ISO/IEC 18043:2006
(Main)Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems
Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems
ISO/IEC 18043:2006 provides guidance for an organization that decides to include an intrusion detection capability within its IT infrastructure. It is a "how to" for managers and users who want to: understand the benefits and limitations of IDS; develop a strategy and implementation plan for IDS; effectively manage the outputs of an IDS; integrate intrusion detection into the organization's security practices; and understand the legal and privacy issues involved in the deployment of IDS. ISO/IEC 18043:2006 provides information that will facilitate collaboration among organizations using IDS. The common framework it provides will help make it easier for organizations to exchange information about intrusions that cut across organizational boundaries. ISO/IEC 18043:2006 provides a brief overview of the intrusion detection process; discusses what an IDS can and cannot do; provides a checklist that helps identify the best IDS features for a specific IT environment; describes various deployment strategies; provides guidance on managing alerts from IDSs; and discusses management and legal considerations.
Technologies de l'information — Techniques de sécurité — Sélection, déploiement et opérations des systèmes de détection d'intrusion
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ
18043
Первое издание
2006-06-15
Информационные технологии. Методы
защиты. Выбор, применение и
операции систем обнаружения
вторжения
Information technology — Security techniques — Selection, deployment
and operations of intrusion detection systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO/IEC 18043:2006(R)
©
ISO/IEC 2006
---------------------- Page: 1 ----------------------
ISO/IEC 18043:2006(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO/IEC 2006
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2006– Все права сохраняются
---------------------- Page: 2 ----------------------
ISO/IEC 18043:2006(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Термины и определения .1
3 Предварительные данные.5
4 Общие положения .6
5 Выбор .7
5.1 Оценка риска информационной безопасности .8
5.2 IDS на базе хост- машины и сети.8
5.3 Обсуждение .9
5.4 Инструментарий, который дополняет IDS.15
5.5 Расширяемость.19
5.6 Техническая поддержка .20
5.7 Обучение .20
6 Ввод в действие .20
6.1 Многоэтапный ввод в действие .21
7 Эксплуатация.25
7.1 Настройка IDS.25
7.2 Уязвимости IDS .25
7.3 Обработка предупреждений IDS.25
7.4 Варианты ответных действий .28
7.5 Соображения правового порядка .29
Приложение A (информативное) Система обнаружения вторжения (IDS): Структура и
проблемы, которые должны рассматриваться .31
A.1 Введение в Обнаружение Вторжений .31
A.2 Типы вторжений и атак.32
A.3 Групповая Модель Процесса Обнаружения Вторжения.33
A.4 Типы IDS.40
A.5 Архитектура .44
A.6 Управление IDS .46
A.7 Вопросы Реализации и Применения .48
A.8 Вопросы Обнаружения Вторжений.51
Библиография.54
© ISO/IEC 2006– Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO/IEC 18043:2006(R)
Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) создали специализированную систему всемирной стандартизации. Национальные организации,
являющиеся комитетами-членами ISO или IEC, участвуют в разработке международных стандартов
через технические комитеты, учрежденные соответствующей организацией для того, чтобы
заниматься отдельными областями технической деятельности. Технические комитеты ISO и IEC
сотрудничают в областях, представляющих взаимный интерес. Другие правительственные и
неправительственные международные организации, сотрудничающие с ISO и IEC, также принимают
участие в этой работе. В области информационной технологии ISO и IEC учредили Совместный
Технический комитет ISO/IEC JTC1.
Проекты международных стандартов разрабатываются согласно правилам, привёденным в Директивах
ISO/IEC, Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Для публикации в качестве международного стандарта требуется одобрение не менее
75 % комитетов-членов, принявших участие в голосовании.
Следует иметь в виду, что, возможно, некоторые элементы настоящего документа могут быть
объектом патентных прав. ISO не несет ответственность за определение некоторых или всех таких
патентных прав.
ISO/IEC 18043 подготовлен Совместным Техническим комитетом ISO/IEC JTC1, Информационные
технологии, Подкомитетом SC 27, Методы защиты в Информационных технологиях.
Официальное уведомление
Национальный Институт Стандартов и Технологии (NIST) настоящим предоставляет ISO/IEC
неисключительную лицензию на использование Специальной публикации NIST по Системам
обнаружения вторжения (SP800-31) при разработке Международного стандарта ISO/IEC 18043. Однако
NIST сохраняет право на использование, копирование, распространение или модификацию SP800-31,
когда он посчитает это необходимым.
iv © ISO/IEC 2006 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO/IEC 18043:2006(R)
Введение
Организации должны не только знать когда, где и как произошло вторжение в их сеть, систему или
приложение, они также должны знать какое слабое место было использовано и какие меры
безопасности или соответствующие опции обработки рисков (т.е. перенос риска, приемлемая степень
риска, исключение риска) должны быть реализованы, чтобы предотвратить подобное вторжение в
будущем. Организации должны также распознавать и отражать кибернетические проникновения. Это
требует анализа хост и сетевого трафика и/или контрольного следа для сигнатур атаки или
специфичного шаблона, которые обычно указывают злонамеренные или подозрительные намерения.
В середине 1990 годов организации начали использовать Системы Обнаружения Вторжения (IDS) для
осуществления этих потребностей. Общее применение IDS продолжает расширяться с более широким
набором продуктов IDS, которые стали доступны для удовлетворения возрастающего уровня запросов
организаций в повышенных возможностях обнаружения вторжения.
Для организации в порядке вещей извлекать максимальные выгоды от IDS, поэтому процесс выбора
IDS, ввод в действие и операции должны тщательно планироваться и реализовываться надлежащим
образом подготовленным и опытным персоналом. В случае, когда этот процесс успешно выполняется,
продукты IDS могут помочь организации получить информацию о вторжении и могут использоваться
как важное предохранительное средство в общей инфраструктуре информационной и
коммуникационной технологии (ICT).
Данный международный стандарт обеспечивает руководящие принципы для эффективного выбора
IDS, ввода в действие и эксплуатацию, а также основные сведения об IDS. Он также пригоден для тех
организаций, которые рассматривают привлечение соисполнителей для реализации возможностей
обнаружения вторжения. Информацию по соглашениям на уровне услуг внешних соисполнителей
можно найти в процессах Менеджмента услуг в Информационных технологиях (ITSM) на базе
ISO/IEC 20000.
© ISO/IEC 2006– Все права сохраняются v
---------------------- Page: 5 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 18043:2006(R))
Информационные технологии. Методы защиты. Выбор,
применение и операции систем обнаружения вторжения
1 Область применения
В данном международном стандарте предусматриваются руководящие принципы для помощи
организациям в использовании Системы Обнаружения Вторжения (IDS). В частности, в стандарте
обращается внимание на выбор, применение и операции IDS. Он также содержит дополнительную
информацию, на основании которой эти руководящие принципы были получены.
Данный международный стандарт может быть полезен:
a) организации в удовлетворении следующих требований ISO/IEC 27001:
- Организация должна реализовать процедуры и другие управляющие воздействия, способные к
быстрому обнаружению и ответным действиям при инцидентах защиты.
- Организация должна выполнять процедуры мониторинга и анализа и другие управляющие
воздействия для надлежащего распознавания неудавшихся и успешных нарушений защиты и
инцидентов.
b) организации в реализации средств управления, которые удовлетворяют следующим целям
защиты ISO/IEC 17799.
– Обнаружить несанкционированные действия при обработке информации.
– Системы должны отслеживаться, и события информационной безопасности должны
регистрироваться. Должны использоваться операторские журналы регистрации и журналы
регистрации неисправностей для идентификации проблем информационной системы.
– Организация должна соблюдать все соответствующие юридические требования, применимые к
действиям по мониторингу и регистрации.
– Должен использоваться мониторинг системы для проверки эффективности принятых средств
управления и проверки соответствия модели стратегии доступа.
Организация должна признать, что использование IDS не является единственным и/или
исчерпывающим решением для удовлетворения и соответствия вышеназванным требованиям. Более
того, данный международный стандарт не предназначен быть критерием для оценок соответствия
любого вида, например, для сертификации как Системы Менеджмента Защиты Информации (ISMS),
сертификации продуктов и услуг IDS.
2 Термины и определения
Применительно к данному документу применяются следующие термины и определения.
2.1
атака
attack
попытки разрушить, подвергнуть воздействию, изменить или вывести из строя Информационную
систему и/или информацию в ней или иные нарушения политики безопасности
© ISO/IEC 2006 – Все права сохраняются 1
---------------------- Page: 6 ----------------------
ISO/IEC 18043:2006(R)
2.2
сигнатура атаки
attack signature
последовательность компьютерных действий или изменений, которые использовались при атаке и
которые используются также IDS для обнаружения атаки и часто определяются путем проверки
сетевого трафика или журналов хост- машины
ПРИМЕЧАНИЕ Она может рассматриваться также как шаблон атаки.
2.3
удостоверение
attestation
вариант шифрования открытым ключом, который позволяет программам и устройствам IDS
аутентифицировать их идентичность с удаленными участвующими сторонами
ПРИМЕЧАНИЕ См. Раздел 2.21, Удаленное удостоверение.
2.4
мост
bridge
сетевое оборудование, которое прозрачно соединяет локальную сеть (LAN) на уровне 2 OSI к другой
локальной сети, которая использует тот же протокол
2.5
криптографическое значение хэш-функции
cryptographic hash value
математическое значение, которое присваивается файлу и используется для последующего
“тестирования” этого файла, чтобы проверить не изменились ли предумышленно данные,
содержащиеся в этом файле
2.6
отказ от обслуживания при атаке
DoS (Denial-of-Service) attack
предотвращение санкционированного доступа к ресурсам системы или задержка операций или
функций системы
[ISO/IEC 18028-1]
2.7
демилитаризованная зона
Demilitarized Zone DMZ
логическое и физическое сетевое пространство между маршрутизатором периметра и внешним
брандмауэром
ПРИМЕЧАНИЕ 1 DMZ может быть между сетями и подвергаться тщательному наблюдению, но не быть им.
ПРИМЕЧАНИЕ 2 Ими обычно являются незащищенные области, содержащие защищенные хост-машины,
которые предоставляют услуги общего пользования.
2.8
использовать
exploit
определенный способ прорвать защиту Информационной системы через слабое место
2.9
брандмауэр
firewall
тип защитного шлюза или барьера, размещенного между сетевыми средами – состоящий из
2 © ISO/IEC 2006 – Все права сохраняются
---------------------- Page: 7 ----------------------
ISO/IEC 18043:2006(R)
специализированного устройства или составной из нескольких компонентов и методов – через который
проходят все трафики из одной сетевой среды в другую, и разрешается пропускать только
санкционированный трафик
[ISO/IEC 18028-1]
2.10
ошибочный допуск
false positive
предупреждение IDS, когда нет атаки
2.11
ошибочный отказ
false negative
нет предупреждения IDS, когда происходит атака
2.12
хост
host
адресуемая система или компьютер в сетях на базе TCP/IP, аналогичных Интернету
2.13
злоумышленник
intruder
субъект, который проводит или провел вторжение или атаку на хост, сеть, сайт или организацию
2.14
вторжение
intrusion
несанкционированный доступ к сети или системе, подсоединенной к сети, т.е. предумышленный или
случайный доступ несанкционированный доступ к информационной системе для включения
злонамеренного действия против системы, или несанкционированное использования ресурсов в
информационной системе
2.15
обнаружение вторжения
intrusion detection
формальный процесс обнаружения вторжений, обычно характеризующийся получением знаний о
ненормальном использовании шаблонов, а также какого рода, как и какое слабое место было
использовано, включая как и когда это произошло
2.16
система обнаружения вторжения
intrusion detection system
IDS
информационная система, используемая для определения того, была ли попытка вторжения, оно
происходит или произошло, а также ответного действия в Информационной системе и сетях
2.17
система предотвращения вторжения
intrusion prevention system
IPS
вариант систем обнаружения вторжения, который специально разработан для обеспечения
возможности активного ответного действия
©
ISO/IEC 2006– Все права сохраняются 3
---------------------- Page: 8 ----------------------
ISO/IEC 18043:2006(R)
2.18
приманка
honeypot
обобщающий термин для ложной системы, используемой для обмана, отвлечения, отвода и
поощрения нарушителя затратить время на информацию, которая появляется как ценная, но
фактически сфабрикована и не представляет интереса для законного пользователя
2.19
проникновение
penetration
несанкционированный акт обхода механизмов защиты Информационной системы
2.20
инициализация
provisioning
процесс удаленного поиска новых обновлений программ с веб-сайта поставщика и загрузка
обновлений в установленном порядке
2.21
удаленное удостоверение
remote attestation
процессы использования цифровых сертификатов для обеспечения идентичности, а также
технической и программной конфигурации IDS и безопасной передачи этой информации в доверенный
цент службы эксплуатации
2.22
ответное действие (ответ на событие или ответ на вторжение)
response (incident response or intrusion response)
действия, принимаемые для защиты и восстановления нормальных рабочих условий Информационной
Системы и хранимой в ней информации, когда происходит атака или вторжение
2.23
маршрутизатор
router
сетевое устройство, используемое для установления и контроля потока данных между различными
сетями, которое само может базироваться на различных сетевых протоколах, путем выбора путей или
маршрутов на основе механизмов или алгоритмов протокола маршрутизации
ПРИМЕЧАНИЕ Информация по маршрутизации хранится в таблице маршрутов.
[ISO/IEC 18028-1]
2.24
сервер
server
компьютерная система или программа, которая предоставляет услуги другим компьютерам
2.25
соглашение об уровне сервиса
Service Level Agreement
контракт, который определяет техническую поддержку или требуемые профессиональные рабочие
характеристики, включая функционирование и последствия при неисправности, которые провайдер
может предоставить своим клиентам
4 © ISO/IEC 2006 – Все права сохраняются
---------------------- Page: 9 ----------------------
ISO/IEC 18043:2006(R)
2.26
сенсор
sensor
компонент/агент IDS, который собирает данные о событиях из Информационной Системы или сети,
находящейся под наблюдением
ПРИМЕЧАНИЕ Указывается также как монитор.
2.27
подсеть
subnet
часть сети, в которой совместно используется компонент общих адресов
2.28
переключатель
switch
устройство, которое обеспечивает возможность соединения между устройствами, объединенными в
сеть, с помощью внутренних механизмов переключения
ПРИМЕЧАНИЕ Переключатели отличаются от других устройств межкомпонентного соединения в локальной
сети (например, от концентратора), поскольку технология, используемая в переключателях, устанавливает
соединения на двухточечной основе. Это гарантирует, что сетевой трафик рассматривается только адресуемыми
сетевыми устройствами и дает возможность при маршрутизации иметь несколько соединений одновременно.
[ISO/IEC 18028-1]
2.29
контрольные точки доступа
Test Access Points
TAP
обычно пассивные устройства, которые не устанавливают служебные данные на пакете, они также
повышают уровень защиты, поскольку они делают интерфейс сбора данных невидимым в сети, когда
переключатель может еще поддерживать информацию уровня 2 о порте. TAP предоставляет также
функциональные возможности для многих портов, поэтому проблемы сети могут отлаживаться без
потери возможностей IDS
2.30
троянский конь
trojan horse
злоумышленная программа, которая выдает себя за благоприятное приложение
3 Предварительные данные
Назначение Системы Обнаружения Вторжения (IDS) состоит в пассивном мониторинге, обнаружении и
регистрации несоответствующих, неправильных, подозрительных или ненормальных действий,
которые могут представлять собой вторжение, и обеспечении предупреждения, когда такие действия
обнаруживаются. На персонале Обеспечения безопасности Информационной Системы лежит
ответственность за активный просмотр журналов регистрации IDS и принятие решения по
последующим действиям при любой попытке несоответствующего доступа.
Когда организации необходимо быстро обнаруживать вторжения в ее Информационную систему и
быстро реагировать на них, организация должна рассмотреть применение IDS. Организация может
развернуть IDS путем приобретения программного обеспечения и/или аппаратных изделий или путем
привлечения внешних возможностей IDS у провайдера услуг IDS.
Существует много коммерчески доступных или открытых продуктов и услуг IDS, которые основаны на
различных технологиях и подходах. Кроме того, IDS не является технологией “включай и работай”.
Поэтому когда организация готовится к использованию IDS, она должна быть, как минимум,
©
ISO/IEC 2006– Все права сохраняются 5
---------------------- Page: 10 ----------------------
ISO/IEC 18043:2006(R)
ознакомлена с руководящими принципами и информацией, приводимой в данном стандарте.
Основные сведения о IDS представлены, главным образом, в Приложении A. В этом Приложении
поясняются различные характеристики двух основных типов IDS: IDS на базе хост- машины (HIDS) и
IDS на базе сети (NIDS), а также двух основных подходов при анализе во время обнаружения, т.е.
Подход на основе злоупотребления и Подход на основе аномалии.
Для HIDS источником информации для обнаружения является одна хост- машина, в то время как NIDS
извлекает ее из трафика на сегменте сети. В подходе на базе злоупотребления атаки на
Информационные системы моделируются как характерные сигнатуры атаки, система систематически
сканируется на появление этих сигнатур атаки. Процесс включает специальное кодирование
предшествующего поведения и действий, которые считались вторжениями или злоумышленными.
Подход на базе аномалий пытается обнаружить вторжения путем фиксации значительных отклонений
от нормального поведения. Он функционирует в предположении, что атаки отличаются от
нормальной/законной работы и, следовательно, могут быть обнаружены системами, которые
идентифицируют эти различия.
Организация должна понимать, что источник информации и различные подходы к анализу имеют как
достоинства, так и недостатки или ограничения, которые могут повлиять на способность или
неспособность обнаружить атаки и на степень сложности, связанный с установкой и поддержанием
IDS.
4 Общие положения
Функции и ограничения IDS, представленные а Приложении A, указывают на то, что организация должна
комбинировать подходы на базе хост- машины (включая мониторинг приложений) и на базе сети для
достижения достаточно полного охвата возможных вторжений. Каждый тип IDS имеет свою силу и
ограничения; вместе они могут лучше обеспечить охват событий защиты и анализ тревожных сигналов.
Объединение технологий IDS зависит от наличия механизма взаимосвязи в системе управления
предупреждениями. Ручное соединение предупреждений HIDS и NIDS может привести к перегрузке
оператора IDS без какой-либо дополнительной пользы, и результат может быть хуже, чем при выборе
наиболее подходящих выходных данных IDS одного типа.
Процесс выбора, применения и эксплуатации IDS в рамках организации показан на Рисунке 1 вместе с
указанием раздела, в котором описываются основные шаги в этом процессе.
6 © ISO/IEC 2006 – Все права сохраняются
---------------------- Page: 11 ----------------------
ISO/IEC 18043:2006(R)
Рисунок 1 - Выбор, ввод в действие и операции IDS
5 Выбор
Существует много доступных продуктов IDS и семейств этих продуктов. Они колеблются от рыночных
предложений свободно распространяемого ПО, которые могут применяться на недорогих хост –
машинах, до очень дорогостоящих коммерческих систем, требующих наличия самых последних
технических средств. Поскольку при выборе существует много различных продуктов IDS, процесс
выбора IDS, который наилучшим образом подходил бы к потребностям организации, достаточно
трудный. Более того, может быть ограниченная совместимость между различными продуктами IDS,
предлагаемыми на рынке. Кроме того, при слияниях и возможном широком географическом
распространении организации, эти организации могут быть вынуждены использовать различные IDS, и
может потребоваться объединение этих различных IDS.
В брошюре поставщика может не описываться, как хорошо IDS может обнаруживать вторжения и как
сложно вводить их в действие, эксплуатировать и поддерживать в рабочей сети со значительным
объемом трафика. Поставщики могут указать, какие атаки могут быть обнаружены, но без доступа к
сетевому трафику организации очень трудно описать, как хорошо IDS работать, и исключать
ошибочные отказы в доступе и ошибочные допуски. Следовательно, полагаться на предоставляемую
поставщиком информацию о возможностях IDS не достаточно и не рекомендуется.
Для оценки IDS может использоваться стандарт ISO/IEC 15408 (все части). В этом случае документ с
названием “Security Target (Целевой объект защиты)” может содержать более точное и надежное
описание характеристик IDS, чем брошюры поставщика. Организация должна использовать этот
©
ISO/IEC 2006– Все права сохраняются 7
---------------------- Page: 12 ----------------------
ISO/IEC 18043:2006(R)
документ в процессе выбора.
В следующих пунктах описываются основные факторы, которые следует учитывать в процессе выбора
IDS.
5.1 Оценка риска информационной безопасности
Перед выбором IDS организация должна выполнить оценку риска информационной безопасности с
целью определения атак и вторжений (угроз), при которых конкретная Информационная система
организации может быть уязвима с учетом таких факторов как характер используемой информации в
системе и как ее необходимо защищать, типов используемых систем связи и других рабочих факторов
и факторов окружения. При рассмотрении этих потенциальных угроз в контексте их конкретных целей
информационной безопасности организация может определить элементы управления, которые
обеспечат экономически целесообразное уменьшение рисков. Определенные элементы управления
обеспечили бы основу требований к функциям, предусмотренным в IDS.
Примечание Управление рисками информационной безопасности будет предметом будущего международного
стандарта (ISO/IEC 13335-2).
После установки IDS следует организовать действенное текущее управление рисками, чтобы
периодически оценивать эффективность элементов управления при изменениях операций системы и
фактических угроз.
5.2 IDS на базе хост- машины и сети
Применение IDS должно основываться на организационной Оценке Риска и приоритетах защиты
ресурсов. При выборе IDS должен быть изучен наиболее эффективный метод контроля событий. IDS
на базе хост- машины (HIDS) и на базе сети (NIDS) могут применяться в тандеме. Если выбран такой
метод мониторинга IDS, организация должна реализовать его поэтапно, начиная с NIDS, поскольку они
обычно более простые в установке и обслуживании, затем следует использовать HIDS на
ответственных серверах.
Каждый вариант имеет свои достоинства и недостатки. Например, в случае, когда IDS применяется за
пределами внешнего брандмауэра, IDS может генерировать большое число тревожных сигналов,
которые не требуют тщательного анализа, поскольку при сканировании может определяться большое
число событий с предупреждениями, которые эффективно предотвращаются внешним брандмауэром.
5.2.1 IDS на базе хост- машины
Выбор HIDS требует идентификации целевых хост- машин. Поскольку полномасштабное применение
HIDS на каждой хост- машине достаточно дорогостоящее, в организации обычно HIDS используется
только на ответственных хост- машинах. Поэтому применение HIDS должно иметь приоритеты в
соответствии с результатами анализа риска и учета затрат – выгод. Организация должна применять
IDS, способные к централизованному управлению с функциями регистрации, если HIDS используется
на всех или значительном числе хост -машин.
5.2.2 IDS на базе сети
При использовании NIDS основной вопрос состоит в том, где разместить сенсоры системы.
Вариантами являются:
• Внутри внешнего брандмауэра;
• За пределами внешнего брандмауэра;
• На главной сетевой магистрали;
• В ответственных подсетях.
8 © ISO/IEC 2006 – Все права сохраняются
---------------------- Page: 13 ----------------------
ISO/IEC 18043:2006(R)
5.3 Обсуждение
5.3.1 Окружение системы
Организация на основе оценки риска безопасности должна сначала определить, в порядке
приоритетов, какие ресу
...
INTERNATIONAL ISO/IEC
STANDARD 18043
First edition
2006-06-15
Information technology — Security
techniques — Selection, deployment and
operations of intrusion detection systems
Technologies de l'information — Techniques de sécurité — Sélection,
déploiement et opérations des systèmes de détection d'intrusion
Reference number
ISO/IEC 18043:2006(E)
©
ISO/IEC 2006
---------------------- Page: 1 ----------------------
ISO/IEC 18043:2006(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2006 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 18043:2006(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope .1
2 Terms and definitions .1
3 Background.4
4 General.5
5 Selection .6
5.1 Information Security Risk Assessment.7
5.2 Host or Network IDS .7
5.3 Considerations.7
5.4 Tools that complement IDS .13
5.5 Scalability .17
5.6 Technical support.17
5.7 Training.17
6 Deployment .18
6.1 Staged Deployment .18
7 Operations .22
7.1 IDS Tuning.22
7.2 IDS Vulnerabilities .22
7.3 Handling IDS Alerts .22
7.4 Response Options .25
7.5 Legal Considerations .26
Annex A (informative) Intrusion Detection System (IDS): Framework and Issues to be Considered .27
A.1 Introduction to Intrusion Detection.27
A.2 Types of intrusions and attacks.28
A.3 Generic Model of Intrusion Detection Process.29
A.4 Types of IDS .35
A.5 Architecture.38
A.6 Management of an IDS .39
A.7 Implementation and Deployment Issues.42
A.8 Intrusion Detection Issues.44
Bibliography .46
© ISO/IEC 2006 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 18043:2006(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 18043 was prepared by Joint Technical Committee ISO/IEC JTC 1 Information technology,
Subcommittee SC 27, IT Security techniques.
Legal notice
The National Institute of Standards and Technology (NIST), hereby grant non-exclusive license to ISO/IEC to
use the NIST Special Publication on Intrusion Detection Systems (SP800-31) in the development of the
ISO/IEC 18043 International Standard. However, the NIST retains the right to use, copy, distribute, or modify
the SP800-31 as they see fit.
iv © ISO/IEC 2006 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 18043:2006(E)
Introduction
Organizations should not only know when, if, and how an intrusion of their network, system or application
occurs, they also should know what vulnerability was exploited and what safeguards or appropriate risk
treatment options (i.e. risk transfer, risk acceptance, risk avoidance) should be implemented to prevent similar
intrusions in the future. Organizations should also recognize and deflect cyber-based intrusions. This requires
an analysis of host and network traffic and/or audit trails for attack signatures or specific patterns that usually
indicate malicious or suspicious intent. In the mid-1990s, organizations began to use Intrusion Detection
Systems (IDS) to fulfil these needs. The general use of IDS continues to expand with a wider range of IDS
products being made available to satisfy an increasing level of organizational demands for advanced intrusion
detection capability.
In order for an organization to derive the maximum benefits from IDS, the process of IDS selection,
deployment, and operations should be carefully planned and implemented by properly trained and
experienced personnel. In the case where this process is achieved, then IDS products can assist an
organization in obtaining intrusion information and can serve as an important security device within the overall
information and communications technology (ICT) infrastructure.
This International Standard provides guidelines for effective IDS selection, deployment and operation, as well
as fundamental knowledge about IDS. It is also applicable to those organizations that are considering
outsourcing their intrusion detection capabilities. Information about outsourcing service level agreements can
be found in the IT Service Management (ITSM) processes based on ISO/IEC 20000.
© ISO/IEC 2006 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 18043:2006(E)
Information technology — Security techniques — Selection,
deployment and operations of intrusion detection systems
1 Scope
This International Standard provides guidelines to assist organizations in preparing to deploy Intrusion
Detection System (IDS). In particular, it addresses the selection, deployment and operations of IDS. It also
provides background information from which these guidelines are derived.
This International Standard is intended to be helpful to
a) an organization in satisfying the following requirements of ISO/IEC 27001:
⎯ The organization shall implement procedures and other controls capable of enabling prompt
detection of and response to security incidents.
⎯ The organization shall execute monitoring and review procedures and other controls to properly
identify attempted and successful security breaches and incidents.
b) an organization in implementing controls that meet the following security objectives of ISO/IEC 17799:
⎯ To detect unauthorized information processing activities.
⎯ Systems should be monitored and information security events should be recorded. Operator logs and
fault logging should be used to ensure information system problems are identified.
⎯ An organization should comply with all relevant legal requirements applicable to its monitoring and
logging activities.
⎯ System monitoring should be used to check the effectiveness of controls adopted and to verify
conformity to an access policy model.
An organization should recognize that deploying IDS is not a sole and/or exhaustive solution to satisfy or meet
the above-cited requirements. Furthermore, this International Standard is not intended as criteria for any kind
of conformity assessments, e.g., Information Security Management System (ISMS) certification, IDS services
or products certification.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
2.1
attack
attempts to destroy, expose, alter, or disable an Information System and/or information within it or otherwise
breach the security policy
© ISO/IEC 2006 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 18043:2006(E)
2.2
attack signature
sequence of computer activities or alterations that are used to execute an attack and which are also used by
an IDS to discover that an attack has occurred and often is determined by the examination of network traffic or
host logs
NOTE This may also be referred to as an attack pattern.
2.3
attestation
variant of public-key encryption that lets IDS software programs and devices authenticate their identity to
remote parties.
NOTE See Clause 2.21, Remote attestation.
2.4
bridge
network equipment that transparently connects a local area network (LAN) at OSI layer 2 to another LAN that
uses the same protocol
2.5
cryptographic hash value
mathematical value that is assigned to a file and used to “test” the file at a later date to verify that the data
contained in the file has not been maliciously changed
2.6
DoS (Denial-of-Service) attack
prevention of authorized access to a system resource or the delaying of system operations and functions
[ISO/IEC 18028-1]
2.7
Demilitarized Zone
DMZ
logical and physical network space between the perimeter router and the exterior firewall
NOTE 1 The DMZ may be between networks and under close observation but does not have to be so.
NOTE 2 They are generally unsecured areas containing bastion hosts that provide public services.
2.8
exploit
defined way to breach the security of an Information System through vulnerability
2.9
firewall
type of security gateway or barrier placed between network environments – consisting of a dedicated device
or a composite of several components and techniques – through which all traffic from one network
environment to another, and vice versa, traverses and only authorized traffic is allowed to pass
[ISO/IEC 18028-1]
2.10
false positive
IDS alert when there is no attack
2.11
false negative
no IDS alert when there is an attack
2 © ISO/IEC 2006 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 18043:2006(E)
2.12
host
addressable system or computer in TCP/IP based networks like the Internet
2.13
intruder
individual who is conducting, or has conducted, an intrusion or attack against a victim’s host, site, network, or
organization
2.14
intrusion
unauthorized access to a network or a network-connected system, i.e. deliberate or accidental unauthorized
access to an information system, to include malicious activity against an information system, or unauthorized
use of resources within an information system
2.15
intrusion detection
formal process of detecting intrusions, generally characterized by gathering knowledge about abnormal usage
patterns as well as what, how, and which vulnerability has been exploited to include how and when it occurred
2.16
intrusion detection system
IDS
information system used to identify that an intrusion has been attempted, is occurring, or has occurred and
possibly respond to intrusions in Information Systems and networks
2.17
intrusion prevention system
IPS
variant on intrusion detection systems that are specifically designed to provide an active response capability
2.18
honeypot
generic term for a decoy system used to deceive, distract, divert and to encourage the attacker to spend time
on information that appears to be very valuable, but actually is fabricated and would not be of interest to a
legitimate user
2.19
penetration
unauthorized act of bypassing the security mechanisms of an Information System
2.20
provisioning
process of remotely searching for new software updates from a vendor's website and downloading
authenticated updates
2.21
remote attestation
processes of using digital certificates to ensure the identity as well as the hardware and software configuration
of IDS and to securely transmit this information to a trusted operations center
2.22
response (incident response or intrusion response)
actions taken to protect and restore the normal operational conditions of an Information System and the
information stored in them when an attack or intrusion occurs
© ISO/IEC 2006 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 18043:2006(E)
2.23
router
network device that is used to establish and control the flow of data between different networks, which
themselves can be based on different networks protocols, by selecting paths or routes based upon routing
protocol mechanisms and algorithms
NOTE The routing information is kept in a routing table.
[ISO/IEC 18028-1]
2.24
server
computer system or program that provides services to other computers
2.25
Service Level Agreement
contract that defines the technical support or business performance objectives including measures for
performance and consequences for failure the provider of a service can provide its clients
2.26
sensor
component/agent of IDS, which collects event data from an Information System or network under observation
NOTE Also referred to as a monitor.
2.27
subnet
portion of a network that shares a common address component
2.28
switch
device which provides connectivity between networked devices by means of internal switching mechanisms
NOTE Switches are distinct from other local area network interconnection devices (e.g. a hub) as the technology
used in switches sets up connections on a point-to-point basis. This ensures the network traffic is only seen by the
addressed network devices and enables several connections to exist simultaneously routing.
[ISO/IEC 18028-1]
2.29
Test Access Points
TAP
typically passive devices that do not install any overhead on the packet; they also increase the level of the
security as they make the data collection interface invisible to the network, where a switch can still maintain
layer 2 information about the port. A TAP also gives the functionality of multiple ports so network issues can
be debugged without losing the IDS capability.
2.30
trojan horse
malicious program that masquerades as a benign application
3 Background
The purpose of Intrusion Detection System (IDS) is passively monitoring, detecting and logging inappropriate,
incorrect, suspicious or anomalous activity that may represent an intrusion and provide an alert when these
activities are detected. It is the responsibilities of the appointed IT Security personnel are actively reviewing
IDS logs and making a decision on follow-up actions to be taken for any inappropriate access attempts.
4 © ISO/IEC 2006 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 18043:2006(E)
When an organization needs to detect promptly intrusions to the organization’s Information System and
response appropriately to them, an organization should consider deploying IDS. An organization can deploy
IDS by getting IDS software and/or hardware products or by outsourcing capabilities of IDS to an IDS service
provider.
There are many commercially available or open-source IDS products and services that are based on
different technologies and approaches. In addition, IDS is not “plug and play” technology. Thus, when an
organization is preparing to deploy IDS, an organization should, as a minimum, be familiar with guidelines
and information provided by this standard.
Fundamental knowledge about IDS is mainly presented in Annex A. This Annex explains the different
characteristics of two basic types of IDS: Host-based IDS (HIDS) and Network-based IDS (NIDS), as well as
two basic approaches for detection analysis i.e. Misuse-based approach and Anomaly-based approach.
An HIDS derives its source of information to be detected from a single host, while a NIDS derives it from
traffic on a segment of a network. The misuse-based approach models attacks on information systems as
specific attack signatures, and then systematically scans the system for occurrences of these attack
signatures. This process involves a specific encoding of previous behaviours and actions that were deemed
intrusive or malicious. The anomaly-based approach attempt to detect intrusions by noting significant
departures from normal behaviour. And function on the assumption that attacks are different from
normal/legitimate activity and can therefore be detected by systems that identify these differences
An organization should understand that the source of information and the different analysis approaches may
result in both advantages and disadvantages or limitations, which can impact the ability or inability to detect
specific attacks and influence the degree of difficulty associated with installing and maintaining the IDS.
4 General
IDS functions and limitation, presented in Annex A, indicate that an organization should combine host-based
(including application monitoring) and network-based approaches to achieve reasonably complete coverage of
potential intrusions. Each type of IDS has its strengths and limitations; together they can provide better
security event coverage and alert analysis.
Combining the IDS technologies depends on the availability of a correlation engine on the alert management
system. Manual association of HIDS and NIDS alerts may result in IDS operator overload without any
additional benefit and the result may be worse than choosing the most appropriate output from one type of
IDS.
The process of selecting, deploying and operating IDS within an organization is shown in Figure 1 along with
the clause that addresses the key steps in this process.
© ISO/IEC 2006 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 18043:2006(E)
Figure 1 — Selection, deployment and operations of IDS
5 Selection
There are many IDS products and families of products available. They range from extremely capable freeware
offerings that can be deployed on a low-cost host to very expensive commercial systems requiring the latest
hardware available. As there are so many different IDS products to choose from, the process of selecting IDS
that represents the best fit for an organization’s needs is difficult. Furthermore, there may be limited
compatibility between various IDS products offered in the market place. Additionally, because of mergers and
the potentially wide geographical distribution of an organization, organizations may be forced to use different
IDS and the integration of these diverse IDS can be very challenging.
Vendor brochures may not describe how well an IDS can detect intrusions and how difficult it is to deploy,
operate and maintain in an operational network with significant amounts of traffic. Vendors may indicate which
attacks can be detected, but without access to an organization’s network traffic, it is very difficult to describe
how well the IDS can perform and avoid false positives and negatives. Consequently, relying on vendor
provided information about IDS capabilities is neither sufficient nor recommended.
ISO/IEC 15408 (all parts) may be used in the evaluation of an IDS. In such a case, a document called
“Security Target” may contain more accurate and reliable description than vendor brochures concerning IDS
performance. An organization should use this document in their selection process.
The following clauses provide the major factors that should be used by an organization in the IDS selection
process.
6 © ISO/IEC 2006 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 18043:2006(E)
5.1 Information Security Risk Assessment
Prior to the selection of an IDS, an organization should perform an information security risk assessment,
aimed at identifying the attacks and intrusions (threats) to which the organization’s specific information
systems might be vulnerable, taking into account factors such as the nature of information used by the system
and how it needs to be protected, the types of communication systems used, and other operational and
environmental factors. By considering these potential threats in the context of their specific information
security objectives, the organization can identify controls which provide cost-effective mitigation of the risks
The identified controls would provide the basis of the requirements for the functions provided by their IDS.
NOTE Information security risk management will be the subject of a future International Standard (ISO/IEC 13335-2).
Once the IDS is installed and operational an ongoing process of risk management should be implemented to
periodically review the effectiveness of the controls in light of changes to the system’s operations and the
threat environment
5.2 Host or Network IDS
IDS deployment should be based on an organizational Risk Assessment and asset protection priorities. When
selecting IDS, the most effective method to monitor events should be investigated. Both host-based IDS
(HIDS) and Network-based (NIDS) can be deployed in tandem. Where such an IDS monitoring method is
selected, an organization should implement it in stages starting with a NIDS, as they are usually the simplest
to install and maintain, then HIDS should be deployed on critical servers.
Each option has its own advantages and disadvantages. For example, in the case where an IDS is deployed
outside an external firewall, an IDS can generate a large number of alerts that do not require careful analysis
because a large amount of the alerting events can indicate scans that are already being effectively prevented
by the external firewall.
5.2.1 Host Based IDS (HIDS)
The choice of a HIDS demands the identification of target hosts. The expensive nature of full-scale
deployment on every host in an organization normally results in the deployment of HIDS on critical hosts only.
Therefore the deployment of HIDS should be prioritized according to risk analysis results and cost-benefit
considerations. An organization should deploy an IDS capable of centralized management and reporting
functions when HIDS is deployed on all or a significant number of hosts.
5.2.2 Network Based IDS (NIDS)
The main factor to consider when deploying a NIDS is where to locate the system sensors. Options include:
• Inside external firewalls;
• Outside external firewalls;
• On major network backbones;
• On critical subnets.
5.3 Considerations
5.3.1 System Environment
Based on a security risk assessment, an organization should first determine, in order of priority, what assets
should be protected and then tailor the IDS to that environment. At a minimum, the following system
environment information needs to be collected to accomplish this objective:
© ISO/IEC 2006 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO/IEC 18043:2006(E)
• Network diagrams and maps specifying the number and locations of hosts, entry points to networks
and connections to external networks;
• Description of the enterprise network management system;
• Operating systems for each host;
• Number and types of network devices such as routers, bridges, and switches;
• Number and types of servers and dialup connections;
• Descriptors of any network servers, including types, configurations, application software and versions
running on each;
• Connections to external networks, including nominal bandwidth and supported protocols;
• Document return paths that are not the same as the incoming connection path i.e. asymmetric data
flow.
5.3.2 Security
After the technical attributes of the system’s environment have been documented, the security protection
mechanisms presently installed should be identified. At a minimum, the following information is needed:
• Demilitarized Zone (DMZ)
• Numbers, types, and locations of firewalls and filtering routers;
• Identification of authentication servers;
• Data and link encryption;
• MALWARE/Anti-virus packages;
• Access control products;
• Specialized security hardware such as cryptographic hardware;
• Virtual private networks;
• Any other installed security mechanisms.
5.3.3 IDS Security Policy
After the system and general security environments have been identified, the security policy for the IDS
should be defined. At a minimum, the policy needs to answer the following key questions:
• What information assets are to be monitored?
• What type of IDS is needed?
• Where can the IDS be placed?
• What types of attacks should be detected?
• What type of information should be logged?
• What type of response or alert can be provided when an attack is detected?
8 © ISO/IEC 2006 – All rights reserved
---------------------- Page: 13 ----------------------
ISO/IEC 18043:2006(E)
The IDS security policy represents the goals the organization has for the IDS investment. This is the initial
step in attempting to ga
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.