3.2.3.5. Host-based intrusion detection als maatregel 3.0

Intrusion detection is een detectiemaatregel.

Voor meer uitleg over IDS: zie https://vlaamseoverheid.atlassian.net/wiki/x/TIkHpwE

Detectie op systeemniveau of host-based IDS gaat terug tot de tijd van mainframes en bestaat daarmee het langst. Een IDS op systeemniveau baseert zich op lokaal beschikbare informatie. Denk daarbij aan informatie over bestanden op het systeem, de inhoud van logbestanden of netwerkverkeer dat de netwerkkaart op het systeem verwerkt. Op basis van deze informatie bepaalt het IDS of er zich een beveiligingsprobleem op het systeem voordoet of dreigt voor te doen.

Om een effectieve procedure te creëren voor het implementeren van Intrusion Detection System (IDS) functionaliteit, dient volgende aanpak gehanteerd te worden. 

Vereisten: Voor de implementatie van het IDS is het noodzakelijk de juiste hardware en software te gebruiken, aangepast aan de infrastructuur die moet beschermd worden. Dit houdt in dat er een selectie moet gebeuren van componenten zodat die kunnen samenwerken met de bestaande systemen. De configuratie van de IDS moet worden afgestemd op onze beveiligingsbehoeften, met instellingen die de gevoeligheid, filtering en de drempels voor alarmmeldingen reguleren. Bovendien moet de IDS geïntegreerd worden met onze SIEM-systemen, om een holistische beveiligingsarchitectuur te waarborgen. 

Procedures: De implementatie van IDS volgt een stappenplan dat de activering en configuratie van de systemen omvat. Dit zorgt er voor dat alle componenten correct functioneren. Het onderhoud en de updates van de IDS-systemen zorgen ervoor dat ze up to date en effectief blijven in het detecteren van en reageren op nieuwe dreigingen. Daarnaast moeten procedures voor alarmbehandeling duidelijk definiëren hoe te reageren op en om te gaan met de alarmen die door de IDS worden gegenereerd. 

Verantwoordelijkheden: De verantwoordelijkheden voor het beheer en onderhoud van de IDS-functionaliteit zijn duidelijk toegewezen.