Системы обнаружения и предотвращения вторжений IDS/IPS
Системы обнаружения вторжений (Intrusion Detection System, IDS) и системы предотвращения вторжений (Intrusion Prevention System, IPS) были разработаны в ответ на появление новых угроз безопасности в сетях, таких как хакерские атаки, вирусы и вредоносное программное обеспечение. IDS-системы появились в конце 1980-х годов — начале 1990-х годов, когда были созданы первые сетевые системы мониторинга безопасности. Первые IDS были пассивными и не могли блокировать атаки. Функции системы обнаружения вторжений заключались в обнаружении подозрительной сетевой активности и уведомление об этом администраторов. Однако, с развитием технологий и появлением новых угроз безопасности, IDS-системы стали более сложными и функциональными.
IPS являются эволюционным продолжением IDS. Они могут противодействовать угрозам, а не только обнаруживать их, блокируя подозрительный трафик и предотвращая атаки на контролируемую сеть. В этом заключается их главное отличие.
IPS являются эволюционным продолжением IDS. Они могут противодействовать угрозам, а не только обнаруживать их, блокируя подозрительный трафик и предотвращая атаки на контролируемую сеть. В этом заключается их главное отличие.
Основное отличие IDS от IPS
Сегодня IDS/IPS-системы имеют различные функции и возможности, такие как обнаружение внедрения в сеть, определение и блокирование атак на веб-приложения, контроль за использованием приложений и трафиком в сети, анализ событий безопасности и многое другое. IDS/IPS являются важными компонентами современных систем безопасности и используются во многих компаниях и организациях для защиты сетей от внешних и внутренних угроз безопасности.
Типы систем обнаружения и предотвращения вторжения
Эксперты выделяют пять основных типов IDS/IPS.
Сетевая система предотвращения вторжений (Network-based intrusion prevention system, NIPS) проверяет целую сеть или сетевые сегменты через одну или несколько точек взаимодействия на наличие вредоносного трафика. NIPS развертываются на границах сети, за межсетевыми экранами, маршрутизаторами и серверами удаленного доступа.
NIPS может проверять весь проходящий через нее трафик, но это может снизить пропускную способность сети. Чтобы этого избежать, большинство NIPS позволяют пользователям создавать набор правил, определяющих типы анализируемых пакетов.
Сетевая система предотвращения вторжений (Network-based intrusion prevention system, NIPS) проверяет целую сеть или сетевые сегменты через одну или несколько точек взаимодействия на наличие вредоносного трафика. NIPS развертываются на границах сети, за межсетевыми экранами, маршрутизаторами и серверами удаленного доступа.
NIPS может проверять весь проходящий через нее трафик, но это может снизить пропускную способность сети. Чтобы этого избежать, большинство NIPS позволяют пользователям создавать набор правил, определяющих типы анализируемых пакетов.
Схема внедрения HIPS и NIPS
Преимущества NIPS:
Хостовая система предотвращения вторжений (Host-based Intrusion Prevention Systems, HIPS) устанавливается на конкретное сетевое устройство и отслеживает входящий и исходящий трафик этого узла, запущенные процессы на нем, сетевую активность, системные журналы, активность приложений и изменения конфигурации. Сравнивая информацию с прошлыми записями, HIPS делает вывод о попытках вторжения.
Преимущества HIPS:
Системы предотвращения вторжений для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS) обнаруживают и блокируют попытки несанкционированного доступа к беспроводным сетям и атаки через радиоэфир, в том числе «человек посередине» и спуфинг MAC-адресов.
Преимущества WIPS:
Преимущества NBA:
- анализируют весь входящий и исходящий сетевой трафик;
- обнаруживают события в режиме реального времени;
- злоумышленникам сложно раскрыть их присутствие в сети;
- могут размещаться в критических областях.
Хостовая система предотвращения вторжений (Host-based Intrusion Prevention Systems, HIPS) устанавливается на конкретное сетевое устройство и отслеживает входящий и исходящий трафик этого узла, запущенные процессы на нем, сетевую активность, системные журналы, активность приложений и изменения конфигурации. Сравнивая информацию с прошлыми записями, HIPS делает вывод о попытках вторжения.
Преимущества HIPS:
- разворачивание на конкретных компьютерах или серверах, содержащих важную информацию, или имеющих доступ в открытую сеть;
- точное определение пораженных устройств;
- эффективность против внутренних угроз.
Системы предотвращения вторжений для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS) обнаруживают и блокируют попытки несанкционированного доступа к беспроводным сетям и атаки через радиоэфир, в том числе «человек посередине» и спуфинг MAC-адресов.
Преимущества WIPS:
- обеспечивает защиту беспроводных сетей от атак, включая атаки на уровне аутентификации и шифрования, а также на сетевом уровне;
- обнаруживает наличие несанкционированных беспроводных устройств в сети и предотвращает их использование.
- сложности настройки и управления, особенно для больших сетей;
- ложные срабатывания, что приводит к блокировке легитимного трафика;
- создание дополнительной нагрузки на сеть.
Преимущества NBA:
- обнаружение угроз, которые могут быть пропущены другими системами защиты, такими как HIPS;
- анализ поведения пользователей и устройств в сети, что позволяет выявлять необычные активности и потенциальные угрозы;
- автоматическое реагирование на угрозы и принятие мер для их предотвращения;
- минимизация ложных срабатываний путем анализа контекста и сравнения поведения сети с нормальным поведением.
- сложность настройки для больших сетей;
- дополнительная нагрузка на сеть;
- обучение для анализа поведения сети и выявления угроз безопасности.
Методы обнаружения и предотвращения вторжений IDS/IPS-систем
Методы, используемые IDS/IPS для обнаружения и предотвращения вторжений, являются таким же важным фактором, как и тип системы.
Основные методы обнаружения:
Основные методы обнаружения:
- Сигнатурный метод. Системы обнаружения вторжений на основе сигнатур (Signature-Based Intrusion Detection Systems, SIDS) предназначены для выявления шаблонов и сопоставления их с известными признаками вторжений — сигнатурами. SIDS опирается на базу данных предыдущих вторжений. Для эффективной работы SIDS требуется регулярное обновление базы сигнатур, поскольку SIDS может выявлять только те атаки, которые она распознает. От новых угроз, ранее неизвестных такой IDS, SIDS не защитит.
- Обнаружение аномалий. IDS на основе аномалий используют машинное обучение и статистические данные для создания модели «нормального» поведения пользователей и системы. Любое отклонение от этой нормы считается аномалией. Создание этих базовых профилей занимает много времени («период обучения»), но даже и после обучения возможны ложные срабатывания, особенно в динамичных средах. Обнаружение аномалий показало себя эффективнее обнаружения на основе сигнатур при рассмотрении новых атак, которых нет в базе данных сигнатур.
- Анализ протокола состояний. IDS распознает расхождения протоколов путём сравнения наблюдаемых событий с предварительно построенными профилями общепринятых определений безопасной активности.
- Гибридная система обнаружения вторжений. Просматривая шаблоны и разовые события, гибридная IDS может обнаруживать новые и известные стратегии вторжений. Единственным недостатком такой IDS является больший рост числа срабатываний. Однако, учитывая, что цель IDS — помечать потенциальные вторжения, трудно рассматривать увеличение числа подозрительных активностей с негативной точки зрения.
Гибридная система обнаружения вторжений
Теперь рассмотрим методы предотвращения вторжений. К ним относятся:
- Прекращение атаки. Системы предотвращения вторжений устраняют инциденты безопасности до того, как они произойдут. Это делается путем блокировки пользователей или трафика, исходящего с определенного IP-адреса. Данный метод также включает в себя прекращение или сброс сетевого подключения, а также отзыв прав доступа пользователя до выяснения подробностей инцидента.
- Модификация контента атаки. Контент может быть внедрен в систему в различных формах. Один из способов сделать его более безопасным — удалить вредоносные сегменты. Простой пример — блокировка подозрительных вложений в сообщениях электронной почты.
- Изменение среды безопасности. Данный метод включает в себя изменение конфигурации безопасности для предотвращения атак. Примером может служить перенастройка параметров межсетевого экрана по требованию IPS для блокировки определенного IP-адреса или порта.
- Блокирование шаблонов трафика. Система предотвращения вторжений блокирует шаблоны трафика, которые могут быть использованы для атаки, чтобы предотвратить возможность использования уязвимых устройств.
Резюме
Системы обнаружения и предотвращения вторжений — это высокий результат работы специалистов в области информационной безопасности, которые за несколько десятилетий прошли большой путь, начиная с выявления сигнатур атак и заканчивая применением искусственного интеллекта. Без современных IDS/IPS-систем нельзя построить эффективную систему безопасности сети, способную противостоять актуальным угрозам. Каждый владелец сети должен выбрать тот тип IDS/IPS и тот набор механизмов обнаружения и предотвращения вторжений, который наиболее подходит под конкретные нужды.
Как протестировать и где получить консультацию
Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии.
Форма обратной связи
Ваши ответы на вопросы в форме помогут нам правильно подготовиться и сэкономить ваше время.
Пожалуйста, заполняйте данные корректно.
Пожалуйста, заполняйте данные корректно.
Нажимая кнопку «Отправить» вы соглашаетесь с Политикой конфиденциальности