Системы обнаружения и предотвращения вторжений IDS/IPS

Согласно аналитическому отчету Gartner, рынок систем обнаружения вторжений в последние годы продолжает расти. Эксперты ожидают, что он достигнет объем в 5,7 миллиардов долларов США к 2024 году. Давайте разберемся, для чего применяются системы обнаружения и предотвращения вторжений при защите компьютерных сетей и с чем вызвана их высокая популярность.

Что такое IDS/IPS-системы?

Системы обнаружения вторжений (Intrusion Detection System, IDS) и системы предотвращения вторжений (Intrusion Prevention System, IPS) были разработаны в ответ на появление новых угроз безопасности в сетях, таких как хакерские атаки, вирусы и вредоносное ПО. IDS-системы появились в конце 1980-х годов — начале 1990-х годов, когда были созданы первые сетевые системы мониторинга безопасности. Первые IDS были пассивными и не могли блокировать атаки. Их цель состояла в обнаружении подозрительной сетевой активности и уведомление об этом администраторов. Однако, с развитием технологий и появлением новых угроз безопасности, IDS-системы стали более сложными и функциональными.

IPS-системы являются эволюционным продолжением IDS-систем. Они могут противодействовать угрозам, а не только обнаруживать их, блокируя подозрительный трафик и предотвращая атаки на контролируемую сеть. В этом и заключается их основное отличие.
Основное отличие IDS от IPS
Сегодня IDS/IPS-системы имеют различные функции и возможности, такие как обнаружение внедрения в сеть, определение и блокирование атак на веб-приложения, контроль за использованием приложений и трафиком в сети, анализ событий безопасности и многое другое. IDS/IPS являются важными компонентами современных систем безопасности и используются во многих компаниях и организациях для защиты сетей от внешних и внутренних угроз безопасности.

История развития IDS/IPS

Впервые о системах обнаружения вторжений рассказала Дороти Э. Деннинг в своей научной статье «Модель обнаружения вторжений» («An Intrusion-Detection Model»), которая легла в основу экспертной системы обнаружения вторжений (Intrusion Detection Expert System, IDES) Стэнфордского исследовательского института. Эта система использовала статистическое обнаружение аномалий, сигнатуры и профили пользователей и хост-систем для обнаружения подозрительного поведения сети. IDES могла обнаружить неправомерное использование протоколов, например, HTTP или FTP, а также выявлять атаки типа «отказ в обслуживании» (DoS) по IP-адресу.

В начале 2000-х годов IDS стали лучшим методом обеспечения безопасности, потеснив межсетевые экраны, которые на тот момент не обладали механизмами глубокой проверки пакетов и не фильтровали содержимое и контекст сетевого трафика. В это время появились новые на тот момент угрозы, такие как SQL-инъекции и атаки межсайтового скриптинга (XSS), пропускаемые межсетевыми экранами. В тот момент обнаружение вторжений было важнее предотвращения — немногие организации имели IPS, поскольку пользователи были обеспокоены тем, что IPS может блокировать безвредный аномальный трафик от потенциальных клиентов. Вместо того, чтобы находиться между сетью организации и Интернетом, IDS находится в стороне и отражает весь трафик, поступающий в сеть. Обнаружив трафик, который, по его мнению, может быть вредоносным, IDS отправляет предупреждение администратору организации, чтобы аналитик мог просмотреть активность в журнале и решить, является ли он вредоносным.

Популярность IPS пришла позже. Изначально создавались сигнатуры для обнаружения эксплойтов, а не уязвимостей. Для любой данной уязвимости может быть 100 различных способов ее использования, в результате чего поставщики IDS подготавливали 100 или более различных сигнатур эксплойтов. Однако наличие наибольшего количества сигнатур не было на самом деле точным критерием для оценки лучших IDS, поскольку поставщики IDS также использовали другие методы для обнаружения угроз, включая сопоставление с образцом, сопоставление строк, обнаружение аномалий и обнаружение на основе эвристики.

Во второй половине 2005 года возникла реальная конкуренция IPS производителей за рынок IDS/IPS. Эксперты обнаружили, что большое число сигнатур может снижать производительность IDS или IPS. Поэтому IPS начали создавать только одну сигнатуру для устранения каждой уязвимости, независимо от того, сколько эксплойтов было связано с ней. Сегодня поставщики по-прежнему выбирают наиболее подходящие сигнатуры, которые противодействуют текущим угрозам, а также старым угрозам, которые все еще используют хакеры.

В период с 2006 по 2010 год на выросло применение комбинированных систем обнаружения и предотвращения вторжения. В это время производительность IPS возросла с 1 Гбит/с до 5 Гбит/с, появилась возможность мониторинга более сегментированных сетей, а также DMZ, кластеризованных веб-приложений. Начался массовый переход IDS на IPS.
Когда Стандарт безопасности данных индустрии платежных карт (PCI DSS) начал требовать от организаций, принимающих платежные карты (кредитные карты), устанавливать либо IDS, либо межсетевой экран для веб-приложений, многие из этих организаций решили приобрести IDS/IPS. К тому времени технология IPS имела более тонкие настройки и показывала лучшие показатели ошибок второго рода (блокировка легитимного трафика).

С ростом числа ботнет-сетей и вредоносных сайтов поставщики IDS/IPS приняли дополнительные меры противодействия угрозам — blacklist для блокировки IP-адресов контроллеров ботнет-сетей, а также скомпрометированных веб-сайтов, на которых размещались вредоносные программы.

Период между 2011 и 2015 годом стал важным поворотным моментом для поставщиков IDS/IPS, когда они начали создавать системы предотвращения вторжений следующего поколения (Next Generation Intrusion Prevention Systems, NGIPS). NGIPS предоставляет не только функциональность традиционных IPS, но также и возможности распознавания и анализа трафика на более высоком уровне, что позволяет определять и блокировать более сложные и современные угрозы, включая угрозы, которые используют шифрование для маскировки своей активности.

Еще одно дополнение к IDS/IPS появилось после взлома RSA в 2011 году, компании по обеспечению безопасности, широко известной своим продуктом двухфакторной аутентификации. СМИ назвали данную атаку целевой продолжительной атакой (Advanced Persistent Threat, APT) и позже сообщили, что нарушение произошло из-за фишинговой атаки с использованием документа, зараженного вредоносным ПО. В связи с этим пользователям систем безопасности потребовалось новое средство защиты, которое будет блокировать встроенное вредоносное ПО или сам вредоносный файл. На тот момент системы IDS/IPS не располагали такими механизмами, поэтому разработчики пришли к выводу, что лучшим решением защиты от APT будет добавление песочницы и/или возможностей эмуляции в IDS/IPS. Песочница была совершенно новой технологией, позволяющей находить вредоносные программы нулевого дня.
Начиная с середины 10-х годов 21 века, IDS/IPS-системы перестают быть отдельными решениями, поскольку в это время активно развивается рынок межсетевых экранов нового поколения (Next Generation Firewalls, NGFW), включающих в себя функции IPS. Подробнее с NGFW вы можете познакомиться в нашей статье.

Одним из таких межсетевых экранов следующего поколения, обладающего всеми методами обнаружения и предотвращения вторжений, является Ideco UTM — флагманское решение компании «Айдеко». Сетевая IDS/IPS-система предоставляется пользователям только в активированной Enterprise версии Ideco UTM. Через платную подписку есть возможность использования сигнатур Лаборатории Касперского

В настоящее время ландшафт угроз постоянно меняется, и поставщики средств безопасности сосредотачиваются на высокоточном машинном обучении, которое использует специальные алгоритмы анализа файлов и методы шумоподавления. По мере роста машинного обучения злоумышленники также найдут способы обойти их, и поставщики систем обнаружения и предотвращения вторжений приступят к созданию следующего революционного механизма безопасности


Типы IDS/IPS-систем
Хотя все системы обнаружения и предотвращения вторжений выполняют одну и ту же глобальную задачу, работают они немного по-разному. Тип IDS/IPS-системы, необходимой организации, зависит от её существующей инфраструктуры и планов расширения в будущем. Эксперты выделяют пять основных типов IDS/IPS. Давайте рассмотрим детали, преимущества и недостатки каждого из них.
Сетевая система предотвращения вторжений (Network-based intrusion prevention system, NIPS) проверяет целую сеть или сетевые сегменты через одну или несколько точек взаимодействия на наличие вредоносного трафика. NIPS развертываются на границах сети, за межсетевыми экранами, маршрутизаторами и серверами удаленного доступа.
NIPS может проверять весь проходящий через нее трафик, но это может снизить пропускную способность сети. Чтобы этого избежать, большинство NIPS позволяют пользователям создавать набор правил, определяющих типы анализируемых пакетов.
Схема внедрения HIPS и NIPS
Преимущества NIPS:
  • анализируют весь входящий и исходящий сетевой трафик;
  • обнаруживают события в режиме реального времени;
  • злоумышленникам сложно раскрыть их присутствие в сети;
  • могут размещаться в критических областях.

Однако NIPS не идеальны, их потенциальные недостатки включают в себя:
  • трудности в обслуживании, связанные с установкой NIPS на выделенном оборудовании;
  • низкая специфичность — чем больше трафика анализирует NIPS, тем выше вероятность того, что ей не хватит специфичности, вследствие чего пропущены признаки вторжения.

Хостовая система предотвращения вторжений (Host-based intrusion prevention system, HIPS) устанавливается на конкретное сетевое устройство и отслеживает входящий и исходящий трафик этого узла, запущенные процессы на нем, сетевую активность, системные журналы, активность приложений и изменения конфигурации. Сравнивая информацию с прошлыми записями, HIPS делает вывод о попытках вторжения.

Преимущества HIPS:
  • разворачивание на конкретных компьютерах или серверах, содержащих важную информацию, или имеющих доступ в открытую сеть;
  • точное определение пораженных устройств;
  • эффективность против внутренних угроз.

К сожалению, решения HIPS могут пропустить атаку и обнаружить ее постфактум. Поскольку многие решения HIPS полагаются на журналы, в которых регистрируются вторжения, среднее время ответа (MTTR) в целом может быть медленнее. Таким образом, правильное использование HIPS требует частого контроля.

Системы предотвращения вторжений для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS) обнаруживают и блокируют попытки несанкционированного доступа к беспроводным сетям и атаки через радиоэфир, в том числе «человек посередине» и спуфинг MAC-адресов.

Преимущества WIPS:
  • обеспечивает защиту беспроводных сетей от атак, включая атаки на уровне аутентификации и шифрования, а также на сетевом уровне;
  • обнаруживает наличие несанкционированных беспроводных устройств в сети и предотвращает их использование.

Недостатки WIPS:
  • нередко возникают сложности настройки и управления, особенно для больших сетей;
  • возможны ложные срабатывания, что приводит к блокировке легитимного трафика;
  • создание дополнительной нагрузки на сеть, из-за чего может снижаться ее производительности.

Система анализа поведения сети (Network Behavior Analysis, NBA) — это система, которая используется для обнаружения и предотвращения угроз безопасности сети, основываясь на анализе поведения сетевых устройств и трафика. Такие паттерны аномального поведения, как правило, являются результатом нарушений политик безопасности, атак с использованием вредоносных программ или распределенных атак типа «отказ в обслуживании» (DDoS). Системы NBA развернуты во внутренних сетях организации и в точках, где трафик проходит между внутренней и внешней сетями.

Преимущества NBA:
  • обнаружение угроз, которые могут быть пропущены другими системами защиты, такими как HIPS;
  • анализ поведения пользователей и устройств в сети, что позволяет выявлять необычные активности и потенциальные угрозы;
  • автоматическое реагирование на угрозы безопасности и принятие меры для их предотвращения;
  • минимизация ложных срабатываний путем анализа контекста и сравнения поведения сети с нормальным поведением.


Недостатки NBA:
  • сложность настройки для больших сетей;
  • дополнительная нагрузка на сеть;
  • может потребоваться обучение для анализа поведения сети и выявления угроз безопасности.

Методы обнаружения и предотвращения вторжений IDS/IPS-систем

Методы, используемые IDS/IPS-системами для обнаружения и предотвращения вторжений, являются таким же важным фактором, как и тип системы.

Основные методы обнаружения:
  1. Сигнатурный метод. Системы обнаружения вторжений на основе сигнатур (Signature-Based Intrusion Detection Systems, SIDS) предназначены для выявления шаблонов и сопоставления их с известными признаками вторжений — сигнатурами. SIDS опирается на базу данных предыдущих вторжений. Для эффективной работы SIDS требуется регулярное обновление базы сигнатур, поскольку SIDS может выявлять только те атаки, которые она распознает. От новых угроз, ранее неизвестных такой IDS-системе, SIDS не защитит.
  2. Обнаружение аномалий. Системы обнаружения вторжений на основе аномалий (Anomaly-Based Intrusion Detection System, AIDS) используют машинное обучение и статистические данные для создания модели «нормального» поведения пользователей и системы. Любое отклонение от этой нормы считается аномалией. Создание этих базовых профилей занимает много времени (также известное как «период обучения»), но даже и после обучения возможны ложные срабатывания, особенно в динамичных средах. Обнаружение аномалий показало себя эффективнее обнаружения на основе сигнатур при рассмотрении новых атак, которых нет в базе данных сигнатур.
  3. Анализ протокола состояний. Система обнаружения вторжений распознает расхождения протоколов путём сравнения наблюдаемых событий с предварительно построенными профилями общепринятых определений безопасной активности.

Гибридная система обнаружения вторжений. Большинство IDP-систем предлагают комбинацию нескольких подходов к обнаружению. Просматривая шаблоны и разовые события, гибридная система обнаружения вторжений может обнаруживать новые и известные стратегии вторжений. Единственным недостатком такой IDS является еще больший рост числа срабатываний. Однако, учитывая, что цель IDS — помечать потенциальные вторжения, трудно рассматривать увеличение числа подозрительных активностей с негативной точки зрения.
Теперь рассмотрим методы предотвращения вторжений.

К ним относятся:
  1. Прекращение атаки. Системы предотвращения вторжений устраняют инциденты безопасности до того, как они произойдут. Это делается путем блокировки пользователей или трафика, исходящего с определенного IP-адреса. Данный метод также включает в себя прекращение или сброс сетевого подключения, а также отзыв прав доступа пользователя до выяснения подробностей инцидента.
  2. Модификация контента атаки. Контент может быть внедрен в систему в различных формах. Один из способов сделать его более безопасным — удалить вредоносные сегменты. Простой пример — блокировка подозрительных вложений в сообщениях электронной почты.
  3. Изменение среды безопасности. Данный метод включает в себя изменение конфигурации безопасности для предотвращения атак. Примером может служить перенастройка параметров межсетевого экрана по требованию IPS для блокировки определенного IP-адреса или порта.
  4. Блокирование шаблонов трафика. Система предотвращения вторжений блокирует шаблоны трафика, которые могут быть использованы для атаки, чтобы предотвратить возможность использования уязвимых устройств.

Резюме

Системы обнаружения и предотвращения вторжений — это высокий результат работы специалистов в области информационной безопасности, которые за несколько десятилетий прошли большой путь, начиная с выявления сигнатур атак и заканчивая применением искусственного интеллекта. Без современных IDS/IPS-систем нельзя построить эффективную систему безопасности сети, способную противостоять актуальным угрозам. Каждый владелец сети должен выбрать тот тип IDS/IPS и тот набор механизмов обнаружения и предотвращения вторжений, который наиболее подходит под конкретные нужды.

Мы, как разработчик комплексных средств защиты информации, с радостью готовы помочь клиентам выстроить защиту на базе готового передового решения Ideco UTM, включающего механизмы межсетевого экранирования, обнаружения и предотвращения вторжений. Ideco UTM поставляется как средство «из коробки», через полчаса после начала установки и настройки, благодаря большому числу предустановленных правил, в том числе и для IDS/IPS, наше средство защиты информации готово обеспечить безопасность сети заказчика.
Как протестировать и где получить консультацию
Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии.