Программные или программно-аппаратные системы обнаружения и/или предотвращения вторжений (Intrusion Detection System / Intrusion Prevention System, IDS/IPS или IDPS) — один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост числа проблем, связанных с ИБ, привел к тому, что такие системы очень быстро стали ключевым компонентом любой стратегии сетевой защиты.

Задача IDPS — пресекать попытки несанкционированного сетевого доступа, атаки внешних хакеров или инсайдеров, а также предотвращать возможный ущерб, который вредоносные программы могут нанести корпоративным ИТ-системам. Для этого применяются различные методы выявления аномальной сетевой активности, попыток изменения полномочий доступа к корпоративным ресурсам или конфиденциальным данным, использования уязвимостей в программном обеспечении и пр. Системы IDPS должны обладать следующими основными функциями:

  • выявление вторжений или сетевых атак;
  • предотвращение вторжений и атак;
  • автоматическое блокирование сетевых атак;
  • недопущение дальнейшего развития сетевых атак;
  • определение источников атак;
  • прогнозирование возможных атак;
  • выявление уязвимостей и контроль безо-пасности;
  • сбор данных для предотвращения атак и устранения их последствий;
  • документирование существующих угроз.

ВИДЫ IDPS

Такие системы включают в себя модули сбора, хранения и анализа событий, модули мониторинга, управления, настройки и администрирования, используют базы данных об уязвимостях и репутационные сервисы, но могут различаться типом сенсоров и механизмами анализа событий. Функционируют они на уровне сети или на уровне отдельного сервера.

Физически IDPS могут представлять собой либо устройства, в том числе многофункциональные межсетевые экраны нового поколения (NGFW) и комплексные системы безопасности (UTM), либо виртуальные машины или программный продукт.

Физически IDPS могут представлять собой либо устройства, в том числе многофункциональные межсетевые экраны нового поколения (NGFW) и комплексные системы безопасности (UTM), либо виртуальные машины или программный продукт. Они могут использоваться как на площадке заказчика, так и в виртуальных средах провайдеров или публичных облаках.

Осуществляя глубокий анализ протоколов и корреляцию событий, IDPS работают в режиме реального времени, оказывая минимальное влияние на пропускную способность и задержки в сети. Они часто применяются для проверки трафика, который уже прошел через устройства защиты периметра сети — межсетевые экраны и шлюзы безопасности.

Выделенные IDPS устанавливаются в разных местах: за межсетевым экраном как дополнительный уровень защиты, за контроллером доставки приложений (балансировщиком нагрузки) для проверки трафика, а также в различных точках корпоративной сети для защиты внутренних активов.

МЕТОДЫ ОБНАРУЖЕНИЯ

Обнаружить вторжение можно несколькими способами: например, по сигнатурам и аномалиям протокола, с применением различных методов аналитики, с помощью мониторинга, эвристических методов, выявления аномального поведения, посредством усовершенствованных методов защиты от угроз (Advanced Threat Defense, ATD) и анализа угроз (Threat Intelligence, TI). Эти продвинутые методы расширяют возможности IDPS и одновременно помогают сократить число предупреждений и ложных...

Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.
Купить номер с этой статьей в PDF