Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems

ISO/IEC 18043:2006 provides guidance for an organization that decides to include an intrusion detection capability within its IT infrastructure. It is a "how to" for managers and users who want to: understand the benefits and limitations of IDS; develop a strategy and implementation plan for IDS; effectively manage the outputs of an IDS; integrate intrusion detection into the organization's security practices; and understand the legal and privacy issues involved in the deployment of IDS. ISO/IEC 18043:2006 provides information that will facilitate collaboration among organizations using IDS. The common framework it provides will help make it easier for organizations to exchange information about intrusions that cut across organizational boundaries. ISO/IEC 18043:2006 provides a brief overview of the intrusion detection process; discusses what an IDS can and cannot do; provides a checklist that helps identify the best IDS features for a specific IT environment; describes various deployment strategies; provides guidance on managing alerts from IDSs; and discusses management and legal considerations.

Technologies de l'information — Techniques de sécurité — Sélection, déploiement et opérations des systèmes de détection d'intrusion

General Information

Status: Withdrawn
Publication Date: 18-Jun-2006
Withdrawal Date: 18-Jun-2006

ICS: 35.030 - IT Security
: 35.040 - Information coding

Technical Committee: ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee: ISO/IEC JTC 1/SC 27/WG 4 - Security controls and services

Current Stage: 9599 - Withdrawal of International Standard
Start Date: 11-Feb-2015
Completion Date: 12-Feb-2026

Relations

Revised: ISO/IEC 27039:2015 - Information technology — Security techniques — Selection, deployment and operations of intrusion detection and prevention systems (IDPS)
Effective Date: 10-Jul-2010

ISO/IEC 18043:2006 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems - Page 1 preview

ISO/IEC 18043:2006 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems - Page 2 preview

ISO/IEC 18043:2006 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems - Page 3 preview

Standard

ISO/IEC 18043:2006 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems

English language

46 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 18043:2006

Russian language

12 pages

sale 15% off

Preview

sale 15% off

Preview

Get Certified

Connect with accredited certification bodies for this standard

BSI Group

BSI (British Standards Institution) is the business standards company that helps organizations make excellence a habit.

UKAS United Kingdom Verified

Visit Website

Bureau Veritas

Bureau Veritas is a world leader in laboratory testing, inspection and certification services.

COFRAC France Verified

Visit Website

DNV

DNV is an independent assurance and risk management provider.

NA Norway Verified

Visit Website

Frequently Asked Questions

What is ISO/IEC 18043:2006?

ISO/IEC 18043:2006 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems". This standard covers: ISO/IEC 18043:2006 provides guidance for an organization that decides to include an intrusion detection capability within its IT infrastructure. It is a "how to" for managers and users who want to: understand the benefits and limitations of IDS; develop a strategy and implementation plan for IDS; effectively manage the outputs of an IDS; integrate intrusion detection into the organization's security practices; and understand the legal and privacy issues involved in the deployment of IDS. ISO/IEC 18043:2006 provides information that will facilitate collaboration among organizations using IDS. The common framework it provides will help make it easier for organizations to exchange information about intrusions that cut across organizational boundaries. ISO/IEC 18043:2006 provides a brief overview of the intrusion detection process; discusses what an IDS can and cannot do; provides a checklist that helps identify the best IDS features for a specific IT environment; describes various deployment strategies; provides guidance on managing alerts from IDSs; and discusses management and legal considerations.

What is the scope of ISO/IEC 18043:2006?

What ICS categories does ISO/IEC 18043:2006 belong to?

ISO/IEC 18043:2006 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security; 35.040 - Information coding. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 18043:2006?

ISO/IEC 18043:2006 has the following relationships with other standards: It is inter standard links to ISO/IEC 27039:2015. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I access ISO/IEC 18043:2006?

ISO/IEC 18043:2006 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 18043
First edition
2006-06-15
Information technology — Security
techniques — Selection, deployment and
operations of intrusion detection systems
Technologies de l'information — Techniques de sécurité — Sélection,
déploiement et opérations des systèmes de détection d'intrusion

Reference number
©
ISO/IEC 2006
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO/IEC 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2006 – All rights reserved

Contents Page
Foreword. iv
Introduction . v
1 Scope .1
2 Terms and definitions .1
3 Background.4
4 General.5
5 Selection .6
5.1 Information Security Risk Assessment.7
5.2 Host or Network IDS .7
5.3 Considerations.7
5.4 Tools that complement IDS .13
5.5 Scalability .17
5.6 Technical support.17
5.7 Training.17
6 Deployment .18
6.1 Staged Deployment .18
7 Operations .22
7.1 IDS Tuning.22
7.2 IDS Vulnerabilities .22
7.3 Handling IDS Alerts .22
7.4 Response Options .25
7.5 Legal Considerations .26
Annex A (informative) Intrusion Detection System (IDS): Framework and Issues to be Considered .27
A.1 Introduction to Intrusion Detection.27
A.2 Types of intrusions and attacks.28
A.3 Generic Model of Intrusion Detection Process.29
A.4 Types of IDS .35
A.5 Architecture.38
A.6 Management of an IDS .39
A.7 Implementation and Deployment Issues.42
A.8 Intrusion Detection Issues.44
Bibliography .46
© ISO/IEC 2006 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 18043 was prepared by Joint Technical Committee ISO/IEC JTC 1 Information technology,
Subcommittee SC 27, IT Security techniques.
Legal notice
The National Institute of Standards and Technology (NIST), hereby grant non-exclusive license to ISO/IEC to
use the NIST Special Publication on Intrusion Detection Systems (SP800-31) in the development of the
ISO/IEC 18043 International Standard. However, the NIST retains the right to use, copy, distribute, or modify
the SP800-31 as they see fit.
iv © ISO/IEC 2006 – All rights reserved

Introduction
Organizations should not only know when, if, and how an intrusion of their network, system or application
occurs, they also should know what vulnerability was exploited and what safeguards or appropriate risk
treatment options (i.e. risk transfer, risk acceptance, risk avoidance) should be implemented to prevent similar
intrusions in the future. Organizations should also recognize and deflect cyber-based intrusions. This requires
an analysis of host and network traffic and/or audit trails for attack signatures or specific patterns that usually
indicate malicious or suspicious intent. In the mid-1990s, organizations began to use Intrusion Detection
Systems (IDS) to fulfil these needs. The general use of IDS continues to expand with a wider range of IDS
products being made available to satisfy an increasing level of organizational demands for advanced intrusion
detection capability.
In order for an organization to derive the maximum benefits from IDS, the process of IDS selection,
deployment, and operations should be carefully planned and implemented by properly trained and
experienced personnel. In the case where this process is achieved, then IDS products can assist an
organization in obtaining intrusion information and can serve as an important security device within the overall
information and communications technology (ICT) infrastructure.
This International Standard provides guidelines for effective IDS selection, deployment and operation, as well
as fundamental knowledge about IDS. It is also applicable to those organizations that are considering
outsourcing their intrusion detection capabilities. Information about outsourcing service level agreements can
be found in the IT Service Management (ITSM) processes based on ISO/IEC 20000.

© ISO/IEC 2006 – All rights reserved v

INTERNATIONAL STANDARD ISO/IEC 18043:2006(E)

Information technology — Security techniques — Selection,
deployment and operations of intrusion detection systems
1 Scope
This International Standard provides guidelines to assist organizations in preparing to deploy Intrusion
Detection System (IDS). In particular, it addresses the selection, deployment and operations of IDS. It also
provides background information from which these guidelines are derived.
This International Standard is intended to be helpful to
a) an organization in satisfying the following requirements of ISO/IEC 27001:
⎯ The organization shall implement procedures and other controls capable of enabling prompt
detection of and response to security incidents.
⎯ The organization shall execute monitoring and review procedures and other controls to properly
identify attempted and successful security breaches and incidents.
b) an organization in implementing controls that meet the following security objectives of ISO/IEC 17799:
⎯ To detect unauthorized information processing activities.
⎯ Systems should be monitored and information security events should be recorded. Operator logs and
fault logging should be used to ensure information system problems are identified.
⎯ An organization should comply with all relevant legal requirements applicable to its monitoring and
logging activities.
⎯ System monitoring should be used to check the effectiveness of controls adopted and to verify
conformity to an access policy model.
An organization should recognize that deploying IDS is not a sole and/or exhaustive solution to satisfy or meet
the above-cited requirements. Furthermore, this International Standard is not intended as criteria for any kind
of conformity assessments, e.g., Information Security Management System (ISMS) certification, IDS services
or products certification.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
2.1
attack
attempts to destroy, expose, alter, or disable an Information System and/or information within it or otherwise
breach the security policy
© ISO/IEC 2006 – All rights reserved 1

2.2
attack signature
sequence of computer activities or alterations that are used to execute an attack and which are also used by
an IDS to discover that an attack has occurred and often is determined by the examination of network traffic or
host logs
NOTE This may also be referred to as an attack pattern.
2.3
attestation
variant of public-key encryption that lets IDS software programs and devices authenticate their identity to
remote parties.
NOTE See Clause 2.21, Remote attestation.
2.4
bridge
network equipment that transparently connects a local area network (LAN) at OSI layer 2 to another LAN that
uses the same protocol
2.5
cryptographic hash value
mathematical value that is assigned to a file and used to “test” the file at a later date to verify that the data
contained in the file has not been maliciously changed
2.6
DoS (Denial-of-Service) attack
prevention of authorized access to a system resource or the delaying of system operations and functions
[ISO/IEC 18028-1]
2.7
Demilitarized Zone
DMZ
logical and physical network space between the perimeter router and the exterior firewall
NOTE 1 The DMZ may be between networks and under close observation but does not have to be so.
NOTE 2 They are generally unsecured areas containing bastion hosts that provide public services.
2.8
exploit
defined way to breach the security of an Information System through vulnerability
2.9
firewall
type of security gateway or barrier placed between network environments – consisting of a dedicated device
or a composite of several components and techniques – through which all traffic from one network
environment to another, and vice versa, traverses and only authorized traffic is allowed to pass
[ISO/IEC 18028-1]
2.10
false positive
IDS alert when there is no attack
2.11
false negative
no IDS alert when there is an attack
2 © ISO/IEC 2006 – All rights reserved

2.12
host
addressable system or computer in TCP/IP based networks like the Internet
2.13
intruder
individual who is conducting, or has conducted, an intrusion or attack against a victim’s host, site, network, or
organization
2.14
intrusion
unauthorized access to a network or a network-connected system, i.e. deliberate or accidental unauthorized
access to an information system, to include malicious activity against an information system, or unauthorized
use of resources within an information system
2.15
intrusion detection
formal process of detecting intrusions, generally characterized by gathering knowledge about abnormal usage
patterns as well as what, how, and which vulnerability has been exploited to include how and when it occurred
2.16
intrusion detection system
IDS
information system used to identify that an intrusion has been attempted, is occurring, or has occurred and
possibly respond to intrusions in Information Systems and networks
2.17
intrusion prevention system
IPS
variant on intrusion detection systems that are specifically designed to provide an active response capability
2.18
honeypot
generic term for a decoy system used to deceive, distract, divert and to encourage the attacker to spend time
on information that appears to be very valuable, but actually is fabricated and would not be of interest to a
legitimate user
2.19
penetration
unauthorized act of bypassing the security mechanisms of an Information System
2.20
provisioning
process of remotely searching for new software updates from a vendor's website and downloading
authenticated updates
2.21
remote attestation
processes of using digital certificates to ensure the identity as well as the hardware and software configuration
of IDS and to securely transmit this information to a trusted operations center
2.22
response (incident response or intrusion response)
actions taken to protect and restore the normal operational conditions of an Information System and the
information stored in them when an attack or intrusion occurs
© ISO/IEC 2006 – All rights reserved 3

2.23
router
network device that is used to establish and control the flow of data between different networks, which
themselves can be based on different networks protocols, by selecting paths or routes based upon routing
protocol mechanisms and algorithms
NOTE The routing information is kept in a routing table.
[ISO/IEC 18028-1]
2.24
server
computer system or program that provides services to other computers
2.25
Service Level Agreement
contract that defines the technical support or business performance objectives including measures for
performance and consequences for failure the provider of a service can provide its clients
2.26
sensor
component/agent of IDS, which collects event data from an Information System or network under observation
NOTE Also referred to as a monitor.
2.27
subnet
portion of a network that shares a common address component
2.28
switch
device which provides connectivity between networked devices by means of internal switching mechanisms
NOTE Switches are distinct from other local area network interconnection devices (e.g. a hub) as the technology
used in switches sets up connections on a point-to-point basis. This ensures the network traffic is only seen by the
addressed network devices and enables several connections to exist simultaneously routing.
[ISO/IEC 18028-1]
2.29
Test Access Points
TAP
typically passive devices that do not install any overhead on the packet; they also increase the level of the
security as they make the data collection interface invisible to the network, where a switch can still maintain
layer 2 information about the port. A TAP also gives the functionality of multiple ports so network issues can
be debugged without losing the IDS capability.
2.30
trojan horse
malicious program that masquerades as a benign application
3 Background
The purpose of Intrusion Detection System (IDS) is passively monitoring, detecting and logging inappropriate,
incorrect, suspicious or anomalous activity that may represent an intrusion and provide an alert when these
activities are detected. It is the responsibilities of the appointed IT Security personnel are actively reviewing
IDS logs and making a decision on follow-up actions to be taken for any inappropriate access attempts.
4 © ISO/IEC 2006 – All rights reserved

When an organization needs to detect promptly intrusions to the organization’s Information System and
response appropriately to them, an organization should consider deploying IDS. An organization can deploy
IDS by getting IDS software and/or hardware products or by outsourcing capabilities of IDS to an IDS service
provider.
There are many commercially available or open-source IDS products and services that are based on
different technologies and approaches. In addition, IDS is not “plug and play” technology. Thus, when an
organization is preparing to deploy IDS, an organization should, as a minimum, be familiar with guidelines
and information provided by this standard.
Fundamental knowledge about IDS is mainly presented in Annex A. This Annex explains the different
characteristics of two basic types of IDS: Host-based IDS (HIDS) and Network-based IDS (NIDS), as well as
two basic approaches for detection analysis i.e. Misuse-based approach and Anomaly-based approach.
An HIDS derives its source of information to be detected from a single host, while a NIDS derives it from
traffic on a segment of a network. The misuse-based approach models attacks on information systems as
specific attack signatures, and then systematically scans the system for occurrences of these attack
signatures. This process involves a specific encoding of previous behaviours and actions that were deemed
intrusive or malicious. The anomaly-based approach attempt to detect intrusions by noting significant
departures from normal behaviour. And function on the assumption that attacks are different from
normal/legitimate activity and can therefore be detected by systems that identify these differences
An organization should understand that the source of information and the different analysis approaches may
result in both advantages and disadvantages or limitations, which can impact the ability or inability to detect
specific attacks and influence the degree of difficulty associated with installing and maintaining the IDS.
4 General
IDS functions and limitation, presented in Annex A, indicate that an organization should combine host-based
(including application monitoring) and network-based approaches to achieve reasonably complete coverage of
potential intrusions. Each type of IDS has its strengths and limitations; together they can provide better
security event coverage and alert analysis.
Combining the IDS technologies depends on the availability of a correlation engine on the alert management
system. Manual association of HIDS and NIDS alerts may result in IDS operator overload without any
additional benefit and the result may be worse than choosing the most appropriate output from one type of
IDS.
The process of selecting, deploying and operating IDS within an organization is shown in Figure 1 along with
the clause that addresses the key steps in this process.
© ISO/IEC 2006 – All rights reserved 5

Figure 1 — Selection, deployment and operations of IDS
5 Selection
There are many IDS products and families of products available. They range from extremely capable freeware
offerings that can be deployed on a low-cost host to very expensive commercial systems requiring the latest
hardware available. As there are so many different IDS products to choose from, the process of selecting IDS
that represents the best fit for an organization’s needs is difficult. Furthermore, there may be limited
compatibility between various IDS products offered in the market place. Additionally, because of mergers and
the potentially wide geographical distribution of an organization, organizations may be forced to use different
IDS and the integration of these diverse IDS can be very challenging.
Vendor brochures may not describe how well an IDS can detect intrusions and how difficult it is to deploy,
operate and maintain in an operational network with significant amounts of traffic. Vendors may indicate which
attacks can be detected, but without access to an organization’s network traffic, it is very difficult to describe
how well the IDS can perform and avoid false positives and negatives. Consequently, relying on vendor
provided information about IDS capabilities is neither sufficient nor recommended.
ISO/IEC 15408 (all parts) may be used in the evaluation of an IDS. In such a case, a document called
“Security Target” may contain more accurate and reliable description than vendor brochures concerning IDS
performance. An organization should use this document in their selection process.
The following clauses provide the major factors that should be used by an organization in the IDS selection
process.
6 © ISO/IEC 2006 – All rights reserved

5.1 Information Security Risk Assessment
Prior to the selection of an IDS, an organization should perform an information security risk assessment,
aimed at identifying the attacks and intrusions (threats) to which the organization’s specific information
systems might be vulnerable, taking into account factors such as the nature of information used by the system
and how it needs to be protected, the types of communication systems used, and other operational and
environmental factors. By considering these potential threats in the context of their specific information
security objectives, the organization can identify controls which provide cost-effective mitigation of the risks
The identified controls would provide the basis of the requirements for the functions provided by their IDS.
NOTE Information security risk management will be the subject of a future International Standard (ISO/IEC 13335-2).
Once the IDS is installed and operational an ongoing process of risk management should be implemented to
periodically review the effectiveness of the controls in light of changes to the system’s operations and the
threat environment
5.2 Host or Network IDS
IDS deployment should be based on an organizational Risk Assessment and asset protection priorities. When
selecting IDS, the most effective method to monitor events should be investigated. Both host-based IDS
(HIDS) and Network-based (NIDS) can be deployed in tandem. Where such an IDS monitoring method is
selected, an organization should implement it in stages starting with a NIDS, as they are usually the simplest
to install and maintain, then HIDS should be deployed on critical servers.
Each option has its own advantages and disadvantages. For example, in the case where an IDS is deployed
outside an external firewall, an IDS can generate a large number of alerts that do not require careful analysis
because a large amount of the alerting events can indicate scans that are already being effectively prevented
by the external firewall.
5.2.1 Host Based IDS (HIDS)
The choice of a HIDS demands the identification of target hosts. The expensive nature of full-scale
deployment on every host in an organization normally results in the deployment of HIDS on critical hosts only.
Therefore the deployment of HIDS should be prioritized according to risk analysis results and cost-benefit
considerations. An organization should deploy an IDS capable of centralized management and reporting
functions when HIDS is deployed on all or a significant number of hosts.
5.2.2 Network Based IDS (NIDS)
The main factor to consider when deploying a NIDS is where to locate the system sensors. Options include:
• Inside external firewalls;
• Outside external firewalls;
• On major network backbones;
• On critical subnets.
5.3 Considerations
5.3.1 System Environment
Based on a security risk assessment, an organization should first determine, in order of priority, what assets
should be protected and then tailor the IDS to that environment. At a minimum, the following system
environment information needs to be collected to accomplish this objective:
© ISO/IEC 2006 – All rights reserved 7

• Network diagrams and maps specifying the number and locations of hosts, entry points to networks
and connections to external networks;
• Description of the enterprise network management system;
• Operating systems for each host;
• Number and types of network devices such as routers, bridges, and switches;
• Number and types of servers and dialup connections;
• Descriptors of any network servers, including types, configurations, application software and versions
running on each;
• Connections to external networks, including nominal bandwidth and supported protocols;
• Document return paths that are not the same as the incoming connection path i.e. asymmetric data
flow.
5.3.2 Security
After the technical attributes of the system’s environment have been documented, the security protection
mechanisms presently installed should be identified. At a minimum, the following information is needed:
• Demilitarized Zone (DMZ)
• Numbers, types, and locations of firewalls and filtering routers;
• Identification of authentication servers;
• Data and link encryption;
• MALWARE/Anti-virus packages;
• Access control products;
• Specialized security hardware such as cryptographic hardware;
• Virtual private networks;
• Any other installed security mechanisms.
5.3.3 IDS Security Policy
After the system and general security environments have been identified, the security policy for the IDS
should be defined. At a minimum, the policy needs to answer the following key questions:
• What information assets are to be monitored?
• What type of IDS is needed?
• Where can the IDS be placed?
• What types of attacks should be detected?
• What type of information should be logged?
• What type of response or alert can be provided when an attack is detected?
8 © ISO/IEC 2006 – All rights reserved

The IDS security policy represents the goals the organization has for the IDS investment. This is the initial
step in attempting to gain the maximum value from the IDS asset.
In order to specify IDS security policy goals and objectives, an organization should first identify the
organization’s risks from internal and external sources. An organization should realize that some IDS vendors
define IDS security policy as the set of rules that IDS are used to generate alerts.
A review of the existing organization security policy should provide a template against which the requirements
of the IDS can be determined and stated in terms of standard security goals of confidentiality, integrity,
availability, and non-repudiation as well as more generic management goals such as privacy, protection from
liability, manageability.
An organization should determine how it would react when an IDS detects that a security policy has been
violated. Specifically, in the case that an organization wishes to respond actively to certain kinds of violations,
the IDS should be configured to do so and the operational staff should be informed of the organization’s
response policy so that they can deal with alarms in an appropriate manner. For example, a law enforcement
investigation may be required to assist in the effective resolution of a security incident. Relevant information,
including IDS logs, may be required to be handed over to the law enforcement body for evidentiary purposes.
Additional information concerning security incident management can be found in ISO/IEC TR 18044.
5.3.4 Performance
Performance is another factor to consider when selecting IDS. At a minimum, the following questions should
be answered:
• What bandwidth needs to be processed by the IDS?
• What level of false alarms can be tolerated when operating at that bandwidth?
• Can the cost of a high speed IDS be justified or can a moderate or slow IDS suffice?
• What are the consequences of missing a potential intrusion because of IDS performance limitations?
Sustainable performance can be defined as the ability to consistently detect attacks within a given bandwidth
utilization. In most environments, there is little tolerance for an IDS missing or dropping packets in traffic that
could be part of an attack. At some point, as the bandwidth and/or network traffic increases, many IDS will no
longer be able to effectively and consistently detect intrusions.
A combination of load balancing and tuning can increase efficiency and performance. For example:
• Knowledge is required of the organization’s network and its vulnerabilities: Every network is different;
an organization should determine what network assets need protection and what attack signature
tuning are likely to be associated with those assets. This is generally accomplished through a risk
assessment process.
• Performance of most IDS can be much better in the case where they are configured to handle a
limited amount of network traffic and services. For example, an organization that does a lot of
e-commerce can need to monitor all Hypertext Transfer Protocol (HTTP) traffic and to tune one or
more IDS to look for only attack signatures associated with web traffic.
• Proper load balancing configuration can allow the signature based IDS to work much faster and more
thoroughly because the signature based IDS needs only to process through an optimized smaller
attack signature database and not through a database of all possible attack signatures.
Load balancing is used to split available bandwidth in IDS deployment. However, bandwidth splitting is likely
to introduce problems such as: additional cost, management overhead, traffic de-synchronization, alert
duplication, and false negatives. Furthermore, current IDS technology is reaching gigabits speed and as a
result the benefits versus cost of load balancing may be minimal.
© ISO/IEC 2006 – All rights reserved 9

5.3.5 Verification of Capabilities
Reliance on vendor provided information about the capabilities of IDS is generally not sufficient. An
organization should request additional information and perhaps a demonstration of the suitability of a
particular IDS to the organization's environment and security goals. Most IDS vendors have experience in
adapting their products as target networks grow and some are committed to support new protocol standards,
platform types, and changes in the threat environment. At a minimum, an organization should ask to the IDS
vendor the following questions:
• What assumptions were made regarding the applicability of the IDS to specific environments?
• What are the details of the tests that were performed to verify the assertions about the IDS
capabilities?
• What assumptions were made regarding IDS operators?
• What IDS interfaces are provided (e.g. physical interfaces, communication protocols, reporting
formats for interfacing with correlation engines are all types of important interfaces)?
• What are the alert export mechanisms or formats and are they properly documented (e.g. format or
syslog messages or MIB for SNMP messages)?
• Can the IDS interface be configured with shortcut keys, customizable alarm features, and custom
attack signatures on the fly?
• In the case where the IDS can be configured on the fly, are the features that provide this capability
documented and supported?
• Can the product adapt to growth and change of the organization’s systems infrastructure?
• Can the IDS product adapt to an expanding and increasingly diverse network?
• Does the IDS provide fail-safe and fail-over capabilities and how do these capabilities integrate with
the same capabilities at the network link layer?
• Does the IDS use a dedicated network for the alarms or are they transmitted in the same network that
it monitors?
• What is the vendor’s reputation and product’s performance record?
5.3.6 Cost
The acquisition of IDS is not the actual cost of ownership. Additional costs include: acquisition of a system to
run the IDS software, specialized assistance in installing and configuring the IDS, personnel training, and
maintenance costs. Personnel to manage the system and to analyze the results are the largest cost. A useful
technique for measuring the IDS cost is the return on investment (ROI) or cost versus benefit analysis. In this
case, ROI is computed based on the savings realized by the organization when managing intrusions. The cost
of the IDS acquisition and operation needs to be balanced with the cost of the personnel required to help
resolve the alerts and the overhead caused by false alerts and inappropriate responses such as reinstalling an
Information System because of the inability to determine what has been compromised.
Operational IDS benefits include:
• Identification of defective or mis-configured equipment;
• Verification of configurations on the fly;
• Providing early system usage statistics.
10 © ISO/IEC 2006 – All rights reserved

In order to make financial decisions about IDS, questions about the total cost of IDS ownership should be
answered. To do this, the expense of deploying IDS across an organization should be analyzed. As a
minimum, the IDS cost analysis needs to be based on answers to the following questions:
• What is the budget for the initial capital expenditure to purchase the IDS?
• What is the required time period for IDS operations e.g. 24/7 or less?
• What infrastructure is needed to process, analyze and report the IDS outputs and what can it cost?
• Does the organization have the human and other resources required to configure the IDS to the
organization’s security policy, to operate, maintain, update, monitor the outputs of the IDS and
respond to alerts? If not, how can these functions be accomplished?
• Are funds available for IDS training?
• What is the scale of deployment and if it HIDS are used how many hosts will be protected?
The costs to an individual organization may be lessened by sharing overhead costs through outsourcing the
IDS monitoring and maintenance functions to a remotely managed intrusion detection services provider.
The most expensive part of an IDS deployment is the response. Figuring out what the response should be,
building the response teams, developing and deploying response policy and training and rehearsing are
significant costs that should be mentioned
5.3.7 Updates
The majority of IDS are attack signature based and the value of the IDS is only as good as the attack
signature database against which events are analyzed. New vulnerabilities and attacks are being discovered
frequently. Consequently, the IDS attack signature database should be updated frequently. Therefore, at a
minimum an organization should consider the following factors:
• Timeliness of updates;
• Effectiveness of internal distribution;
• Implementation;
• System impact.
5.3.7.1 Timeliness of updates for signature-based IDS
Maintaining current attack signatures is essential to the detection of known attacks. At a minimum, the
following questions should be addressed in order to ensure that attack signatures are updated in a timely
manner:
• How fast does the IDS vendor issue attack signature updates when an exploit or a specific
vulnerability is discovered?
• Is the notification process reliable?
• Is the authenticity and integrity of the attack signature updates guaranteed?
• Are there sufficient skills available in case the attack signatures should be customized within the
organization?
• Is there a possibility to write or receive customized attack signatures in order to immediately respond
to a high-risk vulnerability or ongoing attack?
© ISO/IEC 2006 – All rights reserved 11

5.3.7.2 Effectiveness of internal distribution and implementation
Is the organization capable of quickly distributing and implementing site-specific updates within an appropriate
timeframe to all relevant systems? In many cases, attack signatures up-dates should be modified to include
site-specific IP addresses, ports, etc. More specifically, at a minimum the following questions should be
answered
• In the case that manual distribution processes are in place, do administrators or users implement the
attack signature within an acceptable timeframe?
• Can the effectiveness of automatic distribution and installation processes be measured?
• Is there a mechanism to effectively track changes to the attack signature updates?
5.3.7.3 System Impact
In order to minimize the impact of attack signature updates on system performance, at a minimum the
following questions should be answered:
• Does an attack signature update impact the performance of important services or applications?
• Is it possible to be selective concerning the attack signature updates? This may be necessary to avoid
conflicts or performance impacts on services or applications.
5.3.8 Alert Strategies
The IDS configuration and operation should be based on an organization's monitoring policy. At a minimum,
an organization should ensure that IDS can support specific methods of alerting used by an organization's
existing infrastructure. Alert features that may be supported include e-mail, paging, Short Message System
(SMS), Simple Network Management Protocol (SNMP) event, and even automated blocking of attack sources.
In the case where IDS data is used for forensic purposes, including prosecutions and evidence for internal
discipline, IDS data should at a minimum be handled and managed in compliance with the legal and
regulatory requirements of the local jurisdictions in which it is likely to applied or submitted.
5.3.9 Identity Management
Identity management is a critical foundation for realizing IDS remote attestation and provisioning without
human intervention. Each of these capabilities requires the creation and use of trusted third parties as the
authority which despite some differences, is similar to the authority often assumed as part of a public key
infrastructure. These capabilities are also important for seamless, secure, controlled IDS data and IDS identity
exchange across enterprise network trust boundaries
5.3.9.1 Remote Attestation
IDS may contain millions of lines of code. Intentional insertion of malicious software in this large code base is
difficult to discover and can allow an attacker to control the IDS output. Consequently, strict authenticated
access-control over the IDS hardware and software is extremely important and should be based in part on the
identity of the entity making the access request. Remote attestation can provide this access control capability
without humans in the loop.
Remote attestation generates, in hardware, a cryptographic certificate or hash value attesting to the identity of
a device or the software running on the device with no user involvement. In the simplest form, identity is
represented by a cryptographic hash which allows different software programs or devices to be distinguished
from one another or changes in software to be discovered. This certificate may, at the IDS user's request, be
provided to any remote party, and in principle has the effect of proving to that party that the IDS is using
expected and unaltered software. If the software on the IDS has been altered, the certificate generated will
reflect this. That the IDS code base has changed.
12 © ISO/IEC 2006 – All rights reserved

In the case of IDS, the aim of remote attestation is to detect unauthorized changes to IDS software. For
example, if an attacker has replaced or modified one of the IDS applications, or a part of IDS operating system
with a maliciously altered version, the hash value will not be recognized by the remote service or other
software. As a result, the corruption of IDS software by a virus or Trojan can be detected by a remote party
(e.g. Network Operations Center), which can then act on this information. Because the attestation is “remote”,
others with whom the IDS interact with should also be able to tell that a particular IDS has been compromised.
Thus, they can avoid from sending information to it, until it has been fixed.
For the above reasons, IDS should remotely attest/report to the Network Operations Center (NOC) its status,
configuration, and other important information. This attestation capability or IDS authentication is critical to the
ability to assess the health of IDS and to perform numerous IDS configuration and update operations. More
specifically, attestation is the ability to remotely test the integrity of the IDS. When aggregated, these IDS
attestation reports provide situational awareness about the defensive posture of the network and are a critical
part of
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ
Первое издание
2006-06-15
Информационные технологии. Методы
защиты. Выбор, применение и
операции систем обнаружения
вторжения
Information technology — Security techniques — Selection, deployment
and operations of intrusion detection systems

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO

Ссылочный номер
©
ISO/IEC 2006
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO/IEC 2006
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2006– Все права сохраняются

Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Термины и определения .1
3 Предварительные данные.5
4 Общие положения .6
5 Выбор .7
5.1 Оценка риска информационной безопасности .8
5.2 IDS на базе хост- машины и сети.8
5.3 Обсуждение .9
5.4 Инструментарий, который дополняет IDS.15
5.5 Расширяемость.19
5.6 Техническая поддержка .20
5.7 Обучение .20
6 Ввод в действие .20
6.1 Многоэтапный ввод в действие .21
7 Эксплуатация.25
7.1 Настройка IDS.25
7.2 Уязвимости IDS .25
7.3 Обработка предупреждений IDS.25
7.4 Варианты ответных действий .28
7.5 Соображения правового порядка .29
Приложение A (информативное) Система обнаружения вторжения (IDS): Структура и
проблемы, которые должны рассматриваться .31
A.1 Введение в Обнаружение Вторжений .31
A.2 Типы вторжений и атак.32
A.3 Групповая Модель Процесса Обнаружения Вторжения.33
A.4 Типы IDS.40
A.5 Архитектура .44
A.6 Управление IDS .46
A.7 Вопросы Реализации и Применения .48
A.8 Вопросы Обнаружения Вторжений.51
Библиография.54

© ISO/IEC 2006– Все права сохраняются iii

Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) создали специализированную систему всемирной стандартизации. Национальные организации,
являющиеся комитетами-членами ISO или IEC, участвуют в разработке международных стандартов
через технические комитеты, учрежденные соответствующей организацией для того, чтобы
заниматься отдельными областями технической деятельности. Технические комитеты ISO и IEC
сотрудничают в областях, представляющих взаимный интерес. Другие правительственные и
неправительственные международные организации, сотрудничающие с ISO и IEC, также принимают
участие в этой работе. В области информационной технологии ISO и IEC учредили Совместный
Технический комитет ISO/IEC JTC1.
Проекты международных стандартов разрабатываются согласно правилам, привёденным в Директивах
ISO/IEC, Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Для публикации в качестве международного стандарта требуется одобрение не менее
75 % комитетов-членов, принявших участие в голосовании.
Следует иметь в виду, что, возможно, некоторые элементы настоящего документа могут быть
объектом патентных прав. ISO не несет ответственность за определение некоторых или всех таких
патентных прав.
ISO/IEC 18043 подготовлен Совместным Техническим комитетом ISO/IEC JTC1, Информационные
технологии, Подкомитетом SC 27, Методы защиты в Информационных технологиях.
Официальное уведомление
Национальный Институт Стандартов и Технологии (NIST) настоящим предоставляет ISO/IEC
неисключительную лицензию на использование Специальной публикации NIST по Системам
обнаружения вторжения (SP800-31) при разработке Международного стандарта ISO/IEC 18043. Однако
NIST сохраняет право на использование, копирование, распространение или модификацию SP800-31,
когда он посчитает это необходимым.
iv © ISO/IEC 2006 – Все права сохраняются

Введение
Организации должны не только знать когда, где и как произошло вторжение в их сеть, систему или
приложение, они также должны знать какое слабое место было использовано и какие меры
безопасности или соответствующие опции обработки рисков (т.е. перенос риска, приемлемая степень
риска, исключение риска) должны быть реализованы, чтобы предотвратить подобное вторжение в
будущем. Организации должны также распознавать и отражать кибернетические проникновения. Это
требует анализа хост и сетевого трафика и/или контрольного следа для сигнатур атаки или
специфичного шаблона, которые обычно указывают злонамеренные или подозрительные намерения.
В середине 1990 годов организации начали использовать Системы Обнаружения Вторжения (IDS) для
осуществления этих потребностей. Общее применение IDS продолжает расширяться с более широким
набором продуктов IDS, которые стали доступны для удовлетворения возрастающего уровня запросов
организаций в повышенных возможностях обнаружения вторжения.
Для организации в порядке вещей извлекать максимальные выгоды от IDS, поэтому процесс выбора
IDS, ввод в действие и операции должны тщательно планироваться и реализовываться надлежащим
образом подготовленным и опытным персоналом. В случае, когда этот процесс успешно выполняется,
продукты IDS могут помочь организации получить информацию о вторжении и могут использоваться
как важное предохранительное средство в общей инфраструктуре информационной и
коммуникационной технологии (ICT).
Данный международный стандарт обеспечивает руководящие принципы для эффективного выбора
IDS, ввода в действие и эксплуатацию, а также основные сведения об IDS. Он также пригоден для тех
организаций, которые рассматривают привлечение соисполнителей для реализации возможностей
обнаружения вторжения. Информацию по соглашениям на уровне услуг внешних соисполнителей
можно найти в процессах Менеджмента услуг в Информационных технологиях (ITSM) на базе
ISO/IEC 20000.
© ISO/IEC 2006– Все права сохраняются v

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 18043:2006(R))

Информационные технологии. Методы защиты. Выбор,
применение и операции систем обнаружения вторжения

1 Область применения
В данном международном стандарте предусматриваются руководящие принципы для помощи
организациям в использовании Системы Обнаружения Вторжения (IDS). В частности, в стандарте
обращается внимание на выбор, применение и операции IDS. Он также содержит дополнительную
информацию, на основании которой эти руководящие принципы были получены.
Данный международный стандарт может быть полезен:
a) организации в удовлетворении следующих требований ISO/IEC 27001:
- Организация должна реализовать процедуры и другие управляющие воздействия, способные к
быстрому обнаружению и ответным действиям при инцидентах защиты.
- Организация должна выполнять процедуры мониторинга и анализа и другие управляющие
воздействия для надлежащего распознавания неудавшихся и успешных нарушений защиты и
инцидентов.
b) организации в реализации средств управления, которые удовлетворяют следующим целям
защиты ISO/IEC 17799.
– Обнаружить несанкционированные действия при обработке информации.
– Системы должны отслеживаться, и события информационной безопасности должны
регистрироваться. Должны использоваться операторские журналы регистрации и журналы
регистрации неисправностей для идентификации проблем информационной системы.
– Организация должна соблюдать все соответствующие юридические требования, применимые к
действиям по мониторингу и регистрации.
– Должен использоваться мониторинг системы для проверки эффективности принятых средств
управления и проверки соответствия модели стратегии доступа.
Организация должна признать, что использование IDS не является единственным и/или
исчерпывающим решением для удовлетворения и соответствия вышеназванным требованиям. Более
того, данный международный стандарт не предназначен быть критерием для оценок соответствия
любого вида, например, для сертификации как Системы Менеджмента Защиты Информации (ISMS),
сертификации продуктов и услуг IDS.
2 Термины и определения
Применительно к данному документу применяются следующие термины и определения.
2.1
атака
attack
попытки разрушить, подвергнуть воздействию, изменить или вывести из строя Информационную
систему и/или информацию в ней или иные нарушения политики безопасности
© ISO/IEC 2006 – Все права сохраняются 1

2.2
сигнатура атаки
attack signature
последовательность компьютерных действий или изменений, которые использовались при атаке и
которые используются также IDS для обнаружения атаки и часто определяются путем проверки
сетевого трафика или журналов хост- машины
ПРИМЕЧАНИЕ Она может рассматриваться также как шаблон атаки.
2.3
удостоверение
attestation
вариант шифрования открытым ключом, который позволяет программам и устройствам IDS
аутентифицировать их идентичность с удаленными участвующими сторонами
ПРИМЕЧАНИЕ См. Раздел 2.21, Удаленное удостоверение.
2.4
мост
bridge
сетевое оборудование, которое прозрачно соединяет локальную сеть (LAN) на уровне 2 OSI к другой
локальной сети, которая использует тот же протокол
2.5
криптографическое значение хэш-функции
cryptographic hash value
математическое значение, которое присваивается файлу и используется для последующего
“тестирования” этого файла, чтобы проверить не изменились ли предумышленно данные,
содержащиеся в этом файле
2.6
отказ от обслуживания при атаке
DoS (Denial-of-Service) attack
предотвращение санкционированного доступа к ресурсам системы или задержка операций или
функций системы
[ISO/IEC 18028-1]
2.7
демилитаризованная зона
Demilitarized Zone DMZ
логическое и физическое сетевое пространство между маршрутизатором периметра и внешним
брандмауэром
ПРИМЕЧАНИЕ 1 DMZ может быть между сетями и подвергаться тщательному наблюдению, но не быть им.
ПРИМЕЧАНИЕ 2 Ими обычно являются незащищенные области, содержащие защищенные хост-машины,
которые предоставляют услуги общего пользования.
2.8
использовать
exploit
определенный способ прорвать защиту Информационной системы через слабое место
2.9
брандмауэр
firewall
тип защитного шлюза или барьера, размещенного между сетевыми средами – состоящий из
2 © ISO/IEC 2006 – Все права сохраняются

специализированного устройства или составной из нескольких компонентов и методов – через который
проходят все трафики из одной сетевой среды в другую, и разрешается пропускать только
санкционированный трафик
[ISO/IEC 18028-1]
2.10
ошибочный допуск
false positive
предупреждение IDS, когда нет атаки
2.11
ошибочный отказ
false negative
нет предупреждения IDS, когда происходит атака
2.12
хост
host
адресуемая система или компьютер в сетях на базе TCP/IP, аналогичных Интернету
2.13
злоумышленник
intruder
субъект, который проводит или провел вторжение или атаку на хост, сеть, сайт или организацию
2.14
вторжение
intrusion
несанкционированный доступ к сети или системе, подсоединенной к сети, т.е. предумышленный или
случайный доступ несанкционированный доступ к информационной системе для включения
злонамеренного действия против системы, или несанкционированное использования ресурсов в
информационной системе
2.15
обнаружение вторжения
intrusion detection
формальный процесс обнаружения вторжений, обычно характеризующийся получением знаний о
ненормальном использовании шаблонов, а также какого рода, как и какое слабое место было
использовано, включая как и когда это произошло
2.16
система обнаружения вторжения
intrusion detection system
IDS
информационная система, используемая для определения того, была ли попытка вторжения, оно
происходит или произошло, а также ответного действия в Информационной системе и сетях
2.17
система предотвращения вторжения
intrusion prevention system
IPS
вариант систем обнаружения вторжения, который специально разработан для обеспечения
возможности активного ответного действия
©
ISO/IEC 2006– Все права сохраняются 3

2.18
приманка
honeypot
обобщающий термин для ложной системы, используемой для обмана, отвлечения, отвода и
поощрения нарушителя затратить время на информацию, которая появляется как ценная, но
фактически сфабрикована и не представляет интереса для законного пользователя
2.19
проникновение
penetration
несанкционированный акт обхода механизмов защиты Информационной системы
2.20
инициализация
provisioning
процесс удаленного поиска новых обновлений программ с веб-сайта поставщика и загрузка
обновлений в установленном порядке
2.21
удаленное удостоверение
remote attestation
процессы использования цифровых сертификатов для обеспечения идентичности, а также
технической и программной конфигурации IDS и безопасной передачи этой информации в доверенный
цент службы эксплуатации
2.22
ответное действие (ответ на событие или ответ на вторжение)
response (incident response or intrusion response)
действия, принимаемые для защиты и восстановления нормальных рабочих условий Информационной
Системы и хранимой в ней информации, когда происходит атака или вторжение
2.23
маршрутизатор
router
сетевое устройство, используемое для установления и контроля потока данных между различными
сетями, которое само может базироваться на различных сетевых протоколах, путем выбора путей или
маршрутов на основе механизмов или алгоритмов протокола маршрутизации
ПРИМЕЧАНИЕ Информация по маршрутизации хранится в таблице маршрутов.
[ISO/IEC 18028-1]
2.24
сервер
server
компьютерная система или программа, которая предоставляет услуги другим компьютерам
2.25
соглашение об уровне сервиса
Service Level Agreement
контракт, который определяет техническую поддержку или требуемые профессиональные рабочие
характеристики, включая функционирование и последствия при неисправности, которые провайдер
может предоставить своим клиентам
4 © ISO/IEC 2006 – Все права сохраняются

2.26
сенсор
sensor
компонент/агент IDS, который собирает данные о событиях из Информационной Системы или сети,
находящейся под наблюдением
ПРИМЕЧАНИЕ Указывается также как монитор.
2.27
подсеть
subnet
часть сети, в которой совместно используется компонент общих адресов
2.28
переключатель
switch
устройство, которое обеспечивает возможность соединения между устройствами, объединенными в
сеть, с помощью внутренних механизмов переключения
ПРИМЕЧАНИЕ Переключатели отличаются от других устройств межкомпонентного соединения в локальной
сети (например, от концентратора), поскольку технология, используемая в переключателях, устанавливает
соединения на двухточечной основе. Это гарантирует, что сетевой трафик рассматривается только адресуемыми
сетевыми устройствами и дает возможность при маршрутизации иметь несколько соединений одновременно.
[ISO/IEC 18028-1]
2.29
контрольные точки доступа
Test Access Points
TAP
обычно пассивные устройства, которые не устанавливают служебные данные на пакете, они также
повышают уровень защиты, поскольку они делают интерфейс сбора данных невидимым в сети, когда
переключатель может еще поддерживать информацию уровня 2 о порте. TAP предоставляет также
функциональные возможности для многих портов, поэтому проблемы сети могут отлаживаться без
потери возможностей IDS
2.30
троянский конь
trojan horse
злоумышленная программа, которая выдает себя за благоприятное приложение
3 Предварительные данные
Назначение Системы Обнаружения Вторжения (IDS) состоит в пассивном мониторинге, обнаружении и
регистрации несоответствующих, неправильных, подозрительных или ненормальных действий,
которые могут представлять собой вторжение, и обеспечении предупреждения, когда такие действия
обнаруживаются. На персонале Обеспечения безопасности Информационной Системы лежит
ответственность за активный просмотр журналов регистрации IDS и принятие решения по
последующим действиям при любой попытке несоответствующего доступа.
Когда организации необходимо быстро обнаруживать вторжения в ее Информационную систему и
быстро реагировать на них, организация должна рассмотреть применение IDS. Организация может
развернуть IDS путем приобретения программного обеспечения и/или аппаратных изделий или путем
привлечения внешних возможностей IDS у провайдера услуг IDS.
Существует много коммерчески доступных или открытых продуктов и услуг IDS, которые основаны на
различных технологиях и подходах. Кроме того, IDS не является технологией “включай и работай”.
Поэтому когда организация готовится к использованию IDS, она должна быть, как минимум,
©
ISO/IEC 2006– Все права сохраняются 5

ознакомлена с руководящими принципами и информацией, приводимой в данном стандарте.
Основные сведения о IDS представлены, главным образом, в Приложении A. В этом Приложении
поясняются различные характеристики двух основных типов IDS: IDS на базе хост- машины (HIDS) и
IDS на базе сети (NIDS), а также двух основных подходов при анализе во время обнаружения, т.е.
Подход на основе злоупотребления и Подход на основе аномалии.
Для HIDS источником информации для обнаружения является одна хост- машина, в то время как NIDS
извлекает ее из трафика на сегменте сети. В подходе на базе злоупотребления атаки на
Информационные системы моделируются как характерные сигнатуры атаки, система систематически
сканируется на появление этих сигнатур атаки. Процесс включает специальное кодирование
предшествующего поведения и действий, которые считались вторжениями или злоумышленными.
Подход на базе аномалий пытается обнаружить вторжения путем фиксации значительных отклонений
от нормального поведения. Он функционирует в предположении, что атаки отличаются от
нормальной/законной работы и, следовательно, могут быть обнаружены системами, которые
идентифицируют эти различия.
Организация должна понимать, что источник информации и различные подходы к анализу имеют как
достоинства, так и недостатки или ограничения, которые могут повлиять на способность или
неспособность обнаружить атаки и на степень сложности, связанный с установкой и поддержанием
IDS.
4 Общие положения
Функции и ограничения IDS, представленные а Приложении A, указывают на то, что организация должна
комбинировать подходы на базе хост- машины (включая мониторинг приложений) и на базе сети для
достижения достаточно полного охвата возможных вторжений. Каждый тип IDS имеет свою силу и
ограничения; вместе они могут лучше обеспечить охват событий защиты и анализ тревожных сигналов.
Объединение технологий IDS зависит от наличия механизма взаимосвязи в системе управления
предупреждениями. Ручное соединение предупреждений HIDS и NIDS может привести к перегрузке
оператора IDS без какой-либо дополнительной пользы, и результат может быть хуже, чем при выборе
наиболее подходящих выходных данных IDS одного типа.
Процесс выбора, применения и эксплуатации IDS в рамках организации показан на Рисунке 1 вместе с
указанием раздела, в котором описываются основные шаги в этом процессе.
6 © ISO/IEC 2006 – Все права сохраняются

Рисунок 1 - Выбор, ввод в действие и операции IDS
5 Выбор
Существует много доступных продуктов IDS и семейств этих продуктов. Они колеблются от рыночных
предложений свободно распространяемого ПО, которые могут применяться на недорогих хост –
машинах, до очень дорогостоящих коммерческих систем, требующих наличия самых последних
технических средств. Поскольку при выборе существует много различных продуктов IDS, процесс
выбора IDS, который наилучшим образом подходил бы к потребностям организации, достаточно
трудный. Более того, может быть ограниченная совместимость между различными продуктами IDS,
предлагаемыми на рынке. Кроме того, при слияниях и возможном широком географическом
распространении организации, эти организации могут быть вынуждены использовать различные IDS, и
может потребоваться объединение этих различных IDS.
В брошюре поставщика может не описываться, как хорошо IDS может обнаруживать вторжения и как
сложно вводить их в действие, эксплуатировать и поддерживать в рабочей сети со значительным
объемом трафика. Поставщики могут указать, какие атаки могут быть обнаружены, но без доступа к
сетевому трафику организации очень трудно описать, как хорошо IDS работать, и исключать
ошибочные отказы в доступе и ошибочные допуски. Следовательно, полагаться на предоставляемую
поставщиком информацию о возможностях IDS не достаточно и не рекомендуется.
Для оценки IDS может использоваться стандарт ISO/IEC 15408 (все части). В этом случае документ с
названием “Security Target (Целевой объект защиты)” может содержать более точное и надежное
описание характеристик IDS, чем брошюры поставщика. Организация должна использовать этот
©
ISO/IEC 2006– Все права сохраняются 7

документ в процессе выбора.
В следующих пунктах описываются основные факторы, которые следует учитывать в процессе выбора
IDS.
5.1 Оценка риска информационной безопасности
Перед выбором IDS организация должна выполнить оценку риска информационной безопасности с
целью определения атак и вторжений (угроз), при которых конкретная Информационная система
организации может быть уязвима с учетом таких факторов как характер используемой информации в
системе и как ее необходимо защищать, типов используемых систем связи и других рабочих факторов
и факторов окружения. При рассмотрении этих потенциальных угроз в контексте их конкретных целей
информационной безопасности организация может определить элементы управления, которые
обеспечат экономически целесообразное уменьшение рисков. Определенные элементы управления
обеспечили бы основу требований к функциям, предусмотренным в IDS.
Примечание Управление рисками информационной безопасности будет предметом будущего международного
стандарта (ISO/IEC 13335-2).
После установки IDS следует организовать действенное текущее управление рисками, чтобы
периодически оценивать эффективность элементов управления при изменениях операций системы и
фактических угроз.
5.2 IDS на базе хост- машины и сети
Применение IDS должно основываться на организационной Оценке Риска и приоритетах защиты
ресурсов. При выборе IDS должен быть изучен наиболее эффективный метод контроля событий. IDS
на базе хост- машины (HIDS) и на базе сети (NIDS) могут применяться в тандеме. Если выбран такой
метод мониторинга IDS, организация должна реализовать его поэтапно, начиная с NIDS, поскольку они
обычно более простые в установке и обслуживании, затем следует использовать HIDS на
ответственных серверах.
Каждый вариант имеет свои достоинства и недостатки. Например, в случае, когда IDS применяется за
пределами внешнего брандмауэра, IDS может генерировать большое число тревожных сигналов,
которые не требуют тщательного анализа, поскольку при сканировании может определяться большое
число событий с предупреждениями, которые эффективно предотвращаются внешним брандмауэром.
5.2.1 IDS на базе хост- машины
Выбор HIDS требует идентификации целевых хост- машин. Поскольку полномасштабное применение
HIDS на каждой хост- машине достаточно дорогостоящее, в организации обычно HIDS используется
только на ответственных хост- машинах. Поэтому применение HIDS должно иметь приоритеты в
соответствии с результатами анализа риска и учета затрат – выгод. Организация должна применять
IDS, способные к централизованному управлению с функциями регистрации, если HIDS используется
на всех или значительном числе хост -машин.
5.2.2 IDS на базе сети
При использовании NIDS основной вопрос состоит в том, где разместить сенсоры системы.
Вариантами являются:
• Внутри внешнего брандмауэра;
• За пределами внешнего брандмауэра;
• На главной сетевой магистрали;
• В ответственных подсетях.
8 © ISO/IEC 2006 – Все права сохраняются

5.3 Обсуждение
5.3.1 Окружение системы
Организация на основе оценки риска безопасности должна сначала определить, в порядке
приоритетов, какие ресурсы должны защищаться и после этого приспособить IDS к этому окружению.
Как минимум, следующая информация о системном окружении должна собираться для достижения
этой цели:
• Сетевые графики и карты, определяющие число и расположение хост- машин, точки входа в
сети и подключения к внешним сетям;
• Описание системы управления сетями предприятия;
• Операционные системы каждой хост- машины;
• Число и типы сетевых устройств, таких как маршрутизаторы, мосты и переключатели;
• Число и типы серверов и коммутируемых соединений по телефонной линии;
• Дескрипторы любых сетевых серверов, включая типы, конфигурации, прикладное программное
обеспечение и версии режима на каждом;
• Подсоединение к внешним сетям, включая номинальную пропускную способность и
поддерживаемые протоколы;
• Пути возврата документов, отличные от входящего соединительного пути, т.е. ассиметричный
поток данных.
5.3.2 Обеспечение безопасности
После документирования технических характеристик окружения системы должны быть определены
установленные в настоящее время механизмы обеспечения секретности. Необходима, как минимум,
следующая информация:
• Демилитаризованная Зона (DMZ)
• Число, типы и размещение брандмауэров и фильтрующих маршрутизаторов;
• Идентификация серверов аутентификации;
• Кодирование данных и связей;
• Пакеты MALWARE/Антивирус;
• Средства управления доступом;
• Специализированные технические средства защиты, такие как шифровальное оборудование;
• Виртуальные частные сети;
• Любые другие установленные механизмы защиты.
5.3.3 Политика безопасности IDS
После идентификации системных и общих условий безопасности должна быть определена для IDS
политика безопасности. Для определения политики, как минимум, требуется ответить на следующие
основные вопросы:
©
ISO/IEC 2006– Все права сохраняются 9

• Какие информационные ресурсы должны контролироваться?
• Какой необходим тип IDS?
• Где должна быть расположена IDS?
• Какие типы атак должны выявляться?
• Какой тип информации должен регистрироваться?
• Какой тип реагирования или предупреждения может предусматриваться при обнаружении
атаки?
Политика безопасности IDS представляет собой цели, которые организация ставит при
инвестировании в IDS. Это – первоначальный шаг в попытке получить максимальную выгоду от
применения IDS.
Для определения требуемых показателей и целей политики безопасности IDS организация должна
сначала определить риски организации из внутренних и внешних источников. Организация должна
понимать, что некоторые поставщики IDS определяют политику безопасности IDS как набор правил,
которые IDS использует для выработки предупреждений.
Анализ существующей политики безопасности должен обеспечить шаблон, по которому могут быть
определены и установлены требования к IDS в виде стандартных целей защиты конфиденциальности,
целостности, доступности и невозможности отказа от авторства, а также более общие цели
управления, такие как секретность, защита от внешних помех, управляемость.
Организация должна определить, как ей реагировать, когда IDS обнаружит, что политика безопасности
была нарушена. Особенно в случае, когда организация хочет активно реагировать на определенные
категории нарушений, IDS должна быть сконфигурирована для выполнения этого, а рабочий персонал
должен быть информирован о политике ответных действий организации с тем, чтобы он мог
соответствующим образом работать с предупреждениями. Например, может потребоваться правовое
расследование для содействия в эффективном разрешении инцидента при обеспечении безопасности.
Может потребоваться соответствующая информация, включая журналы регистрации IDS, для
передачи в правоприменяющий орган для целей доказательства.
Дополнительную информацию по управлению при инцидентах безопасности можно найти в
ISO/IEC TR 18044.
5.3.4 Эффективность
Эффективность – это другой рассматриваемый фактор при выборе IDS. Как минимум, необходимо
ответить на следующие вопросы:
• Какая пропускная способность обработки требуется IDS?
• Каков уровень сигналов ложной тревоги может допускаться при работе с этой пропускной
способностью?
• Может ли быть оправдана быстродействующая IDS или может быть оправдана умеренная или
медленная IDS?
• Каковы последствия пропуска потенциального вторжения из-за ограничений пропускной
способности?
Устойчивая эффективность может быть определена как способность последовательно обнаруживать
атаки в рамках использования заданной пропускной способности. В большинстве средах существует
небольшой допуск для пропускаемых или отбрасываемых IDS пакетов в трафике, которые могут быть
частью атаки. В некоторой точке при возрастании пропускной способности и/или трафика многие IDS
10 © ISO/IEC 2006 – Все права сохраняются

не могут больше эффективно обнаруживать вторжения.
Сочетание балансировки нагрузки и настройки может повысить эффективность и рабочие
характеристики. Например:
• Необходимы знания о сети организации и ее слабых местах: Каждая сеть не похожа на другую;
организация должна определить, какие ресурсы сети требуют защиты и какая настройка
сигнатуры атаки соответствует этим ресурсам. В общем случае это выполняется с помощью
процесса оценки риска.
• Рабочие характеристики большинства IDS могут быть улучшены в случае, когда они
конфигурируются для обработки ограниченного трафика и услуг сети. Например, организации,
которая много использует электронную коммерцию, может потребоваться контролировать весь
трафик с Протоколом передачи гипертекстовых файлов (HTTP) и настраивать одну или
несколько IDS для просмотра сигнатур атак, связанных с веб- трафиком.
• Надлежащая конфигурация с балансировкой нагрузки может дать возможность сигнатуре на
базе IDS работать гораздо быстрее и более основательно, поскольку сигнатура на базе IDS
требует только обработки на оптимизированной небольшой базе данных сигнатур атаки, а не на
базе данных всех возможных сигнатур.
Балансировка загрузки используется для разделения доступной пропускной способности при
использовании IDS. Однако повышение пропускной способности может быть связано с трудностями,
например: дополнительными затратами, расходами на управление, десинхронизацией трафика,
дублированием предупреждений и ошибочным отказом в доступе. Более того, текущая технология IDS
имеет гигабайтные скорости, в результате выгоды по сравнению с затратами могут быть
минимальными.
5.3.5 Проверка возможностей
Доверие к предоставляемой поставщиком информации по возможностям IDS, как правило, не
достаточное. Организация должна затребовать дополнительную информацию и, возможно,
демонстрацию пригодности конкретной IDS к среде организации и целям безопасности. Большинство
поставщиков имеют опыт в адаптации их продуктов IDS, поскольку целевые сети возрастают, а
некоторые связывают себя обязательством поддерживать новые стандарты протоколов, типы
платформ и изменения в среде угроз. Как минимум, организация должна выяснить у поставщика IDS
следующие вопросы:
• Какие предположения сделаны относительно применимости IDS к конкретным окружениям?
• Каковы детальные данные тестов, проведенных для проверки утверждений о возможностях
IDS?
• Какие предположения сделаны по операторам IDS?
• Какие предусмотрены интерфейсы IDS (например, физические интерфейсы, коммуникационные
протоколы, форматы сообщений при взаимодействии с подсоединенными устройствами
поддерживаются для всех типов важных интерфейсов)?
• Каковы механизмы экспорта предупреждений или сообщений или документированы ли они
надлежащим образом (например, сообщения о форматах или сообщения для системного
журнала, или MIB для сообщений SNMP)?
• Может ли интерфейс IDS конфигурироваться с помощью быстрых клавиш, настраиваемых
функций сигнализации и пользовательских сигнатур атаки в процессе работы?
• В случае, когда IDS может конфигурироваться в процессе работы, как документированы и
поддерживаются функции, которые обеспечивают эту возможность?
©
ISO/IEC 2006– Все права сохраняются 11

• Может ли продукт адаптироваться к расширению и изменению инфраструктуры систем
организации?
• Может ли продукт IDS адаптироваться к расширяющейся и все более разнотипной сети?
• Обеспечивает ли IDS возможности отказобезопасности и восстановления после отказа и как эти
возможности объединяются с такими же возможностями на канальном уровне сети?
• Использует ли IDS выделенную сеть для тревожных сигналов или они передаются по той же
сети, которая контролируется?
• Какова репутация поставщика и данные об эффективности продукта?
5.3.6 Стоимость
Приобретение IDS не составляет действительную ее стоимость. Дополнительные затраты включают:
приобретение системы для запуска программного обеспечения IDS, специализированную помощь в
инсталляции и конфигурировании IDS, обучение персонала и затраты на обслуживание. Персонал для
управления и анализа результатов стоит очень дорого. Полезный метод для измерения стоимости IDS
состоит в рентабельности инвестиций (ROI) или в стоимости в зависимости от анализа прибыли. В
этом случае ROI вычисляется на основе сбережений, реализованных организацией при
администрировании вторжений. Затраты на приобретение IDS и потребности для эксплуатации
должны быть сбалансированы с затратами на персонал, необходимый для помощи в разрешении
предупреждений, и непроизводительными затратами, вызванными ложными предупреждениями и
несоответствующими ответными действиями, такими как переустановка Информационной системы из-
за невозможности определить, что было скомпрометировано.
Эксплуатационные выгоды IDS включают:
• Идентификацию дефектного или неправильно сконфигурированного оборудования;
• Проверку конфигураций в процессе работы;
• Обеспечение своевременной статистики использования системы.
Для принятия финансовых решений по IDS необходимо ответить на вопросы об общей стоимости IDS.
Для этого должны быть проанализированы затраты на применение IDS во всей организации. Как
минимум, для анализа стоимости IDS необходимо ответить на следующие вопросы:
• Каков бюджет для начальных капитальных затрат на покупку IDS?
• Каков необходимый временной период для эксплуатации IDS, например, 24/7 или меньше?
• Какая требуется инфраструктура для обработки, анализа и регистрации выходных данных IDS и
какова ее стоимость?
• Имеет ли организация людские и другие ресурсы, необходимые для конфигурирования IDS в
соответствии с политикой организации для эксплуатации, поддержания, обновления, контроля
выходных данных IDS и ответных действий на предупреждения? Если нет, то как эти функции
будут выполняться?
• Имеются ли финансовые средства на профессиональную подготовку для IDS?
• Каков масштаб применения и, если используется HIDS, как много хост- машин будет
защищаться?
Затраты в отдельной организации могут быть уменьшены путем совместного использования
накладных расходов через использование внешних ресурсов для функций мониторинга и
обслуживания IDS у провайдера услуг при удаленно управляемом обнаружении вторжений.
12 © ISO/IEC 2006 – Все права сохраняются

Наиболее дорогостоящей частью применения IDS являются ответные действия. Если определена
ответная реакция, дальнейшие значительные затраты, которые должны учитываться, включают
создание оперативной группы, разработку и ввод в действие политики ответных действий, обучение и
тренировку персонала.
5.3.7 Обновления
Большинство IDS основаны на сигнатуре атак, и ценность IDS зависит от базы данных сигнатур атак,
на базе которой анализируются события. Часто выявляются новые слабые места и атаки.
Следовательно, база данных сигнатур атак должна часто обновляться. Поэтому, как минимум,
организация должна рассматривать следующие факторы:
• Своевременность обновлений;
• Эффективность внутреннего распространения;
• Реализация;
• Влияние на систему.
5.3.7.1 Своевременность обновлений для IDS, основанных на сигнатурах
Поддержание текущих сигнатур атак важно для обнаружения известных атак. Для обеспечения
своевременных обновлений сигнатур атак, как минимум, необходимо рассмотреть следующие
вопросы:
• Как быстро поставщик IDS выпускает обновления сигнатур при эксплуатации или обнаружении
конкретных слабых мест?
• Надежен ли процесс уведомления?
• Гарантируется ли аутентичность и целостность обновлений сигнатуры атаки?
• Достаточна ли квалификация в случае, когда сигнатуры атак настраиваются в рамках
организации?
• Можно ли записать или получить заказные сигнатуры атак, чтобы немедленно отреагировать на
опасные уязвимости или на происходящую в настоящее время атаку?
5.3.7.2 Эффективность внутреннего распространения и реализация
Способна ли организация быстро распределить и реализовать зависящие от местных условий
обновления за выделенный период времени во всех необходимых системах? Во многих случаях
обновление сигнатур атак должно модифицироваться с включением конкретных IP - адресов, портов и
др. Более конкретно, как минимум, необходимо ответить на следующие вопросы
• В случае, когда на месте выполняются ручные процессы распространения, реализует ли
администратор или пользователь сигнатуру атаки за приемлемый интервал времени?
• Может ли измеряться эффективность процессов автоматического распространения и
инсталляции?
• Существует ли механизм для эффективного отслеживания изменений при обновлениях
сигнатур атак?
5.3.7.3 Влияние на систему
Для минимизации влияния обновлений сигнатур атак на характеристики системы, как минимум, следует
ответить на следующие вопросы:
©
ISO/IEC 2006– Все права сохраняются 13

• Влияет ли обновление сигнатур атак на выполнение важных функций или приложений?
• Можно ли выбирать обновления сигнатур атак? Это может стать необходимым, чтобы
избежать конфликтов или влияний на выполнение функций или приложений.
5.3.8 Стратегии Предупреждений
Конфигурация и работа IDS должна базироваться на политике мониторинга организации. Как
минимум, организация должна обеспечить, чтобы IDS могла поддерживать конкретные методы
предупреждений, используемые в существующей инфраструктуре организации. Функции
предупреждений, которые могут поддерживаться, включают электронную почту, замещение
страниц, Систему Коротких Сообщений (SMS), событие по Простому Протоколу Сетевого
Управления (SNMP) и даже автоматическую блокировку источников атаки.
В случае, когда данные IDS используются для судебных целей, включая предъявление иска и
доказательства для внутреннего дисциплинарного взыскания, данные IDS должны, как минимум,
обрабатываться и организовываться в соответствии с допустимыми и законными требованиями
местной юрисдикции, в которой они применяются и представляются
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems

Technologies de l'information — Techniques de sécurité — Sélection, déploiement et opérations des systèmes de détection d'intrusion

General Information

Relations

ISO/IEC 18043:2006 - Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems

ISO/IEC 18043:2006

Get Certified

BSI Group

Bureau Veritas

DNV

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

This May Also Interest You