Сетевые системы предотвращения вторжений (Intrusion Prevention System, IPS) — это подключенные к сетевому каналу устройства, служащие для выявления и блокировки широкого спектра атак. Однако, как показывают последние исследования, подобное оборудование пока чаще используется в качестве систем обнаружения вторжений для пассивного мониторинга трафика.
Специалисты Infonetics Research опросили 169 специалистов по вопросам безопасности, отвечающих в своих организациях за управление системами предотвращения вторжений. В первую очередь исследователей интересовал вопрос о том, действительно ли функциональность фильтров IPS в полной мере используется для блокирования атак и, если это не так, то каковы причины. В рамках исследования, проведенного по инициативе производителя IPS компании TippingPoint, рассматривались продукты самой TippingPoint, а также решения, предлагаемые Cisco, IBM, McAfee и Sourcefire.
«Многие по-прежнему относятся к IPS с настороженностью, — заметил Джефф Вилсон, ведущий аналитик компании Infonetics по вопросам сетевой безопасности. — Основной вывод состоит в том, что IPS все еще используются не в полной мере, несмотря на то что пользователи стремятся, чтобы это выглядело иначе».
Cisco остается ведущим производителем на рынке IPS, что и подтвердил опрос: 77 респондентов используют IPS-решения компании Cisco, 38 — продукты TippingPoint, 36 отдали предпочтение IBM ISS Proventia, 26 выбрали McAfee IPS, а 15 применяют Sourcefire IPS. Все участники исследования детально описали, как они используют системы предотвращения вторжений в своих компаниях. Речь идет о компаниях свыше 9 тыс. сотрудников.
Первый шаг при выборе IPS, как правило, — это решение о том, использовать такие системы внутри сети или нет. Согласно полученным данным, так поступают 91% пользователей TippingPoint, 70% пользователей Cisco, 67% пользователей IBM и McAfee и около 55% пользователей Sourcefire.
Пользователи отказываются применять IPS непосредственно в сетевом канале в основном потому, что сомневаются в их надежности, а также опасаются снижения пропускной способности, увеличения задержки при передаче трафика и ошибочных идентификаций атак.
Компании, решившие интегрировать IPS в сеть, после этого определяют, какое количество фильтров, позволяющих блокировать различные виды атак, следует активировать на устройстве. Опрос показал, что в компаниях, подключающих IPS к сети, часто не используют все фильтры в режиме блокировки, а иногда просто устанавливается режим уведомления. Фильтры IPS для блокировки значительно чаще применяют на оборудовании TippingPoint и IBM и намного реже в системах Sourcefire. Решения IBM, Cisco и McAfee в половине случаев используются в режиме блокировки и в половине — в режиме уведомления.
Согласно данным опроса, обновления фильтров, предоставляемые производителями, выполняют в 40 — 74% случаев, в зависимости от продукта.
На вопрос, почему пользователи с неохотой устанавливают новые фильтры, независимый аналитик Ричард Стиеннон, посмотрев результаты данного исследования, заметил, что пользователи IPS, как правило, анализируют обновления фильтров в лабораторных условиях, прежде чем их установить. «Иногда сигнатуры фильтров могут нарушать работу приложений или блокировать протоколы, — пояснил Стиеннон. — Тогда их не устанавливают».
Несколько лет назад Стиеннон, будучи аналитиком Gartner, спровоцировал жаркую дискуссию, заявив о бесперспективности IDS. И сейчас, просмотрев результаты исследования, он сказал, что этот опрос Infonetics дал ему стимул снова выступить с критикой.
«IDS не имеют никакой перспективы, это неудачная технология, — подчеркнул Стиеннон, утверждая, что простая регистрация уведомлений об атаках почти всегда бессмысленна. — Для блокировки атак должно шире использоваться оборудование IPS».
Он также заметил, что оборудование TippingPoint, в отличие от системы Cisco, изначально было предназначено для работы в сетевом канале. Джефф Вилсон также согласен с тем, что IPS-решения Cisco не были рассчитаны на такую установку и, несмотря на то что Cisco остается лидером этого рынка, ее платформа в целом реже всего используется как настоящая система предотвращения вторжений для блокировки трафика атак.
Несмотря на то что аналитик Gartner Джон Пескаторе не знаком с результатами опроса Infonetics, он сказал, что собственная работа Gartner с клиентами показывает: может уйти значительное время, может быть, даже целый год, чтобы пользователи убедились в необходимости устанавливать системы IPS в канале в режим блокировки.
«Почему я не использую их на 100%, — удивляется он. — Да потому что это приводит к снижению производительности, они замедляют или даже могут полностью блокировать легитимный трафик».
Вопрос о производительности по-прежнему остается довольно острым, и его, как подчеркнул Пескаторе, необходимо в первую очередь решать специалистам отрасли IPS.