Saldırı Tespit ve Önleme Sistemleri, IPS IDS Nedir
Günümüzde internet ağların karmaşık bir yapıya sahip olması, siber saldırıların her geçen gün çeşitlenmesi ve hız kazanması, bu karmaşık ağ sistemlerinin yalnızca şifreleme veya güvenlik duvarı ile korunamayacağı gereceğini ortaya çıkarmış ve ağ trafiğinin devamlı izlenip saldırı girişimlerinin gerçek zamanlı olarak tespitini kaçınılmaz hale getirmiştir. Olası saldırı, ihlal ve tehditlerin tespiti için ağ üzerinde gerçekleşen aktivitelerin izlenmesi ve trafiğin analiz edilmesini sağlayan yöntemleri kapsayan saldırı tespit sistemleri, önemli güvenlik teknoloji bileşenlerinden biridir.
Saldırı önleme sistemleri ise saldırıların saptanıp önlenmesi işlemlerini sağlayan ağ güvenlik sistemleridir. (IDS/IPS) Saldırı tespit ve önleme sistemleri, ağı sıklıkla monitör etmek, olabilecek tehditleri tanımlamak ve bunlarla ilgili olay kayıtlarını tutmak, saldırıları durdurmak ve güvenlik yöneticilerine raporlamak gibi görevleri yerine getirmektedir.
Bu sistemler bazı durumlarda firma ve kurumların güvenlik politikalarındaki zayıflıkları ortaya çıkarmak için de kullanılabilmektedir. Saldırı engelleme sistemleri aynı zamanda saldırganların ağla ilgili bilgi toplama faaliyetlerini algılar ve saldırganların sistemler hakkında bilgi alması engeller ve bu aşamada da durdurabilme işlemini gerçekleştirebilirler.
Saldırı tespit ve önleme sistemleri ağ saldırılarına karşı ağ içinde stratejik bir konumda olmalıdır. Böylece herhangi bir saldırı veya anormal ağ trafiği hızlı bir şekilde tespit edilebilir ve siber olaylara tespit ve müdahale ekipleri tarafından olaylar büyümeden gerekli önlemlerin alınması sağlanabilir.
Saldırı Önleme Sistemi Türleri
Saldırı Tespit Sisteminin (Intrusion Detection System (IDS) çalışma mantığı sadece (pasif izleme ve dinleme) esası üzerine kurulu olup ağ üzerinde herhangi bir anormallik ve ihlal olduğunda tespit eder ancak siber önleme amaçlı herhangi bir işlem yapmaz kendi sistemi üzerinde bulunan alarmlar ile ilgili güvenlik birimine uyarı mesajları atar.
Saldırı Önleme Sistemi (Intrusion Prevention System (IPS) ise, aktif (izleme ve otomatik savunma) ve/veya pasif aktif bir görev alarak ağınıza gelebilecek tehditleri statiksel anormalliğe dayalı algılama, imza algılama ve güncel zararlı yazılım veritabanına bakıp değerlendirerek siber tehditleri önleyen sistemlerdir. Kendi üzerlerinde alarmlar oluşturup gönderir ve ihlalleri algılar, kaynak trafiği engeller.
Siber Güvenlik sistemlerinin bulunduğu ağlarda milyonlarca olay kaydı olup, bu kayıtları her bir sistem üzerinde tek başına bırakmak doğru değildir. Bu sistemleri ağ üzerinde kurulu bir siber olay yönetimi sistemleri “SIEM” aracılığıyla daha detaylı bir şekilde alarmlar ve kayıtlar üretilmesi sağlanarak ilgili siber olaylara tespit ve müdahale ekiplerine daha detaylı izleme saldırı tespiti yapmaları sağlanıp siber tehditlere karşı önlemler alınması sağlanabilir.
Saldırı Tespit ve Engelleme Sistemleri (IDS/IPS) 3 farklı çalışma metodolojisiyle, trafiği izleyip saldırıları engeller.
Bu yöntemler;
- Oluşabilecek tehditleri saptamak için ağ trafiğinde zararlı paketi ve byte analizlerini arayarak kendi üzerinde bulunan veri tabanındaki atak ve imzalar ile karşılaştırır ve bu yönteme imza tabanlı tespit denir.
- Trafiği dinleyerek daha önce belirlenmiş normal trafik ile karşılaştırarak normal trafiğin üstünde bir seviye olursa anomali tabanlı tespit işlemi yapar.
- Oluşturulan profiller ile trafik izlenir ve her türlü şüpheli aktivitenin karşılaştırılması ve sapmaları tespit edilip durum protokol analizi yaparak siber tehditler engellenir.
Bilişim sistemlerinizi, ağınızı, Saldırı Tespit ve Önleme Sistemleri ile korumadığınız sürece güvenlik zafiyeti oluşabilecektir. Saldırı Tespiti ve engellenmesi, siber güvenliğin vazgeçilmez unsurlarındandır.
Siber güvenliğin önemi hakkında bilgi sahibi olmak istiyorsanız https://www.terabilisim.com/siber-guvenlik-nedir-neden-onemlidir-gereklidir/ yazımızı inceleyebilirsiniz.