Detektering av IT-attacker - Intrångsdetekteringssystem och systemadministratörens roll

Författare:

  • Teodor Sommestad
  • Kristoffer Lundholm

Publiceringsdatum: 2012-05-15

Rapportnummer: FOI-R--3419--SE

Sidor: 40

Skriven på: Svenska

Nyckelord:

  • IDS
  • Intrångsdetektering
  • Intrångsdetekteringssystem
  • IT-attacker
  • IT-försvar
  • Systemadministratör
  • Experiment

Sammanfattning

Intrångsdetekteringssystem övervakar datorsystem i syfte att upptäcka attacker som görs mot dem. I driftsatta installationer genereras vanligtvis alarm för misstänkta händelser, och en systemadministratör inspekterar denna alarmlista för att skapa sig en överblick över annalkande hot och pågående attacker. Ett problem med dagens intrångsdetekteringssystem är den stora mängd falsklarm som de genererar. Erfarenheter från praktisk användning av intrångsdetekteringssystem pekar på att systemadministratören har en viktig roll att spela när intrångsdetekteringssystem används. Erfarenheten är att systemadministratören behövs för att filtrera bort falsklarm genom att korrelera olika alarm och tolka dem med hjälp sin expertkunskap. Denna rapport beskriver ett experiment som gjorts under 2011 med syftena att (1) undersöka detektionsförmågan i en intrångsdetekteringslösning som motsvarar industristandard och (2) att analysera systemadministratörens roll i detektionsprocessen. Experimentet bekräftar tidigare forskning som pekat på problem med en stor andel falsklarm. Experimentet visar också att andelen falsklarm kan minskas utan att i större uträckning påverka andelen upptäckta attacker om alarmen filtreras baserat på expertkunskap om det attackerade datornätet, datornät i allmänhet, attacker i allmänhet och hur hotbilden ser ut.