أنظمة كشف التسلل، تضع الآن بصماتها على صناعة تكنولوجيا المعلومات للوصول إلى مستوى جديد من أمان الشبكة، حيث انها ليست بسيطة وتتطلب جهدًا واهتمامًا مستمرين، كما يمكن أن تعاني جميع الأنواع من التحميل الزائد للمعلومات في الشبكات ذات النطاق الترددي المكثف وتتطلب معظم أنظمة (IDS) ضبطًا ودعمًا مستمرين.
- “IDS” اختصار لـ “Intrusion Detection System”.
مزايا أنظمة كشف التسلل إلى الشبكة
يمكن ضبطها لمحتوى معين في حزم الشبكة
قد تكون جدران الحماية قادرة على إظهار المنافذ وعناوين (IP) المستخدمة بين مضيفين، ولكن بالإضافة إلى ذلك يمكن ضبط (NIDS) وهو جهاز مستقل يتضمن إمكانيات كشف الشبكة، لتظهر المحتوى المحدد داخل الحزم، كما يمكن استخدام هذا للكشف عن الاختراقات مثل هجمات الاستغلال أو أجهزة نقطة النهاية المخترقة التي تعد جزءًا من الروبوتات.
- “NIDS” هي اختصار لـ “network intrusion detection system”.
- “IP” هي اختصار لـ “Internet Protocol”.
تمكن النظر إلى البيانات في سياق البروتوكول
عندما يقوم (NIDS) بتحليل البروتوكول، فإنه ينظر في حمولات (TCP) وهو بروتوكول التحكم بالنقل، حيث يمكن لأجهزة الاستشعار اكتشاف النشاط المشبوه لأنها تعرف كيف يجب أن تعمل البروتوكولات.
تمكن من تحديد وتقدير الهجمات
(IDS) يحلل كمية وأنواع الهجمات، حيث يمكن استخدام هذه المعلومات لتغيير أنظمة الأمان الخاصة أو تنفيذ ضوابط جديدة أكثر فعالية، كما يمكن أيضًا تحليلها لتحديد الأخطاء أو مشكلات تكوين جهاز الشبكة، كما يمكن بعد ذلك استخدام المقاييس لتقييم المخاطر المستقبلية.
تجعل من الأسهل مواكبة اللوائح
نظرًا لأن (IDS) يمنح رؤية أكبر عبر الشبكة، فإنها تجعل من السهل تلبية لوائح الأمان، حيث يمكن أيضًا استخدام سجلات (IDS) الخاصة كجزء من الوثائق لتلبية متطلبات معينة.
تمكن من زيادة الكفاءة
نظرًا لأن مستشعرات (IDS) يمكنها اكتشاف أجهزة الشبكة والمضيفين، بالتالي تمكن من فحص البيانات داخل حزم الشبكة وتحديد الخدمات أو أنظمة التشغيل التي يتم استخدامها، هذا يوفر الكثير من الوقت بالمقارنة مع القيام بذلك يدويًا، يمكن لـ (IDS) أيضًا أتمتة قوائم جرد الأجهزة، مما يقلل من العمالة، يمكن أن تساعد هذه الكفاءات المحسّنة في تقليل تكاليف موظفي المنظمة وتعويض تكلفة تنفيذ نظام كشف التسلل.
سلبيات أنظمة كشف التسلل عبر الشبكة
لا يستطيع منع الحوادث
(IDS) لا يمنع الهجمات، وإنما يساعد فقط في الكشف عنها، لهذا السبب، يجب أن يكون نظام كشف التسلل جزءًا من خطة شاملة تتضمن تدابير أمنية أخرى وموظفين يعرفون كيفية التصرف بشكل مناسب.
تتطلب مهندسين من ذوي الخبرة لإدارتها
يعتبر نظام (IDS) مفيدًا للغاية في مراقبة الشبكة، لكن فائدتها كلها تعتمد على ما تفعله بالمعلومات التي يقدمونها، نظرًا لأن أدوات الكشف لا تمنع المشكلات المحتملة أو تحلها، فهي غير فعالة في إضافة طبقة من الأمان ما لم يكن لدى المستخدم الموظفون المناسبون والسياسة لإدارتها والتصرف على أي تهديدات.
لا يقوم بمعالجة الحزم المشفرة
لا يمكن لـنظام (IDS) رؤية الحزم المشفرة، لذلك يمكن للمتطفلين استخدامها للتسلل إلى الشبكة، حيث لن يسجل (IDS) هذه الاختراقات حتى تتعمق في الشبكة، مما يترك الأنظمة معرضة للخطر حتى يتم اكتشاف التطفل، هذا مصدر قلق كبير حيث أصبح التشفير أكثر انتشارًا للحفاظ على أمان البيانات.
من الممكن تزوير حزم IP
تتم قراءة المعلومات من حزمة (IP) بواسطة (IDS)، ولكن لا يزال من الممكن انتحال عنوان الشبكة، إذا كان المهاجم يستخدم عنوانًا مزيفًا، فإنه يجعل اكتشاف التهديد وتقييمه أكثر صعوبة.
الإيجابيات الكاذبة متكررة
تتمثل إحدى المشكلات المهمة في (IDS) في أنها تنبه المستخدم بانتظام إلى الإيجابيات الكاذبة، حيث انه في كثير من الحالات، تكون النتائج الإيجابية الخاطئة أكثر تكرارًا من التهديدات الفعلية، كما يمكن ضبط نظام تحديد الهوية (IDS) لتقليل عدد الإيجابيات الخاطئة، ومع ذلك سيظل المهندسين مضطرين لقضاء بعض الوقت في الرد عليها، إذا لم يهتموا بمراقبة الإيجابيات الكاذبة، فيمكن أن تتسلل الهجمات الحقيقية أو يتم تجاهلها.
عرضة لهجمات البروتوكول
تقوم (NIDS) بتحليل البروتوكولات بمجرد التقاطها، مما يعني أنها تواجه نفس الهجمات القائمة على البروتوكول مثل مضيفي الشبكة، حيث يمكن أن تتعطل (NIDS) بسبب أخطاء محلل البروتوكول وأيضًا البيانات غير الصالحة.
تتطلب تحديث مكتبة التوقيع باستمرار لاكتشاف أحدث التهديدات
(IDS) جيد فقط مثل مكتبة التوقيع الخاصة به، إذا لم يتم تحديثه بشكل متكرر، فلن يسجل أحدث الهجمات ولا يمكنه التنبيه بها، حيث ان هناك مشكلة أخرى وهي أن الأنظمة معرضة للخطر حتى يتم إضافة تهديد جديد إلى مكتبة التوقيع، وبالتالي فإن الهجمات الأخيرة ستكون دائمًا مصدر قلق كبير.