Detektering av IT-attacker - Intrångsdetekteringssystem och systemadministratörens roll
Publiceringsdatum: 2012-05-15
Rapportnummer: FOI-R--3419--SE
Sidor: 40
Skriven på: Svenska
Nyckelord:
- IDS
- Intrångsdetektering
- Intrångsdetekteringssystem
- IT-attacker
- IT-försvar
- Systemadministratör
- Experiment
Sammanfattning
Intrångsdetekteringssystem övervakar datorsystem i syfte att upptäcka attacker som görs mot dem. I driftsatta installationer genereras vanligtvis alarm för misstänkta händelser, och en systemadministratör inspekterar denna alarmlista för att skapa sig en överblick över annalkande hot och pågående attacker. Ett problem med dagens intrångsdetekteringssystem är den stora mängd falsklarm som de genererar. Erfarenheter från praktisk användning av intrångsdetekteringssystem pekar på att systemadministratören har en viktig roll att spela när intrångsdetekteringssystem används. Erfarenheten är att systemadministratören behövs för att filtrera bort falsklarm genom att korrelera olika alarm och tolka dem med hjälp sin expertkunskap. Denna rapport beskriver ett experiment som gjorts under 2011 med syftena att (1) undersöka detektionsförmågan i en intrångsdetekteringslösning som motsvarar industristandard och (2) att analysera systemadministratörens roll i detektionsprocessen. Experimentet bekräftar tidigare forskning som pekat på problem med en stor andel falsklarm. Experimentet visar också att andelen falsklarm kan minskas utan att i större uträckning påverka andelen upptäckta attacker om alarmen filtreras baserat på expertkunskap om det attackerade datornätet, datornät i allmänhet, attacker i allmänhet och hur hotbilden ser ut.