Построение системы обнаружения и предотвращения атак и вторжений (IPS, IDS)
Корпоративная система предотвращения атак предоставляет информацию обо всех потоках данных, поступающих в корпоративную сеть из удаленных источников, блокирует либо оповещает о выявленных потенциальных опасностях и позволяет за счет проактивного подхода более эффективно применять средства защиты информации против запланированных враждебных воздействий. Корпоративная система предотвращения атак является составной частью стратегии безопасности предприятия и обеспечивает организациям наиболее масштабируемый, гибкий и полный метод безопасной, надежной, экономичной и эффективной конкуренции в мире электронного бизнеса.
Корпоративная система предотвращения атак от компании LETA может быть ориентирована на предприятия разных масштабов – от уровня малого и среднего бизнеса до уровня крупных корпораций.
Возможности систем предотвращения атак:
- используют различные методы обнаружения вторжений (сигнатурный анализ, технология декодирования протоколов, анализ аномалий протоколов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур)
- проводят анализ и корреляцию событий безопасности на предмет наличия шаблонов, отражающих злоупотребления или необычные особенности «поведения»
- позволяют автоматически реагировать на обнаруженную подозрительную активность
- генерируют отчет с результатами, полученными в процессе обнаружения
Стратегия действий злоумышленника часто включает проведение атак или вывод из строя устройств защиты, обеспечивающих безопасность конкретной цели. Корпоративная система предотвращения атак контролирует работу межсетевых экранов, шифрующих маршрутизаторов, основных серверов и файлов, являющихся важными элементами других механизмов защиты, и тем самым обеспечивает для обслуживаемой корпоративной системы дополнительные уровни защищенности. Система распознает первые признаки атаки и реагирует на них, минимизируя возможные последствия полной неготовности к «нападению». В случае сбоев или отказа других защитных устройств (из-за ошибок конфигурации, пользователей, атаки и т.д.), не всегда заметного сразу, система обнаружения атак вовремя распознает проблему и выдает службе информационной безопасности оповещение, позволяющее оперативно принять меры против заранее выявленных угроз.
Пропущенная атака может обойтись бизнесу крайне дорого. Не обнаруженные вовремя DoS-атаки уже неоднократно выводили из строя платежные системы банков, позволяя злоумышленникам пользоваться простоем компонентов систем в корыстных целях. Зафиксированы нередкие случаи банкротства компаний в результате грамотно спланированных атак на ресурсы корпоративной сети.
Stonesoft StoneGate IPS - это модульная высокоэффективная система защиты критически важных для бизнеса сервисов и данных как в физической, так и в виртуальной среде. StoneGate IPS реализует механизмы проактивной защиты, обнаруживая, идентифицируя и предотвращая распространение вредоносного трафика. Технология IPS Transparent Access Control позволяет с легкостью сегментировать существующую сетевую инфраструктуру. Подобная сегментация позволяет разделить вашу сеть на ряд зон с различными требованиями по безопасности, выделив и защитив наиболее ценные активы.
Рисунок. Принцип работы StoneGate IPS.
Система предотвращения атак IBM Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети. Благодаря запатентованной технологии анализа протоколов решение IBM Internet Security Systems обеспечивает превентивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Превентивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности GTOC и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы X-Force.
По статистике, не менее 75% всех компьютерных преступлений происходит внутри корпоративной сети – по вине сотрудников предприятия. Традиционные средства защиты (например, межсетевые экраны) не позволяют защитить корпоративную сеть от умысла злоумышленника, имеющего в нее доступ в рамках рабочих полномочий. Для построения эффективной системы защиты информации нужны дополнительные средства предотвращения атак.
Для защиты инфраструктуры сетей от атак для малого бизнеса и удаленных отделений очень удобно применение многофункционального программно-аппаратного межсетевого экрана класса «все в одном», примером которого является решение Stonesoft FW\VPN. Продукт включает в себя системы обнаружения и предупреждения сетевых атак, систему защиты от вирусов и систему URL-фильтрации. Правила, интегрированные в систему выявления сетевых атак, учитывают большинство атак, которым подвержены сетевые службы.
Средство предотвращения вторжений StoneGate IPS имеет сертификат ФСТЭК на соответствие ТУ, по 3-му классу для МЭ и 4-у уровню контроля отсутствия НДВ, а также может использоваться для защиты информации в информационных системах персональных данных до класса К1 и автоматизированных системах класса 1Г включительно. Используемые продукты:
Системы IDS позволяют отслеживать сетевой трафик и генерировать оповещения при обнаружении злонамеренных, подозрительных и других активностей, являющихся необычными для каждого конкретного типа трафика.
В целом IPS по классификации и функциям аналогичны IDS. Главное отличие состоит в том, что они функционируют в режиме реального времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.
Кроме того, IPS имеет также следующие особенности:
- предотвращение вторжений не просто на основе сигнатур атак, но и на базе сигнатур уязвимостей в программном обеспечении, а также определения новых видов атак, для которых нет сигнатур;
- сенсоры IPS работают на высоких скоростях, чтобы иметь возможность блокировать атаки в режиме реального времени.
Существенным преимуществом систем IPS является возможность настройки политики по умолчанию «блокировать атаки и пропускать остальной трафик» взамен политики «запрещено все, что явно не разрешено», которые применялись ранее в межсетевых экранах.
IDS является пассивным элементом сетевой защиты, IPS – проактивным.
Каждая организация должна исходить из своих собственных уникальных потребностей и приоритетов, но существуют основные критерии отличия одной системы предотвращения вторжений от другой:
- управление;
- производительность;
- механизмы реагирования на атаки;
- доступность;
- механизмы обнаружения вторжений;
- архитектура;
- защита уязвимых приложений и операционных систем;
- контроль доступа;
- цена.
Кроме того, нужно принять во внимание уже имеющуюся сетевую инфраструктуру: продукты из различных сегментов, но одного вендора интегрируются между собой и управляются лучше.
Современные системы IPS могут работать на скоростях до 10ГГб/c. Кроме того, использование различных механизмов кластеризации, фильтрации только необходимых событий, ускоренной обработки политик реагирования на атаки позволяет говорить о минимальном влиянии систем IPS на производительность сети.
Обычно системы IPS устанавливают в сегментах сети, в которых работают бизнес-критичные серверные приложения, в точках входа интернет-трафика в корпортаивную сеть организации, в сетях экстранет (специальная выделенная сеть для партнеров компании), в демилитаризованных зонах, сетях удаленных филиалов.
Системы IDS позволяют отслеживать сетевой трафик и генерировать оповещения при обнаружении злонамеренной, подозрительной и других активностей, являющихся необычными для каждого конкретного типа трафика.
В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.
Кроме того IPS имеет также следующие особенности:
- Предотвращение вторжений не просто на основе сигнатур атак, но и на базе сигнатур уязвимостей в программном обеспечении, а также определения новых видов атак, для которых нет сигнатур.
- Сенсоры IPS работают на высоких скоростях, чтобы иметь возможность блокировать атаки в режиме реального времени.
Существенным преимуществом систем IPS является возможность настройки политики по умолчанию «блокировать атаки и пропускать остальной трафик» взамен политики «запрещено всё, что явно не разрешено», которые применялись ранее в межсетевых экранах.
Если сказать в двух словах: IDS –это пассивынй элемент сетевой защиты, а IPS является уже проактивным элементом.
Естественно каждая организация должна исходить из своих собственных уникальных потребностей и приоритетов, но существуют основные критерии отличия одной системы предотвращения вторжений от другой:
- Управление
- Производительность
- Механизмы реагирования на атаки
- Доступность
- Механизмы обнаружения вторжений
- Архитектура
- Защита уязвимых приложений и операционных систем
- Контроль доступа
- Цена
Кроме того, нужно принять во внимание уже имеющуюся сетевую инфраструктуру (на базе продуктов каких вендоров она построена), так как продукты из различных сегментов, но одного вендора лучше интегрируются между собой и управляются.
Современные системы IPS могут работать на скоростях до 10ГГб/c, кроме того, использование различных механизмов кластеризации, фильтрации только необходимых событий, ускоренной обработки политик реагирования на атаки, позволяет говорить о минимальном влиянии систем IPS на производительность сети.
Обычно системы IPS устанавливают в сегментах сети, в которых работают бизнес-критичные серверные приложения, в точках входа интернет-трафика в корпортаивную сеть организации, в сетях экстранет(специальная выделенная сеть для партнеров компании), в демилитаризованных зонах, сетях удаленных филиалов.
Системы IDS позволяют отслеживать сетевой трафик и генерировать оповещения при обнаружении злонамеренной, подозрительной и других активностей, являющихся необычными для каждого конкретного типа трафика.
В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.
Кроме того IPS имеет также следующие особенности:
- Предотвращение вторжений не просто на основе сигнатур атак, но и на базе сигнатур уязвимостей в программном обеспечении, а также определения новых видов атак, для которых нет сигнатур.
- Сенсоры IPS работают на высоких скоростях, чтобы иметь возможность блокировать атаки в режиме реального времени.
Существенным преимуществом систем IPS является возможность настройки политики по умолчанию «блокировать атаки и пропускать остальной трафик» взамен политики «запрещено всё, что явно не разрешено», которые применялись ранее в межсетевых экранах.
Если сказать в двух словах: IDS –это пассивынй элемент сетевой защиты, а IPS является уже проактивным элементом.
Естественно каждая организация должна исходить из своих собственных уникальных потребностей и приоритетов, но существуют основные критерии отличия одной системы предотвращения вторжений от другой:
- Управление
- Производительность
- Механизмы реагирования на атаки
- Доступность
- Механизмы обнаружения вторжений
- Архитектура
- Защита уязвимых приложений и операционных систем
- Контроль доступа
- Цена
Кроме того, нужно принять во внимание уже имеющуюся сетевую инфраструктуру (на базе продуктов каких вендоров она построена), так как продукты из различных сегментов, но одного вендора лучше интегрируются между собой и управляются.
Обычно системы IPS устанавливают в сегментах сети, в которых работают бизнес-критичные серверные приложения, в точках входа интернет-трафика в корпортаивную сеть организации, в сетях экстранет(специальная выделенная сеть для партнеров компании), в демилитаризованных зонах, сетях удаленных филиалов.
|
