Появление новых схем кибератак вынуждает организации разного масштаба и профиля использовать надежные средства обеспечения сетевой безопасности. Например, решения IPS/IDS для оперативного выявления подозрительных действий и их предотвращения. Обсудим характеристики и функции этого класса инструментов.

Что такое IPS/IDS

Речь о решениях, которые используются для выявления и предотвращения попыток несанкционированного проникновения во внутренние сети. Для удобства продукты из этой категории обозначают общей аббревиатурой, хотя по факту они делятся на два компонента: IDS обнаруживают подозрительные действия, IPS — предотвращают их.

Продукты класса IPS/IDS гарантируют более совершенную степень защиты внутренних сетей, чем традиционные межсетевые экраны (МЭ) и антивирусное обеспечение.

Что такое IDS: вариации и функции

Это компоненты Intrusion Detection System, отвечающие за мониторинг попыток вторжения в локальные сети, прогнозирование уязвимостей, идентификацию источника потенциального инцидента ИБ (инсайдера или злоумышленника из глобальной сети). Их классифицируют по методике исследования трафика и уровню работы.

По уровню работы различают следующие виды IDS: 

  • Host-based Intrusion Detection System или HIDSs — решения, которые эксплуатируются на хостовом уровне. Они обеспечивают защиту конкретного внутреннего хоста и анализируют пакеты данных, имеющие отношение именно к нему. 
  • Network Intrusion Detection System или NIDS — компоненты, обеспечивающие защиту на сетевом уровне. Такие системы базируются в критически важных сегментах и исследуют весь трафик с помощью технологии глубокого анализа. Многие путают NIDS с МЭ, однако последние обнаруживают угрозы извне, а эти решения могут видеть и внутренние. 

Также существуют Perimeter Intrusion Detection Systems — решения PIDS, охраняющие корпоративные сети на границах и Virtual Machine-based Intrusion Detection Systems — компоненты VMIDS, действующие в рамках алгоритмов виртуализации и устанавливаемые на виртуальном «железе», а не на реальных устройствах.

Перейдем к видам IDS согласно методикам проведения исследований:

  • Сигнатурные — компоненты, с помощью сигнатур анализирующие и сопоставляющие трафик с заранее сформированными каталогами. Таким образом они помогают идентифицировать атаки, эксплуатирующие сетевые уязвимости. Сигнатурные IDS позволяют исследовать шаблоны (сигнатуры, собранные в каталог) и состояния, под которыми понимают любые действия в системе. Однако у них есть весомый недостаток — если база вовремя не обновилась или по какой-то причине недоступна, инструменты могут пропустить атаку. 
  • Основанные на правилах — решения, которые собирают данные из журналов или с сенсоров и анализируют их с помощью механизма логических выводов. Если собранные характеристики не отвечают запрограммированным правилам, IDS отправляют ответственным лицам соответствующие уведомления. 
  • Решения, исследующие аномалии —  продукты, работающие на базе машинного обучения. Они проверяют, как функционируют сети и сравнивают полученные показатели с характеристиками из предыдущего периода с целью выявления серьезных несоответствий. IDS такого типа обнаруживают аномалии трафика и протоколов, статистические расхождения. Однако для корректной работы систем предварительно нужно провести их обучение и предусмотреть тестовый период. 

Немного подробнее расскажем об аномалиях. Например, статистические выявляются, когда IDS сравнивает сформированный профиль штатной активности с актуальным на момент проверки профилем. Если обнаружатся серьезные отклонения, например, слишком сильный скачок трафика, система даст оповещение об угрозе. 

Чтобы выявить аномалии протоколов, решение анализирует протоколы в связке с пользователями и используемыми ресурсами, формирует некий эталонный профиль. Если вдруг для передачи данных будет использоваться порт, не фигурирующий в профиле, система предположит угрозу.

Третий вид аномалий связан с нетипичной активностью в сетевом трафике. IDS анализирует весь трафик, отмечает пути передачи пакетов данных. Это позволяет выявить целевые атаки, не замеченные межсетевыми экранами. 

IDS-системы

Развитие IDS

Базовые принципы, архитектура и технологии IDS актуальны с 1986 года. В то время системы не обладали такими широкими функциями, как сейчас, однако могли обнаруживать DoS-атаки и некорректное использование протоколов. 

В 90-е годы решения IDS использовались нечасто, уступив место межсетевым экранам, которые быстрее обрабатывали трафик и обеспечивали защиту от актуального ландшафта угроз. Но в 2000-х годах арсенал сетевых угроз значительно пополнился, поэтому продукты класса Intrusion Detection System снова вошли в широкую эксплуатацию. А вот время IPS еще не настало, поскольку пользователи опасались, что они будут блокировать даже безопасный трафик. Всплеск их популярности пришелся на 2005 год, когда развернулась активная борьба с разноплановыми киберугрозами. 

Развитие IDS продолжалось, и сейчас на рынке достаточно много решений из этой категории. Они также популярны, как файрволы следующего поколения — NGFW (Next Generation Firewall). 

Комплексная защита с использованием NGFW

Большинство крупных организаций перешло на защиту с помощью NGFW со встроенной IPS-системой. Наше решение Solar NGFW тоже имеет такой модуль собственной разработки на базе Suricata. Его ключевые характеристики:

  • Сигнатуры от Solar 4RAYS и Solar JSOC — крупнейшего в России центра по обеспечению информационной безопасности. 
  • Регулярно обновляемая база сигнатур.
  • Возможность создавать исключения по сетевым параметрам. 

Solar NGFW ориентирован на крупный бизнес, поэтому обеспечивает высокую производительность без потери эффективности работы. 

Заключение

Чтобы грамотно выстроить защиту от сетевых атак, следует четко понимать, что такое IPS/IDS-решения и как они помогут бизнесу. Также важно оценить функциональны возможности комплексных инструментов NGFW со встроенным модулем предотвращения вторжений. Например, в файрволе следующего поколения от Solar помимо IPS реализованы категоризатор, антивирус, реверс-прокси и другие инструменты для обеспечения высокого уровня безопасности локальных сетей.