* Handtekeninggebaseerde detectie:

* Deze methode is afhankelijk van het herkennen van bekende patronen of handtekeningen binnen netwerkpakketten. Als de inhoud gecodeerd is, worden de handtekeningen verborgen, waardoor deze aanpak niet effectief is.

* Een IDS kan bijvoorbeeld een specifieke tekenreeks detecteren waarvan bekend is dat deze deel uitmaakt van een uitvoerbaar malwarebestand. Als dat uitvoerbare bestand wordt verzonden via een gecodeerde verbinding (HTTPS, SSH, VPN), zal de IDS de string niet zien en daarom geen waarschuwing activeren.

* Protocolanalyse:

* Veel protocollen (bijvoorbeeld HTTP, SMTP, FTP) hebben specifieke structuren en opdrachten die een IDS kan analyseren op afwijkingen. Encryptie verduistert deze structuren, waardoor protocolanalyse moeilijk of onmogelijk wordt.

* Zelfs als de verbinding zelf gecodeerd is, kunnen metadata binnen het protocol aanwijzingen geven over het type verkeer. Server Name Indication (SNI) kan bijvoorbeeld de hostnaam onthullen waartoe toegang wordt verkregen via HTTPS. Encrypted SNI (ESNI) en Encrypted Client Hello (ECH) hebben tot doel deze metadata te versleutelen, waardoor detectie verder wordt belemmerd.

* Anomaliedetectie:

* Hoewel anomaliedetectie nog steeds kan functioneren bij gecodeerd verkeer, is de effectiviteit ervan verminderd.

* Als de IDS is getraind op niet-gecodeerde gegevens, weet hij niet hoe 'normaal' eruit ziet binnen de gecodeerde stroom. Het kan ongebruikelijke verkeerspatronen detecteren op basis van pakketgrootte, timing of frequentie, maar kan de specifieke inhoud die de afwijking veroorzaakt niet identificeren. Dit verhoogde risico op valse positieven en valse negatieven.

Specifieke gebieden waar de efficiëntie afneemt:

* Het detecteren van malwaredownloads: IDS-systemen die zoeken naar uitvoerbare bestanden of kwaadaardige scripts die via HTTP/FTP worden gedownload, zullen blind zijn als het verkeer gecodeerd is.

* Gegevensexfiltratie identificeren: Als gevoelige gegevens worden gecodeerd voordat ze het netwerk verlaten, kan de IDS deze niet detecteren op basis van de inhoud van de gegevens.

* Het herkennen van kwaadaardige commando's: Als een aanvaller een gecodeerd kanaal (bijvoorbeeld SSH) gebruikt om opdrachten te geven aan een gecompromitteerde machine, kan de IDS de opdrachten zelf niet zien.

* Aanvallen op webapplicaties monitoren: Veelvoorkomende aanvallen op webapplicaties (bijvoorbeeld SQL-injectie, cross-site scripting) worden vaak verzonden binnen de HTTP-verzoektekst. Als HTTPS wordt gebruikt, kan de IDS de aanvraagtekst niet inspecteren.

Wat nog (tot op zekere hoogte) werkt met encryptie:

* Netwerkverkeeranalyse (metadata): Zelfs met encryptie kan een IDS nog steeds metadata analyseren, zoals:

* IP-adressen en poorten

* Pakketgrootte en frequentie

* Timing van verbindingen

* TLS/SSL-certificaatinformatie (SNI, uitgever, enz.)

* Verbindingsduur

* Bytes overgedragen

* User-agent-strings (hoewel deze kunnen worden vervalst)

* JA3/S-handtekeningen

* Cipher-suites gebruikt

Deze metadata kunnen worden gebruikt om verdachte communicatiepatronen te detecteren, zelfs als de inhoud verborgen is. Een plotselinge toename van het verkeer naar een bekend kwaadaardig IP-adres of ongebruikelijk certificaatgebruik kunnen bijvoorbeeld signalen zijn voor verder onderzoek.

* Eindpuntdetectie en -reactie (EDR): EDR-oplossingen werken op de individuele computers binnen het netwerk en worden dus niet zo beïnvloed door encryptie. Ze kunnen processen, bestandssysteemactiviteit en registerwijzigingen monitoren om kwaadaardig gedrag te detecteren, zelfs als het netwerkverkeer gecodeerd is.

* Gedragsanalyse: Dit omvat het analyseren van gebruikers- en entiteitsgedrag binnen het netwerk om afwijkingen van normale patronen te identificeren. Dit kan zelfs met encryptie effectief zijn, omdat het zich richt op het ‘wie’, ‘wat’, ‘waar’ en ‘wanneer’ van de activiteit in plaats van op het ‘hoe’.

Samengevat:

Encryptie vermindert het vermogen van traditionele inbraakdetectiesystemen om de inhoud van netwerkverkeer te inspecteren, waardoor het moeilijker wordt om op handtekeningen gebaseerde aanvallen, protocolafwijkingen en specifieke soorten gegevensexfiltratie te detecteren. IDS-systemen moeten zich aanpassen door zich te concentreren op metadata-analyse, gedragsanalyse en integratie met eindpuntdetectie- en responsoplossingen om de effectiviteit in gecodeerde omgevingen te behouden. De opkomst van gecodeerde client hello (ECH) en andere privacybevorderende technologieën maakt innovatieve benaderingen van netwerkbeveiligingsmonitoring verder noodzakelijk.