Что такое IDS/IPS-системы?
В настоящее время кибератаки являются одной из основных проблем бизнеса. Только антивирусная программа и брандмауэр уже не способны обеспечить необходимый уровень защиты сети. Вредоносное ПО может «маскироваться» и отправлять пакеты, которые выглядят безопасными для межсетевого экрана. Так вторжение в сеть компании обнаруживается постфактум. Таким образом, чтобы не стать жертвой кибератаки, работа в области безопасности информации строится по принципу предупреждения возможных угроз.
Системы обнаружения и предотвращения вторжений или IDS/IPS системы — это инструменты защиты корпоративных сетей. Они выявляют неавторизированный доступ в сеть и принимают меры по противодействию: информируют специалистов об атаках и перенастраивают сетевой экран для блокировки доступа к данным. Эти системы обеспечивают дополнительный уровень защиты к межсетевому экрану.
Что такое IPS?
Система IPS (Intrusion Prevention System) предназначена для предотвращения атак. Она является подклассом IDS-систем. Такая система следит за трафиком и блокирует подозрительные потоки данных. Ее цель — обнаружить и предотвратить несанкционированные действия в сети. Система использует набор правил, чтобы заблокировать трафик. Таким образом, она блокирует пробелы в безопасности. IPS применяется на границе сети или в отдельных хостах. Она может использовать дублирование трафика (SPAN) и не иметь IP-адреса, оставаясь невидимой для взломщика.
IPS можно разделить на два класса. Первый класс (IPS) анализирует трафик и сравнивает с известными характеристиками угроз. Второй (HIPS) — анализирует протоколы и ищет запрещенный трафик в базе найденных раньше уязвимостей. Именно этот класс обеспечивает защиту от неизвестных атак.
Что такое IDS?
Система IDS (Intrusion Detection System) используется для обнаружения нетипичных действий в сети и предупреждения о них специалиста по ИБ. Уведомление выводится на панель управления или отправляется на почту, телефон и т.п. Цель системы — мониторинг трафика и нахождение сетевых атак, а также обнаружение нарушений пользователями политики безопасности. Системы обнаружения вторжений IDS помогают отслеживать положение дел со стороны безопасности.
Функции IDS-систем:
- запись информации — отправка в системы сбора логов или SIEM-системы;
- сообщение об инцидентах (alert-уведомления);
- составление отчетов — суммируются все данные по событиям.
Отличия IPS и IDS систем
IPS — Intrusion Prevention System, а IDS — Intrusion Detection System. Это означает, что системы IPS отвечают за предупреждение и устранение атак, а IDS — за их обнаружение.
IDS не меняет сетевые пакеты и не предпринимает самостоятельных действий. А IPS наоборот предотвращает доставку пакета с подозрительным содержимым. Эта система запрещает сетевой трафик при обнаружении угроз. В IDS системе человек или другая система анализирует результаты мониторинга и определяет дальнейшие действия. Также, IPS имеет возможность менять содержание атаки и удалять инфицированный компонент. IPS, в каком-то смысле, расширение технологии IDS и обладает дополнительными возможностями для предотвращения атак при их выявлении. Каждая IPS содержит модуль IDS.
Таким образом, главное отличие IPS от IDS системы в том, что IPS — это система управления, а IDS — система мониторинга.
Что выбрать?
Выбор системы с точки зрения компании зависит от:
- требуемого уровня защиты сети;
- сферы деятельности компании;
- подготовки специалистов;
- бюджета организации.
Первое, на что стоит обратить внимание — масштаб систем: работает только с конкретным хостом или трафиком всей сети. Второй момент — позиционирование продукта. IPS и IDS могут быть как отдельными системами, так и частью программного обеспечения или аппаратного устройства.
Стоит отметить, что IPS систему необходимо регулярно настраивать под организацию и сеть, чтобы избежать сбоев и ложных срабатываний. Иначе, можно пропустить атаки и повредить сервисы компании. В случае с IDS системой, важным фактором будет удобство интерфейса для специалиста, который будет использовать систему. При использовании IDS нужно учитывать, что они с трудом работают в сетях с большим трафиком. 50 тысяч пакетов в секунду в 100 Мбит сети — это предел данной системы.
Наиболее эффективным способом защиты корпоративных сетей будет совместное применение IPS и IDS систем. Это UTM-системы (Unified Threat Management). Они являются комбинацией технологий IPS и IDS и предоставляют полный набор функций в одном устройстве. Таким образом, сокращая расходы на ресурсы. Важно обратить внимание на надежность системы от отказов.
Traffic Inspector Next Generation объединила в себе IDS/IPS технологии.
Подпишитесь на рассылку Смарт-Софт
Как эффективно ликвидировать последствия информационной утечки
DDoS-атака: что это такое и методы защиты
Переполнение диска и ботнет: как Traffic Inspector Next Generation помог выявить вредоносное ПО в сети компании
