op anomalie gebaseerde detectie heeft bijvoorbeeld een benchmark van activiteit op bestanden nodig voordat het kan bepalen of te veel toegangsverzoeken malware of gemeenschappelijke netwerkactiviteit kunnen zijn.
Beperkingen van op handtekeningen gebaseerde inbraakdetectie
Om malwarehandtekeningen te hebben, moet de bedreiging bekend zijn. Zero-day bedreigingen zijn bedreigingen die niet in het wild worden gezien, dus ze hebben geen handtekening om te detecteren. Een gebrek aan handtekeningen in zero-day bedreigingen betekent dat inbraakdetectie die afhankelijk is van handtekeningen ze niet kan detecteren. Zonder volledige dekking kan dit type inbraakdetectie beheerders een vals gevoel van veiligheid geven.
Op handtekeningen gebaseerde inbraakdetectie heeft ook meer resources nodig dan andere vormen van inbraakdetectie. Verkeer wordt voortdurend vergeleken met een lijst met handtekeningen in een database, en uw handtekeningdatabase kan miljoenen opgeslagen items bevatten. Om inbraakdetectie met behulp van handtekeningen mogelijk te maken, moet u er ook voor zorgen dat de database consistent wordt bijgewerkt. Cloudproviders bieden meestal updates, maar voor lokale opslag kunnen handmatige acties van netwerkbeheerders nodig zijn.
Gebruikssituaties en applicaties
Elke industrie met lokale en clouddata kan gebruikmaken van op handtekeningen gebaseerde inbraakdetectie, maar het wordt vaak gebruikt als één component in dataprotectie. Op handtekeningen gebaseerde inbraakdetectie is geweldig voor het onmiddellijk identificeren van bekende bedreigingen met weinig valse positieven. Een zorgverlener kan dit type inbraakdetectie bijvoorbeeld gebruiken om zich te beschermen tegen bekende ransomware. Ransomware richt zich meestal op gezondheidszorginstellingen, ziekenhuizen en verzekeringsmaatschappijen omdat ze vaak verouderde software hebben. Bescherming op basis van handtekeningen kan deze bedreigingen onmiddellijk stoppen, vooral in combinatie met inbraakpreventiesystemen.
Klantenserviceorganisaties zijn een ander gemeenschappelijk doel omdat ze bijlagen van klanten ontvangen om te beoordelen. Als een bijlage malware bevat, kan de handtekening van de malware worden gedetecteerd. Inbraakdetectie is waardevol in netwerksegmenten waar e-mailbijlagen van derden worden gedownload en opgeslagen.
Conclusie
Cyberbeveiliging op bedrijfsniveau vereist verschillende beschermingslagen. Signature-gebaseerde inbraakdetectie is één laag, maar u hebt er verschillende nodig om uw omgeving volledig te beschermen. Met op handtekeningen gebaseerde beveiliging kunt u uw omgeving beschermen tegen bekende bedreigingen, die een grote factor zijn bij datalekken.
Het opslaan van handtekeningen en andere beveiligingsanalyses vereist robuuste opslagsystemen. Pure Storage heeft de snelheid en capaciteit voor grote omgevingen met complexe inbraakdetectie. Pure Storage werkt samen met Elasticsearch voor snellere zoekopdrachten en veerkrachtige architectuur voor schaalbaarheid.
