미탐 False negative

False negative
IDS/IPS의 미탐은 시스템이 실제로 발생한 보안 위협이나 침입을 감지하지 못하는 경우에 발생합니다.

공격자가 성공적으로 네트워크에 침투하여 악의적인 작업을 수행하지만 IDS가 이를 탐지하지 못하는 경우 미탐이고 미탐은 공격자가 탐지되지 않은 채 활동을 계속할 수 있는 기회를 제공하여 잠재적으로 조직에 심각한 피해를 줄 수 있기 때문에 특히 위험할 수 있습니다.

APT(Advanced Persistent Threats)는 IDS/IPS의 탐지를 회피하도록 설계된 정교한 공격입니다. 공격자는 탐지를 피하기 위해 코드 난독화 및 명령 및 제어 서버 숨기기와 같은 다양한 기술을 사용할 수 있습니다.

다형성 코드 멀웨어는 탐지를 피하기 위해 코드와 동작을 변경하도록 설계되었습니다. IDS/IPS에서 시그니처가 업데이트되지 않은 경우 IDS/IPS는 다형성 코드 멀웨어의 새로운 변종을 식별하지 못할 수 있습니다.

내부자 위협은 승인된 사용자로 인한 시작되는 악의적인 활동입니다. IDS/IPS가 내부 위협을 탐지하는 것은 어려울 수 있는데  내부 위협은 반드시 외부 위협이 아니기 때문입니다.

제로데이 공격은 공격자가 IDS/IPS를 우회하기 위해 사용하는 이전에 알려지지 않은 취약점 또는 익스플로잇을 이용한 공격입니다. 이러한 공격은 이전에 사전에 등록되거나 알려진 바가 없기 때문에 IDS/IPS 시그니처는 이를 탐지하지 못할 수 있습니다.

암호화된 트래픽은 공격자도 공격 트래픽을 암호화해  사용하여 악의적인 활동을 숨기므로 IDS/IPS가 탐지하기 어렵습니다. 따라서 IDS/IPS는 암호화된 트래픽으로 숨겨진 실제 공격을 놓칠 수 있습니다.

미탐을 최소화하려면 보안에 대한 포괄적이고 다양한 접근 방식이 필수적입니다. 위협 정보의 러닝 및 동작 기반 분석을 구현하면 기존의 시그니처 기반 IDS/IPS 시스템을 회피하는 정교한 공격을 탐지하는 데 도움이 될 수 있습니다. 또한 정기적으로 IDS/IPS 시그니처를을 업데이트하고 비정상적인 네트워크 활동을 모니터링하면 미탐 발생을 줄이는 데 도움이 될 수 있습니다.